3 года назад компания IBM объявила о трансформации своего портфеля программных продуктов. Тогда были представлены пять первых пакетов семейства IBM Cloud Pak, предназначенных для облачных сред и оптимизированных для работы на платформе Red Hat OpenShift. В их число на первом этапе вошли Cloud Pak for Data, Cloud Pak for Applications, Cloud Pak for Integration, Cloud Pak for Automation и Cloud Pak for Multicloud Management. Предприятия получили возможность единовременно создавать критически важные приложения и запускать их в самых популярных публичных облаках, включая AWS, Microsoft Azure, Google Cloud Platform, Alibaba и IBM Cloud, а также в частных облаках. Вскоре портфель пакетов семейства IBM Cloud Pak был расширен решением IBM Cloud Pak for Security. Более подробно об этом пакете и работе подразделения IBM Security в интервью Infocity рассказывает Андрей Кузьменко, лидер направления информационной безопасности IBM в Восточной Европе.

— Для начала хотелось бы получить более подробную информацию о подразделении IBM Security. Какой вклад сегодня IBM Security вносит в индустрию кибербезопасности и облачной безопасности и почему его стоит выделить на фоне других вендоров?

— Подразделение IBM Security как единый юнит в компании было создано 1 января 2013 года. Но это не значит, что мы начали заниматься безопасностью только в 2013 году. Еще с 80-х годов прошлого столетия компания IBM работала над созданием центров оперативного реагирования на угрозы кибербезопасности. Тогда они еще даже не носили привычного сегодня названия Security Operations Center (SOC), но их главная задача заключалась в реагировании на инциденты внутри компаний. К середине 90-х годов на рынке уже появился спектр инструментов для управления журналами событий, а позже и Security Information and Event Management (SIEM), что в последствии помогло трансформировать наши подходы к построению SOC. И сегодня IBM является одним из самых крупных поставщиков решений и сервисов в этой сфере. Мы построили сотни таких центров, в том числе и в Азербайджане, а также консультируем наших клиентов по вопросам выявления и реагирования на угрозы безопасности.

Наша миссия — сделать мир немножко безопаснее за счет использования доступных технологий и сервисов от компании IBM. Хочу отметить, что в числе подобных решений есть и бесплатные предложения, например, для сферы образования в рамках взаимодействия с университетами в вопросах реализации совместных академических инициатив. Это позволяет выпускникам вузов, проходивших обучение на факультетах IT и информационной безопасности, выходить на рынок труда с предметными знаниями. Одним из таких выпускников вуза по направлению безопасности являюсь и я, но в те годы еще, к огромному сожалению, не было таких инициатив, и процесс моей адаптации к требованиям рынка был значительно дольше, нежели теперешних выпускников, которые имеют доступ к передовым технологиям прямо с учебной скамьи. Я считаю, что эта программа очень выгодно отличает IBM от других компаний, потому что мы инвестируем не только в локальные рынки, но и в локальные знания. Любой вуз может получить доступ к нашей базе знаний и к нашему программному обеспечению абсолютно бесплатно для того, чтобы обучать молодежь технологиям и практикам в области информационной безопасности. Кроме того, мы даем возможность строить информационную безопасность не только крупным корпоративным клиентам, как это делают многие другие вендоры на рынке. Наши технологии и практики применимы даже для небольших стартапов. Именно поэтому мы считаем, что рынок нуждается в создании высококвалифицированного локального community с высокими требованиями к потребляемым услугам и технологиям.

— Как азербайджанским вузам получить доступ к подобным академическим инициативам?

— Учитывая ограничения, наложенные на поездки в связи с пандемией, активно продвигать эту программу и взаимодействовать с вузами без локального присутствия было крайне сложно. Но это не значит, что абсолютно любой вуз, прочитав наше с вами интервью, не может написать мне письмо ([email protected]) с запросом на участие в этой программе. И я уверен, если учебное заведение соответствует достаточно простым критериям, то в течение нескольких недель мы сможем оперативно организовать доступ к нашему программному обеспечению и к самой программе академической инициативы. Кроме того, вы можете зарегистрироваться на нашем портале IBM Security Learning Academy (https://www.securitylearningacademy.com) и абсолютно бесплатно проходить курсы по нашим решениям в сфере информационной безопасности. Тут нет никаких ограничений в плане того, что вы должны быть сотрудником компании из определенного сегмента экономики или государственной организации. Мы сами проходим обучение на базе этого портала, получая информацию о новых продуктах и технологиях IBM.

— А готовы ли вы оказывать поддержку локальным стартапам?

— Если говорить о взаимоотношении IBM со стартапами, то у нас есть несколько направлений взаимодействия. Одно из них строится на желании стартапа получить доступ к нашим ресурсам и технологиям. И осуществить это достаточно просто. Но лично мне нравится другая инициатива, которая называется IBM Hyper Protect Accelerator. Идея заключается в том, что в течение первого года нашей акселерационной программы компания предоставляет избранным стартапам доступ к кредитам в виде технологических решений на сумму 120000 долларов, которые можно использовать для защиты конфиденциальных данных клиентов. Все это реализуется в защищенном облаке IBM для того, чтобы сам стартап мог сфокусироваться на своей конечной цели, будь то создание нового продукта, решения или сервиса. Кроме того что обеспечение вопросов безопасности на себя берет IBM, в рамках Hyper Protect Accelerator со стороны компании выделяются менторы. И зачастую этими менторами становятся выдающиеся сотрудники IBM, которые помогают с идейным развитием стартапа.

— 3 года назад IBM приобрела компанию Red Hat, чье решение OpenShift и стало основой многочисленных платформ Cloud Pak. Расскажите, пожалуйста, о преимуществах этого решения. Что привнес Red Hat в IBM и именно в сферу безопасности?

— Начну с того, что само приобретение Red Hat стало важной вехой в истории IBM. Я бы сравнил это с прохладным ветром с Каспийского моря, который позволяет облегченно вздохнуть после жаркого летнего дня в Баку. Мы очень благодарны коллегам из Red Hat за новые идеи, за абсолютно новые методики внутренних коммуникаций и взаимодействия с нашими клиентами и партнерами. Что же касается технологической инициативы, то, безусловно, на базе OpenShift у нас создано множество модульных направлений по безопасности, по аналитике, по разработке, по интеграции и по мониторингу. И благодаря OpenShift мы дали рынку такую прекрасную технологию, как Cloud Pak for Security. Это то направление, которое позволяет намного проще, доступнее и быстрее получать те или иные технологии в области обеспечения информационной безопасности, столь необходимые предприятиям в текущий момент времени.

OpenShift — это платформа для управления контейнерными средами, которая позволяет централизованно управлять нагрузками и максимально быстро запускать новые сервисы и приложения, не углубляясь при этом в точечное управление каждым из этих контейнеров. Как только возникнет необходимость, платформа буквально в два клика позволяет масштабировать вашу инфраструктуру. За счет этого вы можете как увеличивать нагрузку на вашу аппаратную инфраструктуру, так и уменьшать ее. Например, если у вас повысилось количество выполняемых задач на определенном участке сети, то вы легко можете поднять новые контейнеры для их выполнения. И когда объемы этих задач спадают, можно снизить нагрузку, перенаправив эти ресурсы на выполнение других, более актуальных задач. К тому же, OpenShift — это мультиплатформенное решение и никаким образом не привязано к компании IBM. Мы сами никогда не были приверженцами одной аппаратной платформы или одной системы виртуализации, поэтому и технологии работают на аппаратных платформах от очень разных производителей и на различных платформах виртуализации. Так что платформа OpenShift и решения IBM могут разворачиваться как в локальных ЦОД, так и в облачной структуре без каких-либо ограничений и ущерба для производительности или безопасности.

— Как IBM Cloud Pak for Security развивался с момента появления и какие инструменты сегодня включает этот пакет?

— Cloud Pak for Security был анонсирован в ноябре 2019 года и с того времени пакет постоянно развивался. Практически все наши клиенты на территории постсоветского пространства и в Восточной Европе очень настороженно приняли это решение. Нам постепенно удалось поработать фактически со всеми предубеждениями, а после добавления новых модулей в Cloud Pak for Security мы достигли этапа, что сегодня более 80% всех проектов в сфере информационной безопасности в наших странах как раз реализуются на платформе Cloud Pak for Security. И в Азербайджане в том числе достаточно много реализаций на этой платформе, так как клиенты видят ее исключительные преимущества, в числе которых как простота внедрения, прозрачность лицензирования, так и невысокий уровень общей стоимости владения. Но главное преимущество заключается в том, что в ядре предложения находятся все те же лидирующие технологии IBM Security, которые и позволяют выполнять поставленные задачи в области обеспечения информационной безопасности.

Что же касается инструментов, входящих в Cloud Pak for Security, то это фактически весь портфель технологий IBM в области безопасности. В рамках лицензирования подхода к Cloud Pak for Security наши клиенты могут использовать такие технологии, как SIEM, SOAR, DAM, EMM, IAM и другие, которые представляют собой системы управления, выявления и реагирования на инциденты безопасности, а также отвечают за интеграцию с внешними системами. Это могут быть базы данных для обогащения данных об инцидентах, как, например, Threat Intelligence Insights или помощник аналитика Threat Investigator, который позволяет автоматически анализировать инциденты безопасности, чтобы снизить нагрузку на аналитика, предоставляя ему уже готовую информацию о том, что на самом деле происходит, какие шаги злоумышленник выполнил, чтобы скомпрометировать инфраструктуру, и куда он потенциально может двигаться дальше. В дополнение к этому Cloud Pak for Security, конечно же, включает технологически наиболее продвинутый стек решений для защиты структурированных данных IBM Guardium.

— Насколько известно, пакет предложений Cloud Pak for Security также пополнили решения двух недавно приобретенных IBM стартапов — ReaQta и Randori…

— Да, это две наши новые команды. Команда ReaQta прекрасно зарекомендовала себя на европейском рынке и ей даже удалось привлечь инвестиции от Евросоюза. Ее приобретение произошло в 2021 году, и сегодня решения этой компании технологически интегрированы в наш Cloud Pak for Security, что позволяет выявлять и реагировать на атаки на уровне конечных точек, защищая рабочие станции и сервера наших клиентов. ReaQta использует технологии искусственного интеллекта для автоматического выявления и реагирования на угрозы, одновременно скрывая свое присутствие от потенциальных злоумышенников за счет компоненты NanoOS. Что касается покупки Randori, то это произошло в начале июня текущего года, то есть совсем недавно. Это крайне интересный стартап из Бостона, который занимается сразу несколькими направлениями на рынке безопасности. Являясь лидером в области управления зонами атак, Randori меняет подход к обеспечению безопасности в мире. Стартап создала группа людей, работающих над тем, чтобы каждая организация имела доступ к знаниям и инструментам потенциального злоумышленника. Randori дает возможность анализировать корпоративные сети и устройства на наличие брешей и слабых мест, позволяя командам безопасности решать проблемы до того, как ими воспользуются злоумышленники. В дополнение к этому Randori дает полный набор инструментов для Red Teaming (комплексная имитация атак — прим. ред.) и проактивного поиска угроз в инфраструктуре компании.

— В 2019 году по инициативе IBM был создан Open Cybersecurity Alliance (OCA). Чем сегодня занимается эта организация?

— Идея о прозрачной и понятной системе обмена данными между множеством продуктов различных производителей существовала достаточно давно. И сегодня все компании-партнеры OCA (https://opencybersecurityalliance.org/) или активные его участники предоставляют рекомендации по развитию и интеграции собственных технологий в сфере информационной безопасности, а также помогают развивать, классифицировать и систематизировать общую базу знаний о кибербезопасности. Одним из плодов совместной деятельности компаний в рамках OCA стал язык для проактивного поиска угроз Kestrel, на базе которого сегодня и строятся подходы в поиске угроз посредством IBM Cloud Pak for Security. И я верю, что через несколько лет благодаря активному взаимодействию участников Альянса мы сможем выявлять те угрозы, на которые в автоматическом режиме сегодня реагировать крайне сложно. За счет созданных новых подходов станет возможно определять малейшие отклонения в инфраструктуре и легко проверять гипотезы, касающиеся состояния защищенности компании. Более того, пользоваться этими технологиями смогут не только клиенты IBM.

— Насколько велика роль искусственного интеллекта и машинного обучения в решениях IBM в области кибербезопасности?

— Я бы изменил понятие искусственный интеллект, на добавочный интеллект или, как я люблю его называть, — внештатный консультант. И первое место здесь конечно же занимает IBM Watson, который может делать свои умозаключения на основании предварительного анализа угроз, тактик и техник, которые используют злоумышленники, и давать рекомендации аналитику. И мы продолжаем развивать способности этой платформы, возможности которой сегодня доступны нашим клиентам далеко за рамками IBM Cloud Pak for Security.

Если же мы будем говорить о машинном обучении, то чтобы перечислить все наработки в сфере информационной безопасности, нам потребуется несколько часов. Например, сегодня множество приложений для такой платформы выявления угроз, например, как QRadar, уже используют технологии машинного обучения. Они добавляют в решение новые алгоритмы, новые правила и новые подходы с точки зрения накопления данных. И каждое из этих приложений уникально. Но я бы отдельно отметил модуль поведенческого анализа, который является абсолютно бесплатным. Он создает модель поведения сотрудника компании и на основании отклонений в стандартных действиях может потенциально распознать проблему вроде кражи учетной записи или, например, желания пользователя перед увольнением получить доступ к каким-то критически важным данным компании. Следующий важный модуль — это, конечно же, модуль сетевого анализа трафика. На основании анализа каких-то аномальных отклонений мы позволяем выявить проблемы в сети, которые обычно остаются незамеченными. Это очень важно, так как 99% атак так или иначе могут быть обнаружены на уровне сети. Я считаю, что этот модуль в данный момент является одним из наиболее перспективных, поэтому во все, что касается анализа трафика в платформе IBM Cloud Pak for Security, необходимо инвестировать в ближайшее время. И еще один момент с точки зрения машинного обучения — это возможности нашей платформы по реагированию на инциденты, а именно создание перечня рекомендаций на основании накапливаемого в рамках расследования инцидентов опыта.

— Каким вы видите основной ландшафт киберугроз?

— В прошлом месяце было выпущено несколько невероятно интересных отчетов и исследований в области кибербезопасности. Во-первых, это квартальный отчет нашей исследовательской команды IBM Security X-Force. Мы продолжаем очень детально отслеживать деятельность группировки ITG23. До вторжения в Украину не было подтверждений тому, что ITG23 была нацелена на эту страну, а большая часть вредоносных программ группы даже была настроена так, чтобы не запускаться в системах, в которых был обнаружен украинский язык. Теперь же ситуация изменилась, и группировка начала активно атаковать организации в Украине. Причем, атакам подвергаются не только государственные организации и коммерческие структуры, но и обычные пользователи с использованием методов социальной инженерии, играющих на таких факторах, как гуманитарная помощь или количество жертв среди мирного населения. Таким образом, не столь активная группировка, главной задачей которой было зарабатывание денег, перенаправляет свою деятельность на осуществление массированных атак против конкретного государства. Я предположу, что этот тренд может стать актуальным для многих стран, поэтому постоянное укрепление кибербезопасности и создание рабочих сценариев для реагирования на угрозы подобного рода должны присутствовать в стратегии любого государства.

Следующий интересный отчет от компании Forescout был посвящен годовщине атаки на Colonial Pipeline в США. И в этом отчете основная роль была уделена обеспечению защиты IoT-устройств. Это проблема, которая не решена до сегодняшнего дня, и о которой еще в середине прошлого десятилетия начал говорить известный криптограф Брюс Шнайдер, несколько лет проработавший специальным советником IBM Security. Никак не проработаны вопросы аутентификации этих устройств, их взаимодействия между собой и т.д. Даже если посмотреть на эту проблему не в разрезе большой корпорации, а нашего дома, то становится понятно, что те 5-6 умных устройств, которыми мы пользуемся ежедневно и как-то справляемся с их управлением, через несколько лет превратятся в сотню. И мы не будем понимать, что с ними делать, как они работают и взаимодействуют, как их обновлять и т.д. Звучит смешно, но это немного грустно, потому что создание сенсоров, датчиков и различных устройств Интернета вещей сегодня абсолютно не централизовано. И пока не будет практик, подобных Secure by Design для IoT-устройств, пока мы не сможем их четко идентифицировать, пока мы не сможем управлять процессом взаимодействия между ними, угроза осуществления кибератак на и через подобные устройства будет существовать.

И, конечно же, еще одно направление информационной безопасности — это все, что касается аутентификации пользователей. Пока существуют пароли, пока есть возможность скомпрометировать нас с вами с помощью методов социальной инженерии, эта угроза будет оставаться одной из самых больших проблем. Но при этом я не преуменьшаю другие тренды в области кибербезопасности и считаю, что обучение пользователей основам киберзащиты является одним из самых важных элементов комплексного подхода.

Хочу отметить одну приятную тенденцию, которую я наблюдаю на рынке региона, где я работаю с 2008 года, — это постоянное повышение уровня зрелости клиентов. Мне как человеку которому интересно заниматься темой информационной безопасности, приятно видеть, что сложность проектов увеличивается. Перед нами ставятся новые задачи, которые четко вписываются в рамки описанных ранее процессов или моделей угроз для каждой организации. И когда мы внедряем ту или иную технологию, она гармонично в эти процессы вписывается. Сейчас большинство проектов — это сложные, интересные, регламентированные процессы. И честно вам скажу, мне это очень нравится. Мы же будем делать все возможное для того, чтобы помочь клиентам выполнять эти задачи не только с технологической точки зрения, но и с точки зрения экономической эффективности от внедрения наших технологий.

— Какую роль играет компания R.I.S.K. в продвижении платформы IBM Cloud Pak for Security?

— По сути любая компания может заниматься направлением информационной безопасности. Это так же, как если бы любой человек взял мяч и пошел на футбольное поле. Но у каждого это будет получаться по-разному, потому что кто-то тренируется каждый день по несколько часов самостоятельно, за кем-то в процессе тренировки наблюдает инструктор, а кто-то до этого не делал ничего. Компания R.I.S.K. является прекрасным примером взаимодействия всей команды. Например, в этой компании работает Фуад Меджидов, который отвечает за направление IBM. Возвращаясь к моему сравнению, — это человек, который каждое утро совершает пробежку, интенсивно тренируется и работает с тренером. И это крайне важно, потому что, если хочешь чем-то заниматься, это нужно делать немножко лучше, чем другие, и обязательно демонстрировать эту ценность клиенту. У нас есть несколько партнеров, с которыми мы работаем на территории Азербайджана, но если говорить о тех дополнительных инвестициях, которые компания делает именно в развитие направления IBM Security, то, конечно же, я не могу не отметить компанию R.I.S.K., которая носит статус IBM Gold Business Partner и активно продвигает нашу концепцию безопасности, в частности, Cloud Pak for Security.

Будем рады оказать вам поддержку во внедрении решений и технологий IBM Security в IT-инфраструктуру вашей компании.
Для получения дополнительной информации, пожалуйста, свяжитесь с [email protected].

(+99412) 497 3737 | https://risk.az