Андрей, насколько сложно обеспечивать безопасность в такой большой компании?

Такая раздробленность и неоднородность направлений нашего бизнеса очень сказывается на требованиях к безопасности. Выбирая какие-либо решения для ИБ или IT, мы обязательно должны учитывать не только задачи конкретной компании холдинга, а еще и ее место в общей инфраструктуре. Например, защита конечных точек должна одинаково хорошо работать на компьютере как менеджера розничного магазина, так и Sales Manager`a IT-дистрибьютора, бухгалтеров, IТ-сотрудников или руководителей. Разумеется, типы угроз, частота атак и их специфика совершенно разные. Компьютерная техника, используемое ПО и знания в IT сфере разные, а справляться со всем должна единая система безопасности.

Какие отделы занимаются безопасностью? 

Раньше защитой конечных точек и сети занималось IT-подразделение. С ростом угроз, появлением новых решений и анализа рисков ИБ мы поняли, что для оперативного реагирования на современные киберугрозы нужно обеспечивать безопасность не по остаточному принципу, а в первую очередь. Да и по сути, на IT лежат вопросы поддержки инфраструктуры — чтобы все работало, вовремя чинилось и т.д. Безопасность — это целый отдельный кластер в структуре компании, задачи которого хоть и перекликаются с задачами IT-отдела, но по большей части все же отличаются как в техническом плане, так и в самой сути. Поэтому мы решили провести небольшую реформу и переместить всю техническую безопасность в отдел информационной безопасности.

Недавно вы внедрили решение для защиты данных в облаке (CASB) и для обнаружения угроз на конечных точках и реагирования на них (EDR). Расскажите, как пришли к необходимости этих решений? 

Мы достаточно долго шли к той инфраструктуре, которая у нас есть сейчас. Вначале это были пробы работы с облачными ресурсами, затем повальная миграция сервисов в облака. С переходом в облака мы должны были срочно разобраться, как обеспечивать качественную защиту и понимать, что происходит с нашими данными. Прежде всего этот запрос поступил от бизнеса, для повышения гибкости и оптимизации бизнес-процессов. Перед нами остро стал вопрос – как обеспечить безопасность данных в облаке для сервисов Office 365, контроль перемещения данных в них и разграничение доступа, где бы не находились пользователь и устройство (на работе или дома).
Решили не формировать разрозненную инфраструктуру безопасности, поскольку для ее сопровождения нужно больше ресурсов и прежде всего – больше специалистов. Поэтому изначально, проанализировав решения нескольких производителей, решили строить безопасность на продуктах McAfee. Соответственно, масштабировать безопасность тоже решили с использованием продуктов этого производителя. Так у нас появился весь антивирусный комплекс по защите конечных точек. Позже, как я уже говорил, мы начали активно использовать облачные сервисы, и поэтому нам понадобился брокер безопасного доступа в облако. CASB от McAfee — это лидер в данном классе решений, что тогда, что сейчас.
Но антивирусная защита на земле и в облаке – это только часть безопасности. Сложность и количество векторов атак значительно выросло за последнее время. Для нас стало очевидно, что решения защиты, пусть даже «продвинутый антивирус», не могут дать полной видимости того, что у нас происходит в сети и на конечных точках. С помощью него нельзя построить форензику и полноценно расследовать инциденты ИБ. И он, по сути, для этого и не предназначен. Поэтому мы решили приобрести EDR. С таким набором инструментов мы были готовы ко всему, и пандемия не застала нас врасплох. В течение одного дня мы смогли полностью перейти на удаленный режим работы.

Какие критерии были главными при выборе CASB и EDR? 

На нашем рынке все-таки первое место занимает цена — многие компании не могут позволить себе колоссальных трат на безопасность, а потому иногда вынуждены идти на компромиссы в виде опенсорсных решений. У нас тоже не было полной финансовой свободы, но бюджет позволял выбрать решение в лучшем соотношении цена/качество. Продукты McAfee всегда находятся в лидерах на рынке и часто оказываются значительно дешевле конкурентов.

Следующий критерий — возможность интеграции с другими компонентами инфраструктуры. Без подобной гибкости, безопасность не будет единой логичной системой, а просто несвязанным набором инструментов, что само по себе снижает эффективность безопасности в целом. Интеграция решений «из коробки», в случае с McAfee, не только ускоряет выявление сложных угроз, но и дает возможности автоматизации для быстрого реагирования на них.

Ну и замыкает тройку, разумеется, функционал самого продукта. Одной из главных задач у нас является контроль и защита Office 365. Пилот решения CASB от McAfee показал, что продукт обладает широким функционалом и, что немаловажно, удобным интерфейсом. Также нас привлекло то, что решение является абсолютным лидером по результатам оценки Gartner.

Какие были альтернативные варианты решений безопасности? 

На первый взгляд, альтернатив казалось много. Но когда начали углубляться, оказалось, что многие продукты еще не такие «зрелые». Сейчас многие производители расширяют свои продуктовые линейки, и их продукты на этапе вывода на рынок могут иметь достаточно невысокую стоимость. А вот их возможности далеко не всегда решают актуальные задачи безопасности.
Мы остановились на 2-3 производителях. Взвесив все факторы после проведения пилота, в итоге мы выбрали решения McAfee. Одним из важных факторов было то, что у McAfee достаточно сильные решения не только для защиты конечных точек, но и для защиты облака.

Как прошло внедрение решений? 

С внедрением CASB, EDR и других продуктов вендора никаких проблем не было. По части CASB отмечу, что большую роль играет подробная и понятная документация — все настройки, схемы и варианты интеграций уже предоставлены «из коробки». Например, решения CASB и EDR поставляются как SaaS и не требуют установки серверной инфраструктуры. Я сам все интегрировал без каких-либо дополнительных обучений и создавал начальные политики. Там нет каких-либо серьезных сложностей.

Порадовало то, что все наши наработки с пилотной версии перешли в платную лицензию, так что нам не пришлось начинать с нуля.

Кстати, легко ли управлять сразу всеми системами безопасности?

Удобное управление, наверное, один из тех критериев, на которых базировался наш выбор. У McAfee это решается с помощью ePolicy Orchestrator — единой консоли для управления всеми решениями безопасности. Так как для нас актуальна задача совладать с разными решениями для защиты инфраструктур неоднородных компаний, подобная оркестрация становится обязательной. Управление с единой точки мы давным-давно определили как критерий отбора любой защиты.

Что вы лично отметили в продуктах McAfee? 

Внедряя CASB, мы нуждались в брокере безопасного доступа к О365. Иногда внедрение чего-то нового добавляет новых проблем с производительностью и дает нагрузку на систему. Как результат — ИБ и IT начинают конфликтовать и выяснять приоритеты. Но McAfee не нагружает инфраструктуру и позволяет всем спокойно работать.

Решение CASB удобное, так как политики быстро и легко настраиваются, их можно подогнать под себя до мелочей, подвязать устройства и так далее. Иными словами, это не отнимает много времени. Разумеется, идеальных систем не существует, и бывают профилактики, обновления и какие-то нюансы. Но главное – проблемы случаются редко, а вендор быстро на них реагирует.

Про решение EDR скажу, что оно очень расширяет возможности защиты и действительно помогает в работе — значительно повышает видимость происходящего, возможности для оперативного блокирования процессов, упрощает определение связей между событиями безопасности и дает возможность быстро принимать меры.

Какие другие инструменты McAfee вы используете?

У McAfee есть MVISION Insights, который у нас тоже включен в функционал. Хоть, на первый взгляд, это довольно факультативное решение (оно непосредственно ничего не защищает и не блокирует), практической пользы от него куда больше, чем может показаться.

Я бы сказал, что это решение относится к проактивной защите. Во-первых, MVISION Insights перепроверяет вас, т.е., по сути проводит аудит политик безопасности. Если специалист забыл активировать какую-то функцию, политику безопасности или где-то не установил продукт, критически важный для отражения атак — решение это заметит и оповестит его.

Во-вторых, оно заменяет кучу подписок на разные новости и прочие ресурсы. Вы узнаете, как меняется ландшафт угроз в мире, в Украине, по направлениям бизнесов. Вы получите полную информацию об их маркерах компрометации, целях атак, а также данные от других вендоров по этим атакам. В самом решении вы сможете сопоставить полученную информацию с MITRE ATT&CK и оценить, какая из атак является потенциальной угрозой для вашей компании.

Что вы можете в целом сказать про комплекс решений по безопасности от McAfee? 

Я бы назвал решения McAfee конструктором, где многое зависит от самих специалистов и того, как они спроектируют защиту. В этом смысле архитектура решений и подходы – это фундамент, на котором строится безопасность. Изначально мы для себя отметили, что с платформой безопасности и подходами McAfee мы сможем обеспечить интеграцию решений, а значит, и автоматизацию по реагированию на атаки. На этапе, когда мы определялись со стратегией развития безопасности, мы решили, что для нас это важно. Если к этому вопросу изначально не подойти системно, то можно получить «зоопарк» из разных решений, а вместе с тем – несвязанную и неэффективную инфраструктуру безопасности. На базе продуктов McAfee можно строить эшелонированную защиту на разных уровнях, при этом всем удобно управлять и все настраивать с одной консоли. У решений есть синергия. При этом отдельно взятые продукты тоже достаточно эффективны, поэтому решить можно абсолютно любые задачи безопасности.
Технологии производителя не стоят на месте. Для нас это заметно, т.к. мы их используем не первый год.На текущий момент у нас уже есть комплекс безопасности. Но мы видим, что нам не хватает Песочницы и SIEM, так что думаем над их приобретением. Я рад, что руководство с пониманием относится к нашим инициативам и проектам по развитию ИБ, ведь от безопасности, в первую очередь, зависит стабильность бизнес-процессов.
Если разбить решения, которые мы используем по функциональному назначению, то первое – это технологии антивирусной защиты. За последние 2-3 года они значительно усилились. Теперь это целый комплекс защиты с широким функционалом. Одна из новых функций – откат изменений, которые может внести сложная атака, например, шифровальщик. У McAfee это своя разработка.
Второе – это системы мониторинга сложных атак. Здесь появился EDR нового поколения с искусственным интеллектом, который здорово помогает при расследовании инцидентов. ИИ очень ускоряет принятие решения. Год назад мы как раз сделали апгрейд на эту версию. Я считаю, что MVISION EDR в этом смысле незаменим для быстрого обнаружения и реагирования на атаки. И третье, как я говорил ранее – это система проактивной безопасности. С помощью MVISION Insights вы можете заранее анализировать, какие атаки на данный момент распространены в нашей стране и готовить системы защиты так, чтобы атака не началась в организации.Таким образом, приобретая интегрированные решения от одного производителя (а они у McAfee интегрированы из коробки), можно получить хороший уровень автоматизации процессов ИБ и снизить дальнейшие затраты на обслуживание комплекса. Такой комплекс безопасности удобно масштабировать горизонтально и вертикально.