Контакты
Подписка
МЕНЮ
Контакты
Подписка

Машина станет лучшим сотрудником безопасности

Машина станет лучшим сотрудником безопасности

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Машина станет лучшим сотрудником безопасности

Джеффри Баер
(Geoffrey Baehr), генеральный партнер Almaz Capital
Джеффри Баер – генеральный партнер фонда Almaz Capital, специализирующегося на инвестициях в различных областях: безопасность, системы связи, аналитика и большие данные. В настоящее время Джеффри работает над программно-конфигурируемыми платформами, сетями и анализом данных; занимается моделированием, управлением и контролем за виртуализированной инфраструктурой. Член Института инженеров электротехники и электроники (IEEE) и Ассоциации вычислительной техники (ACM).

– Джеффри, вы работаете в сфере информационных технологий с 1980-х гг. Расскажите, пожалуйста, как развивалась ваша карьера.
– В конце 70-х я создавал сети инженерно-технического обеспечения для отделений интенсивной терапии, затем стал главой отдела проектирования систем жизнеобеспечения крупной сети медицинских предприятий, после – в начале восьмидесятых – обслуживал транспортные системы с применением набора протоколов XNS для ОС VMS/System V в "Юниксе"; работал на TRW – для них я разрабатывал очень крупные сети. В середине 80-х я присоединился к Sun Microsystems ["Сан Майкросистемс"]. До 2000 года был старшим сотрудником по обслуживанию сетей (техническим директором по сетям). Основал форум АТМ, работал приглашенным редактором сетевого журнала, посвященного спецификациям IEEE. У меня 15 патентов в области компьютерной техники, в том числе на брандмауэры с отслеживанием состояния соединения.

Мы первыми создали такой межсетевой экран. Я очень рано начал работать в сети Интернет. Ребята у нас в "Сан" впоследствии работали над такими проектами, как ранний набор стандартов 802.11, автошифраторы (IKE/SKIP/Oakley/IPSec), протокол IPv6, IP для мобильных устройств, обнаружение сервисов и прочее. Еще я работал в "Ферст Персон" (java) в "Сан" и вместе с Джеймсом Гослингом выиграл первую награду президента для инженеров сетей. Я еще дважды получал эту награду, а потом еще и награду за особый вклад от генерального директора за реализацию различных технических проектов. Несколько десятилетий я работал в области организации сетей и безопасности – это было частью моей специализации в вычислительных сетях.

Когда я ушел из "Сан" в 2000 году, стал генеральный партнером в US Venture Partners. В фондах компании в ту пору было несколько миллиардов долларов. Мы инвестировали в такие компании, как "Сан", "Чекпоинт", "Бокс", "ОнкоМед", "Зерто", "Имперва", GoPro, "Мелланокс", "СанДиск", "Вонту" и "Яммер".

– Какие явления и люди повлияли на вас в профессиональном плане? Кого бы вы назвали своим учителем и почему?
– Именно нетворкинг привнес в мир фундаментальные изменения. Я рано научился молчать и слушать людей, которые умнее меня, а здесь таких людей много!

– С 1988 по 2000 гг. вы управляли сетевыми технологиями в "Сан Майкросистемс". Как, по-вашему, какие угрозы для безопасности корпоративных пользователей в корпоративных сетях самые сильные?
– Тут безоговорочно лидируют люди. Гораздо важнее установки и применения всяких устройств и машин для компании является задача привития правил безопасности, если угодно – вживление этих правил в ДНК. Без поддержки со стороны общества и руководящих кадров, без планирования и обратной связи все прочее попросту напрасно.

Первый провайдер облачной среды, которому удастся додуматься до того, как заставить систему работать, и добиться непрерывной непроницаемости облачной среды, практически захватит рынок.

– Из каких элементов должна состоять эффективная система сетевой безопасности компании?
– В нашей среде есть такая шутка: как известно, лучшим работникам в области сетевой безопасности, невозможно найти стеки сетевых протоколов, разработать ОС, создать язык, написать компилятор, пишущий сценарий, узнать архитектуру Web-сервиса, знать современные методы и инструменты кодировки, векторы атаки... а все это необходимо.

Нужны лучшие человеческие ресурсы, но все действия должны быть спланированы заранее: какие меры предпринять, когда что-то происходит, кто за что отвечает, что, в случае возникновения неприятностей, должны делать юристы, финансисты, инженеры, операторы и вообще – все отделы и службы компании (а они непременно будут действовать).

– Каковы основные требования к программному обеспечению, используемому для безопасности корпоративных сетей?
– Понимание того, что многоуровневая защита состоит из различных пакетов, каждый из которых работает на высшем уровне в своем классе, а также понимание того, что эти инструменты должны эволюционировать вместе с угрозой, которой они противостоят. Неправильно думать, что можно установить пакет А и потом два года ничего не делать.

– Многие люди до сих пор не доверяю IoT. Тем не менее, эта технология продолжает развиваться. Ее внедряют крупные промышленные предприятия. По результатам исследования, проведенного отделением по изучению общественного мнения Международного института маркетинговых и социологических исследований, рост угрозы кибератак на такие учреждения является одним из наиболее острых вопросов. Что можно предпринять для того, чтобы повысить уровень безопасности промышленных предприятий, не тормозя при этом их прогресс?
– Становится ясно, что этого можно добиться, пропуская трафик IoT через специальную сеть, разработанную для защиты данных. Никогда, ни за что не удастся полностью модернизировать ни один объект Интернета вещей. Недавние DoS-атаки на IP-видеокамеры, основанные на уязвимости самих камер, будут наблюдаться еще как минимум два года. А когда вы обновляли программно-аппаратное обеспечение своей стиральной машины, подключенной к Интернету? В том-то и проблема. Поэтому возникает необходимость в наличии интеллектуальной сети, проводящей и изучающей трафик, с функцией оценки качества услуги и формирования трафика, и так далее.

– Может ли быть так, что Интернет вещей повышает уязвимость промышленных компаний, снижает их уровень безопасности?
– Совершенно верно. В системах, охватывающих целые континенты, – возьмем, к примеру, линии электропередач, – очень сложно даже проверить наличие оборудования в системе.

Самая серьезная угроза для корпоративной сети – люди. Для компании гораздо важнее, чем установка и применение различных устройств и машин, – привить правила безопасности персоналу, если угодно – вживление этих правил в ДНК. Без поддержки со стороны общества и руководящих кадров, без планирования и обратной связи все прочее попросту напрасно.

Вот что приводит меня в ярость: раньше были отдельные, внеполосные цепи для обеспечения резервного интернет-соединения, на случай неисправностей. Но их убрали. Сейчас все соединения – внутриполосные, альтернативных путей доступа нет. А убрали эти выделенные цепи для снижения затрат.

– Говоря о новых технологиях, применяемых промышленными предприятиями, важно упомянуть облачные технологии. Большинство экспертов полагает, что идея ввести общественную облачную среду в некоторых ключевых компаниях является абсурдной. Однако рынок развивается, и многие системы управления начинают работать в облачной среде. С одной стороны, это позволяет снизить затраты, а с другой – ошибки и неисправности могут иметь катастрофические последствия. Видите ли вы какие-либо альтернативные способы обеспечения безопасности сторонних сервисов, отличные от тех, что используются сейчас?
– Ну, довольно популярным является гибридный подход, объединяющий частные облака в центры данных, но при этом придется смириться с разделением данных в конкретном облаке от данных других пользователей, невозможностью перехода от одной виртуальной машины к другой, и вообще – во многом придется действовать наобум. Я думаю, что первый провайдер облачной среды, которому удастся додуматься до того, как заставить систему работать, и добиться непрерывной непроницаемости облачной среды, практически захватит рынок. Кроме того, есть ряд групп, занимающихся проектами вроде зашифрованных баз данных с возможностью поиска (без дешифровки результатов). Такие проекты кажутся мне многообещающими. Но необходимо очень тщательно следить за тем, как, кому и куда направляются те или иные данные, – даже при таком подходе.

– Мировые эксперты отмечают следующие тенденции: распространение политики BYOD и выход за пределы корпоративной безопасности. Что вы думаете об этой технологии?
– Хм-м-м... Весь ряд компаний – очень хороших компаний, – применяющих схему BYOD, можно распределить на 2 категории: они либо сносят операционную систему с аппаратных средств и так получают над ними контроль, либо запускают операционную систему устройства на виртуальной машине и так отсекают ее от "железа". Организация распределения приложений и контроль за таким распределением – вот что важно. Нужно иметь возможность уничтожать или изолировать вредоносные приложения, подтверждать хорошие приложения и иметь возможность контролировать все процессы: кто чем когда и с помощью каких данных руководит. Это серьезный вопрос для компаний со штатом в сто тысяч сотрудников. Изоляция личной области работника на устройстве от области предприятия, содержащей принадлежащие предприятию приложения и данные, – это очень важная задача. При наличии приложений собственной разработки решить ее становится сложно. Скажем, людям могут в любое время потребоваться корпоративные данные и все в таком духе. Малейшая огреха в системе – и все летит в трубу.

– Как снизить риски для предприятий при использовании политики BYOD?
– Эта тема невероятно обширная, дискутировать по ней можно часами. Но ответ все равно один: нужно взращивать в компаниях культуру безопасности, вводить правила применения техники безопасности и прежде всего – быть готовыми к тому или иному инциденту.

– Каковы, по-вашему, самые многообещающие тенденции в области информационной безопасности?
– Микросервисы с зависимостью от пользователя и внесерверная обработка данных. К чему знать что-то еще об устройстве или операционной системе, кроме того, что это хранилище? Нужно просто предоставить пользователям услугу, чтобы они могли вставлять необходимые данные в сервисы, из которых складывается приложение в другие и даже продавать "вставные" сервисы друг другу. Здесь возникает множество вопросов к безопасности, но идея осуществима.

Внесерверная обработка данных – это практически то же самое, но подход в ней иной: "Знать ничего не желаю, но мне нужно, чтобы при совмещении восьми приложений в одно мое была бы предоставлена такая и такая услуга". Разумеется, тут возникают обычные вопросы о взаимозависимости, в том случае, если возникает отказ при выполнении одного приложения, но этими вопросами занимается несколько экспертных групп.

– Как вы можете оценить современные средства безопасности? За какими технологиями будущее?
– Во-первых, при современном состоянии уровня безопасности в мире используемые в настоящее время инструменты больше не работают. Пример технологии из прошлого десятилетия – антивирусные программы. Во-вторых, угрозы делаются с точным прицелом на каждую конкретную цель. В-третьих, атаки проводятся высокообразованными людьми, во многих случаях – при финансовой поддержке государства. И наконец, непрекращающееся совершенствование угроз для всех уровней операционной системы, языка, сети и аппаратного обеспечения. Все вышесказанное приводит нас к нескольким выводам:

  • для изучения трафика необходимо большое количество аппаратных средств слежения по всему Интернету. То же самое необходимо в пределах корпораций;
  • собираются обширные массивы данных о параметрах трафика, их сдвигах и изменениях;
  • результаты приносит только подход, рассматривающий крупные объемы данных и предусматривающий обучаемость машины.

В настоящее время ведется разработка процессоров, которые позволят проводить обучение машины, объем работы в направлении обучения машин обширен и все возрастает.

В мире безопасности изучение закономерностей и особенностей того, что является "нормальным", а что – нет, будет играть ключевую роль. Сложные атаки во многих отношениях очень утонченные и могут таиться месяцами перед непосредственным началом атаки. План заключается в том, чтобы создать машину, способную постоянно следить и учиться тому, что нормально, а что нет.

Обучение машины может также быть динамическим, чтобы отражать атаки в реальном времени. Это очень привлекательная область работы, в ней задействованы многочисленные проекты. К ним относится изоляция угроз путем создания виртуальной среды, разделение сети, карантин в конечной точке и прочее. Речь здесь идет не о виртуальных выделенных сетях.

Но самой увлекательной новой областью является безопасность Интернета вещей. Стало ясно, что нельзя ожидать наличия самых современных аппаратных средств у каждого устройства, подключенного к сети Интернет. Новые стартапы работают над тем, чтобы сама сеть стала устройством, обеспечивающим безопасность. Это означает что-то вроде этого: подсоединяем сеть с устройствами IoT к выделенной внешней сети через специализированное устройство "маршрутизации безопасности", передаем весь трафик IoT через это устройство в специальную внешнюю сервисную сеть, которая имеет обширные ресурсы для обучения машины, изучаем и очищаем трафик в этой сети и затем снова передаем его на устройство.

Нам известно как минимум о трех стартапах, соревнующихся между собой за возможность устанавливать такие сети на предприятиях.

С этим подходом связано множество вопросов, но он весьма перспективен. Кроме того, он активно продвигается как средство сетевой безопасности для дома/личной безопасности частных абонентов.

Тем не менее, сам по себе Интернет остается уязвимым. Прошло почти 30 лет, а мы так и не поумнели: входящий контроль трафика не выполняется, не ограничивается ширина полосы по ее географическому происхождению, система доменных имен до сих пор неустойчива, сложна и подвержена атакам. Протоколы маршрутизации также уязвимы. Нам над многим предстоит работать. Когда работа над этими задачами велась много десятков лет назад, мы и заикнуться не могли о том, что многие вопросы безопасности были оставлены без внимания нарочно.

Нет способа гарантировать полную безопасность. Нужно зарождать и развивать культуру безопасности на предприятиях, разрабатывать ответные меры на случай атак, назначить команду на случай чрезвычайной ситуации, создать меры юридического отпора, противодействия в области связей с общественностью и принимать прочие подобные меры, так как чрезвычайная ситуация возникнет с вероятностью 100%.

Людям нужно понять: возможно, нет способа гарантировать полную безопасность. Нужно зарождать и развивать культуру безопасности на предприятиях, разрабатывать ответные меры на случай атак, назначить команду на случай чрезвычайной ситуации, создать меры юридического отпора, противодействия в области связей с общественностью и принимать прочие подобные меры, так как чрезвычайная ситуация возникнет с вероятностью 100%. Роль начальника службы безопасности, по большому счету, заключается в том, чтобы создать, испытать, привить и заставить работать культуру безопасности, а не просто приобретать новейшие устройства и заявлять, что проблема решена.

На нашем попечении находятся несколько перспективных стартапов, например в области автоматизации проверки добросовестности действий работников, слежение за перемещением информации и встраивание информации в потоки данных. Все это намного превосходит защиту от утечки данных, так сказать, по старинке. Здесь речь идет о том, что машина обучается поступать с информацией так, как поступает человек, а также учиться тому, что делать, если допущена ошибка.

Если вы не осознаете масштаб обучения машины, то мы, как правило, рассматриваем 1 миллион CPU-часов, затраченных на обработку данных при запущенном интерфейсе. Вот для этого и создаются специализированные процессоры. А я помню времена, когда 1 CPU-час – было очень много!

– Что может стать стимулом на рынке информационной безопасности в таких сложных условиях?
– Страх!

– Какова идеальная экосистема информационной безопасности предприятия?
– Позвольте процитировать одного моего друга: он в свое время был начальником отдела информационной безопасности в PayPal и E-bay. Он всегда говорит, что одной точной подготовки к эксплуатации недостаточно, необходимо все планировать заранее. Тестирование, проверка достоверности, обратная связь, оперативное противодействие и т.д.

– С 2009 года вы работаете консультантом в Almaz Capital Partners и с 2012 стали генеральным партнером фонда. Сколько стартапов в год вы рассматриваете и сколько получают вашу поддержку?
– До своей работы в Almaz Capital Partners, я был генеральным партнером в US Venture Partners, и в год мы рассматривали от 3 до 5 тысяч стартапов. Здесь же в год поступает до 3 тысяч заявок, из которых мы выбираем, пожалуй, 5.

Изоляция личной области работника на устройстве от области предприятия, содержащей принадлежащие предприятию приложения и данные, – это очень важная задача.

– Есть какие-либо показатели, по которым можно определить успешный стартап?
– Да. Во-первых, это команда. Если у вас хорошая идея, но плохая команда, вас ждет неудача. То же самое, если команда не соответствует мировым требованиям или же члены команды не могут работать вместе в гармонии и доверии друг к другу. Я видел, как средненькие идеи венчались огромным успехом, поскольку над ними работала отличная команда, и видел, как тонут отличные идеи из-за скверно подобранной команды. Все остальное – решительно все остальное – вторично.

– Что должен предоставить стартапер, чтобы заинтересовать инвестора?
– Ладно, вот вам шпаргалка (смеется). Пункты выполняются по порядку:

  1. Команда. Соответствуют ли все участники мировым требованиям, занимались ли они чем-то подобным раньше, смогут ли сработать лучше, чем от них ожидается.
  2. Технология. Намечается ли что-то сложное, решает ли эта технология какую-либо фундаментальную проблему, для решения которой она и вводится. Сколько времени уйдет у конкурентов на такой же проект? Сможете ли вы сохранять лидирующие позиции?
  3. Рынок. Будет ли пользоваться эта технология широким спросом на рынке? Если нет, то как его инициировать? (Венчурные компании не любят ждать, пока разовьется рынок.) Во сколько обойдется получить долю Х% рынка и где будет этот рынок? Как и кому продать? Если модель продаж для рынка выбрана неверно, то заработать будет очень сложно.
  4. Финансы, как ни странно, всегда упоминаются в последнюю очередь. С финансированием мы разберемся. Проект должен доказать, что он сможет достичь конкретной намеченной цели, например создать резерв в 6 млн долларов. На самом деле нас больше интересует логика того, как данная команда дошла до вывода, что им нужна именно такая сумма, и как они смогут это доказать.

Но снова и снова мы видим одну и ту же ошибку: инициатор идеи полагает, будто нам известно, что значат все их акронимы и прочее. Лучшие планы составляются так: вот проблема, которую мы решаем, спрос на мировом рынке на решение вот такой (у нас есть данные, чтобы это подтвердить), вот столько-то мы заработаем на каждой копии, вот доказательство наличия интереса. А вот тут – стоп! Нечего рассусоливать после того, как вы нам продали! Я видел, как продажи идут прахом из-за пустой болтовни.

– Обязательно ли стар-тап должен привлекать венчурные инвестиции? Нельзя ли развиваться за свой счет или на заемные средства, но без передачи кому-то части своего бизнеса?
– Конечно можно. Это личный выбор каждого. Подлинная задача денег венчурных компаний – предоставить "топливо" для увеличения продаж, или загрузок. Этого можно добиться собственными силами, но это займет больше времени, а поскольку большинство компаний оправдывают свою стоимость благодаря темпам роста, а не только чистой прибыли, то приходится использовать деньги венчурных компаний, чтобы давить на газ и не останавливаться.

– Должен ли стартап выбирать фонд или принимать первое сделанное предложение о финансировании?
– О, отличный вопрос! Мы заставляем все компании, с которыми ведем переговоры, проводить комплексную проверку нашей компании! Конечно же, и мы их проверяем: нам нужно узнать людей, которых мы снабжаем деньгами. Но мы всегда интересуемся, был ли контрагент доволен результатом, помогли ли мы ему добиться этого результата и так далее. Можно найти, как мы это называем, дурные деньги, но ведь хочется, чтобы люди помогли тебе преуспеть, создать первоклассную команду и дать выход на нужных тебе людей.

Идеальной экосистемы информационной безопасности не бывает. Необходимо все планировать заранее. Тестирование, проверка достоверности, обратная связь, оперативное противодействие и т.д. Одной точной подготовки к эксплуатации недостаточно.

– Что делать проекту, если венчурная компания откажется от предложения?
– Задаться вопросом, почему отказали. Что не так с предложением? Идея? Команда? Рынок? Не забывайте, некоторые идеи проходят через 30–40 венчурных компаний, прежде чем получают финансирование. Хотя если все компании говорят одно и то же, например: "Нет, здесь на рынке спроса нет" или "Вы продаете местным правительственным учреждениям, а они покупают долго и нудно", то, возможно, финансовое сообщество пытается передать вам некое послание, и к нему стоит прислушаться.

– Можете вспомнить какой-нибудь проект, об отказе которому вы потом пожалели?
– А, вы о "Скайпе"? Или о "Тесле"? (смеется)

– Какие тенденции венчурного инвестирования в области информационных технологий вы бы назвали наиболее многообещающими?
– Думаю, очень важна возможность иметь команды, рассредоточенные по 10 часовым поясам, работающие как одна команда, без необходимости физического контакта между собой. Адаптивное кодирование, управление командой, использование инструментов вроде "Канбан" и "Атлассиан" в корне меняют процесс написания кода командами.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2016

Приобрести этот номер или подписаться

Статьи про теме