Содержание статьи

1998 год. Выход на свет из подземелий. Идеи создания журнала для энтузиастов, интересующихся еще не успевшей тогда сформироваться в России индустрией информационной безопасности, обретают форму.

В это же время пишутся строчки первого российского сетевого сканера безопасности XSpider, дальнейшая разработка которого приведет к появлению титана на рынке ИБ — компании Positive Technologies.

К началу третьего тысячелетия хакерское движение усиливается преимущественно в недрах андеграунда. Как грибы после дождя появляются похожие друг на друга форумы, где ведутся оживленные дискуссии о хитрых схемах пополнения кэша за счет уязвимостей в еще не обузданных технологиях, растет число преступных группировок, а в средствах массовой информации все чаще мелькают новости об инцидентах в IT-сфере. Однако в этой «черной» культуре выходят на свет «белые» ростки, которые впоследствии превратят ее в целую индустрию. Хакеры все чаще фигурируют в СМИ; создают программные продукты, так или иначе предназначенные для защиты информации; делятся своими знаниями и опытом с широкой аудиторией, не скрывая своих реальных имен и тем самым оправдывая статус специалиста, а не злоумышленника. Те, кто осознал тогда необходимость в обеспечении информационной безопасности конечного пользователя и корпоративной инфраструктуры, теперь уверенно держатся на ногах.

Одним из таких специалистов оказался Дмитрий Максимов, который в 1998 году начал вести разработку программы с целью обеспечения безопасности сетей, которые ему приходилось обслуживать. Спустя четыре года сканер безопасности XSpider становится «визитной карточкой» компании Positive Technologies, созданной специально для развития этого проекта. Мы посмотрим на сегодняшнюю индустрию информационной безопасности с «позитивной» позиции, которую будут представлять специалисты компании Positive Technologies: технический директор Сергей Гордейчик и эксперт по информационной безопасности Дмитрий Евтеев.

 

Интервью с Positive Technologies Денис Макрушин (журнал «Хакер»)

 

[М]: Какие инновации позволяют Positive Technologies удерживать свои позиции на рынке информационной безопасности? Система контроля защищенности и комплексного мониторинга MaxPatrol, широкий спектр оказываемых услуг или что-то еще?

Сергей Гордейчик (компания «Positive Technoloiges»)

[Г]: С моей предвзятой точки зрения, основа Positive Technologies — это экспертиза. Мы — экспертная компания, сделанная экспертами для экспертов. Среди нас ходит шуточка: «Даже у нашей уборщицы есть консалтинговая фирма PT Cleaning Services Inc». Это касается всех направлений деятельности компании. Даже MaxPatrol, если взглянуть на него с академической точки зрения, это типичная экспертная система. В связи с этим в PT было сформировано специализированное подразделение, исследовательский центр Positive Research, в котором трудится более сорока экспертов. Эта команда аккумулирует знания из различных областей и подразделений, инициирует и поддерживает исследовательские проекты, в общем — двигает компанию вперед.

Второй важный момент — это неумение работать вполсилы. На определенном этапе развития понимаешь, что сделать «как-нибудь без фанатизма» гораздо тяжелее, чем сделать просто хорошо. Времени уйдет столько же, но будет скучно и противно. Вот так и живем.

 

[М]: Тест на проникновение — распространенная услуга среди компаний, занимающихся консалтингом в области ИБ. Она должна показать возможность проникновения в систему или же выявить все уязвимости инфраструктуры? И если второе, где здесь грань между аудитом и пентестом?

Дмитрий Евтеев (компания Positive Technologies)

[Е]:Действительно, в наших пентестах грань между тестированием на проникновение и классическим аудитом практически стирается. В первую очередь это связано с желанием предоставить максимально качественную услугу, которая должна помочь клиенту правильно выстроить процессы управления информационной безопасностью. Для того, чтобы этого достигнуть, мы уже начинаем практиковать подход проведения тестирования на проникновение по результатам аудита всех имеющихся систем с использованием нашего продукта MaxPatrol. Это позволяет не только указать клиенту на все имеющиеся бреши в информационной системе, но также и продемонстрировать, использование каких недостатков может привести к нежелательным последствиям.

 

[М]: C 2008 года усилия «позитивных» разработчиков сконцентрированы на продукте MaxPatrol. Насколько нам известно, компания успешно использует его в различных проектах, а также в ходе оказания услуг. Однако по-прежнему отсутствует демонстрационная версия этого продукта. С чем связан этот факт?

[Г]: Система MaxPatrol, в отличие от XSpider, ориентирована на рынок Enterprise. Как-то ограничить его функции для демо-версии и не потерять существенную часть возможностей непросто. Поэтому мы пошли по пути пилотных проектов, которые проводятся у заказчиков бесплатно. К тому же, MaxPatrol весьма мощный инструмент, использование которого не по назначению может привести к существенным проблемам. Мне до сих пор периодически приходится отвечать на гневные звонки компаний, которых «ломает компания XSpider» с помощью «утекших» версий XSpider.

 

[М]: В описании функционала системы мониторинга ИБ MaxPatrol есть упоминание о наличии механизмов контроля соответствия стандартам. Есть ли в списке этих стандартов становящийся все более актуальным «Стандарт защиты информации в индустрии платежных карт» (PCI DSS)?

[Е]: Разумеется.

 

[М]: Были ли в вашей практике ведения консалтингового бизнеса случаи столкновения с клиентами в вопросах легитимности тестов на проникновение или используемых методик при пентестах?

[Е]:Не было и мы делаем все возможное, чтобы подобных случаев не ожидалось и в будущем.

 

[М]: Каких ИБ-специалистов не хватает на российском рынке труда и каков, на твой взгляд, общий уровень среднестатистического «дипломированного специалиста» в области защиты информации?

[Е]:К сожалению, рынок ИБ-специалистов в России оставляет желать лучшего. Очень мало хороших технических специалистов по обеспечению безопасности промышленных СУБД и по направлению Enterprise Security. Видимо поэтому мы демонстрируем сценарии пентестов, в которых удается получить управление над корпоративной сетью и всеми ее информационными ресурсами буквально за несколько дней.

 

[М]: Какими знаниями в области ИБ должен обладать кандидат, чтобы оказаться в вашем «позитивном» коллективе?

[Г]:Сложно сказать. Сейчас у нас открыто более тридцати вакансий (hh.ru/employer/26624). Все они для людей с разными знаниями, навыками и даже типом характера. Главное — уметь и любить работать, а также, что называется, стремиться «расти над собой».

 

[М]: Существуют ли у PT какие-либо дочерние проекты, связанные с привлечением «потенциальных кадров», то есть ориентированные на студентов?

[Е]:В настоящее время нет, но мы прорабатываем этот вопрос.

 

[М]: Расскажи, пожалуйста, как часто приходится выезжать в командировки в другие города с целью оказания on-site услуг?

[Е]:Довольно редко, так как при оказании услуг по тестированию на проникновение кроме анализа защищенности беспроводных сетей физическое присутствие не требуется. Более того, даже провести анализ защищенности Wi-Fi можно выполнить удаленно. Например, путем анализа конфигураций сетевого оборудования и рабочих станций.

 

[М]: Существует ли у специалистов, не проживающих в Москве, возможность официально сотрудничать с компанией?

[Г]:Никаких противопоказаний для этого нет. Но, как правило, к внештатным сотрудникам выше требования в части самоорганизации.

 

[М]: Планируется ли открытие офисов Positive Technologies в других городах?

[Г]:Планируется, и уже открываются. Но деталей приводить не буду до официального объявления.

 

[М]: Какие приоритетные направления для своего дальнейшего развития на рынке информационной безопасности выделяет ваша компания?

[Г]:Основным направлением развития компании Positive Technologies является разработка продуктов, направленных на автоматизацию ключевых процессов информационной безопасности: управление рисками и соответствие как внутренним, так и внешним стандартам. Текущие продукты и продукты, которые готовятся к выпуску, так или иначе укладываются в концепцию GRC (Governance, Risk, Compliance).

Линейка продуктов Positive Technologies — это основа интегрированного Security Operational Center, набор компонентов для управления уровнем реальной защищенности в крупных корпорациях. Из узких направлений, которые мы в настоящее время активно развиваем в продуктах, это управление защищенностью бизнес-критичных приложений, таких как системы ERP, приложения дистанционного банковского обсаживания (ДБО) и автоматизированные банковские системы (АБС). Крайне интересное и сложное направление — системы управления производственными задачами, такими как оборудование операторов связи (VOIP, PBX, 3G), а также АСУ ТП/SCADA. Плотно работаем в области безопасности госуслуг.

Что касается моих персональных интересов, то я все больше и больше ухожу из сферы компьютерной безопасности в сферу безопасности информационной. Информация — огромная сила, одна из стихий, которая во многом определяет тот мир, в котором мы живем.

 

[М]: Какую область информационной безопасности ты считаешь наиболее перспективной для становления и развития бизнеса в этой индустрии?

[Е]:Сейчас большое внимание индустрии уделено безопасности SCADA-систем. Полагаю, что это весьма перспективное направление.

 

[М]: Уверен, ты следишь за крупными веб-ресурсами и форумами ИБ-тематики. Какие, на твой взгляд, темы, связанные с областью информационной безопасности, недостаточно хорошо освещены на просторах рунета?

[Е]: В рунете довольно плохо освещены вопросы, связанные с безопасностью промышленных систем. Таких, как, например, ERP или SCADA. Впрочем, информации по указанным направлениям и на зарубежных ресурсах крайне недостаточно.

 

[М]: Собирается ли PT получить лицензию на оказание квалифицированных услуг по оценке соответствия требованиям стандарта PCI DSS?

[Г]:Несмотря на то, что PCI DSS отнюдь не основное направление деятельности компании, мы имеем широкую экспертизу в безопасности банковских технологий. С 2008 года Positive Technologies имеет статус PCI DSS QSA Associate, с 2006 года оказываем услуги по тестированию на проникновение и оценке защищенности Webприложений в рамках стандарта PCI DSS. В данный момент подтверждаем статус PCI DSS ASV. Система MaxPatrol широко применяется ведущими QSA и ASV для проведения работ в области информационной безопасности.

 

[М]: В вашей компании есть исследовательская лаборатория. Расскажи, чем сейчас занимаются в ее стенах? Какие результаты ее исследований позволят вам «захватить мир»?

[Е]:Да, сейчас целое подразделение трудится в исследовательской лаборатории. И в ее стенах уже существуют разработки по «захвату мира» 🙂 Но это военная тайна.

 

[М]: В конце 2010 года исследовательский центр компании был отмечен благодарностью Google за обнаружение ряда уязвимостей в сервисах. Насколько мне известно, ты, Сергей, лично нашел некоторые уязвимости. Был ли данный поиск целенаправленным (в частности, с использованием программных продуктов компании) или баги обнаружились относительно случайным образом?

[Г]:Персонально я, к сожалению, не участвовал — конец года слишком «жаркая» пора. Что касается этого и других проектов, то мы следим за подобными инициативами и с удовольствием откликаемся на просьбы вендоров оценить свою защищенность. Тем более «захокать Google», да еще и без долгих убеждений разработчика в том, что «SQL Injection — это серьезно». Это fun, а упускать возможность повеселиться не хочется. Уязвимости были обнаружены пентестерами Positive Technologies менее чем за один день. Надо отдать должное Google, он подтвердил и устранил их весьма оперативно.

Автоматизированные продукты в ходе работ использовать не разрешалось, поэтому MaxPatrol пылился на полке. В процессе подготовки данного материала на официальных вебресурсах компании и в блогах сотрудников появилась информация о том, что 19 мая 2011 года состоится международный Форум «Positive Hack Days», организатором которого является «Positive Technologies».

На официальном сайте мероприятия сформулирована дерзкая миссия данного проекта: «Объединить хакеров и компании ИБ-индустрии, чтобы они смогли понять, насколько они нужны друг другу. На форум приглашены самые продвинутые знатоки из России, Европы, США и Китая, представители ведущих российских и зарубежных ИТ-компаний, независимые эксперты».

Инсайдеры нашего журнала не оставят без внимания данный форум, предоставив тебе порцию позитивной информации с места событий. Не пропусти.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии