Сегодня мы побеседовали с Анастасией Новиковой, исполнительным директором «Валарм» (Wallarm), которая, например, рассказала о том, что можно вычислить black hat’а при приеме на работу.
Хотя многим нашим читателям хорошо знакомо название «Валарм» (Wallarm), все-таки расскажите: в чем заключается суть вашей компании?
Мы предоставляем услуги по защите веб-приложений от хакерских атак. На самом деле это WAF с расширенными функциями. Сегодня никому не интересно просто поставить защиту, потому что происходит много-много автоматизированных атак, которые создают общий «большой шум» в вебе, и разбираться в нем никто не хочет. Всех интересуют реальные инциденты: где могут сломать?
Мы предлагаем продукт, который помогает разобраться в этом. То есть не просто показываем атаки, а делаем акцент на инцидентах. Наш внутренний сканер проверяет атаки, направленные на веб-приложения. Если там действительно существует уязвимость, он заводит инцидент и сообщает об этом: приходит рассылка, уведомление, и в интерфейсе все видят, на что нужно обратить внимание. А весь «белый шум» можно отсечь. Мы акцентируем внимание на безопасности, на тех местах, где есть тонкие моменты.
Все компании, занимающиеся подобными решениями, так говорят. Наверняка у вас есть что-то особенное, отличающее вас от других?
Все дело в механизмах и в той практике, которую применяют разработчики. Начинали мы с анализа и пентестов. На протяжении четырех-пяти лет мы занимались именно аудитами и изучили основные подходы. В итоге мы не анализируем сигнатурным подходом, а строим профиль веб-приложения и обучаем систему логике работы каждой конкретной бизнес-функции. Это позволяет четче выделять атаки, актуальные для конкретного приложения. Ведь веб-приложения могут работать совершенно по-разному: для одного использование большого количества кавычек будет нормальной функциональностью, а для другого это окажется инъекцией. Мы стараемся подстроиться, понять, что легитимно, а на что нужно обращать внимание.
Вы стараетесь подстроиться на уровне продукта, как именно это происходит?
Есть период (обычно около двух недель), во время которого мы просто смотрим на трафик. Мы всегда предупреждаем об этом. То есть наше решение будет работать «из коробки», но только на каких-то базовых атаках. Для остального понадобится время, чтобы понять трафик и построить профиль конкретно вашего приложения.
Это происходит автоматически: система автоматически анализирует трафик, строит профиль приложения и обучается легитимным сценариям поведения для каждой бизнес-функции. Просто на первом этапе она ставится не в режим блокировки, а именно в режим анализа и мониторинга. Можно подправить что-то вручную, то есть помочь системе обучиться быстрее, подсказать ей: «Вот здесь — ложное срабатывание». Но в принципе, это полная автоматизация.
Расскажите немного о ваших успехах. Кто купил, много ли купили?
Только сегодня мы обсуждали этот вопрос с коллегами. Дело в том, что мы работаем в такой области, которая далеко не всегда позволяет нам раскрывать имена клиентов. Ведь даже само знание, что та или иная компания использует какой-то продукт, — это уже некоторая уязвимость в ее безопасности, дополнительная информация для хакеров.
Хороший проект, о котором можно рассказать, — это, конечно, компания QIWI. Они используют наше решение уже давно. Они первыми, еще в 2013 году, поверили, что это может работать. С тех пор мы растем вместе с ними, получаем от них большой feedback и множество предложений о том, что именно нам нужно улучшить. Мы стараемся, чтобы они могли применять наши решения на всех уровнях.
Наши основные заказчики в России — это крупные интернет-магазины. Это веб-приложения, у которых сложный профиль, много различных функций, и для них не работает сигнатурный анализ. В большинстве случаев это компании, которые понимают, что им нужно защищаться, и они готовы заниматься этим как процессом.
В свое время с «Юлмартом» у нас тоже получилась очень хорошая история. Они обратились к нам в тяжелое для них время, когда какие-то школьники написали автоматизированное средство для перебора паролей на их сайте и распространили его по всему интернету, в свободном доступе. Естественно, на них пошел большой наплыв «хакеров», были реальные потери из-за того, что у пользователей похищали аккаунты, выводили с них бонусы. Тогда за неделю совместной работы мы выработали для них применимое решение.
Также стоит сказать, что нашими клиентами в основном выступают те компании, у которых есть собственный отдел безопасности. Потому что мы — не то «коробочное» решение, поставив которое вы сможете забыть о нем, а оно продолжит работать самостоятельно (хотя такие примеры у нас тоже есть). Конечно, мы стремимся к этому, но все равно нужен кто-то, кто будет мониторить систему и следить за ней.
Обязательно нужен целый отдел безопасности, то есть несколько человек?
Нужен как минимум один человек, который сможет в интерфейсе отличить атаку от неатаки. Потому что, даже если мы проинформируем об инциденте, но человек не понимает его сущность, он ничего не сможет с ним сделать.
Конечно, мы работаем даже в том случае, если у клиента нет отдела безопасности. Бывают заказчики, которые приходят к нам и хотят развиваться в этой области. Мы им помогаем: комментируем, уведомляем об инцидентах, отвечаем на вопросы. Если мы видим, что клиент никак не реагирует на происходящий инцидент, мы связываемся с ним, подсказываем, что сделать в той или иной ситуации. Ведь в первую очередь это наше с ним взаимодействие. Отдать продукт и «делайте с ним что хотите» — это нам неинтересно. Наша основная цель — успешные истории, когда клиенты, используя наше решение, могут защитить себя и своих пользователей.
Почему у вас интересно работать и чем ваши разработчики отличаются от «просто разработчиков»?
Все наши разработчики так или иначе знакомятся в своей работе с безопасностью. Потому что мы создаем продукт, который обеспечивает эту самую безопасность.
В принципе, у нас все достаточно стандартно: есть отдел фронтенда, отдел бэкенда, отдел тестирования, отдел C-программистов. К нам в основном попадают люди, которым интересна безопасность. Наши задачи в целом ничем не отличаются от обычной разработки. Мы принимаем людей, которые уходят из других интернет-проектов, из крупных компаний и серьезных проектов. В чем их интерес? Наверное, в том, что мы небольшая компания, можем быстро все менять и у нас часто бывают нестандартные задачи. У нас много аналитики, создания алгоритмов. Все отделы разработки и тестирования тесно взаимодействуют с пентестерами.
Какие плюсы и бонусы вы можете предложить как работодатель?
Мы «живем» в центре Москвы, на улице Льва Толстого, напротив «Яндекса». Из стандартных «плюшек» у нас есть кухня с едой, медицинская страховка. Из особенностей — свободная атмосфера в офисе и некий дух стартапа, который мы стараемся поддерживать. Хотя мы работаем не первый и даже не второй год, мы продолжаем относиться к себе как к стартапу. Мы собираемся, обсуждаем новые идеи, вместе думаем, как реализовать какую-то новую функциональность.
Раз в две недели у нас проходят встречи, внутренние meet up. Темой этих встреч может быть наш продукт, технологии, просто какие-то интересные вопросы, даже, например, рассказы о путешествиях.
Давайте немного поговорим о будущем. Что нас ждет?
На мой взгляд, нас ждет увеличение количества атак на веб-приложения. Сейчас все больше компаний переносят свой бизнес в интернет, а веб-приложения — это как «входная дверь». Развитие автоматизированных средств сканирования тоже вносит свой вклад.
Кроме того, люди, обычные пользователи, к сожалению, сейчас уделяют все меньше внимания безопасности. Если раньше основная угроза заключалась в том, что кто-нибудь обнаружит 0day-уязвимость и будет ее эксплуатировать, то сейчас большинство массовых утечек информации — это простой человеческий фактор. Кто-то что-то неправильно настроил, кто-то принес зараженную флешку, кто-то прошел по ссылке из фишингового письма. То есть основная тенденция — это обучение людей грамотности в сфере безопасности.
Конечно, взломы с использованием 0day-уязвимостей остаются и по-прежнему приносят компаниям большие проблемы, но они не обладают такой массовостью, и стоимость атаки сильно возросла.
Если посмотреть на основные громкие утечки и инциденты 2017 года, то большая их часть связана с ошибками конфигурации, настройки и несвоевременным обновлением систем. Дальше можно делать выводы самостоятельно.
То есть нужно обучать простых пользователей?
Да, простых пользователей. Ведь большинство взломов, если посмотреть статистику, происходит именно через них. Потому что это проще всего.
Серьезные 0day-уязвимости находят люди, которые реально занимаются исследованиями. А тем, кто хочет получить больше данных и больше денег, проще использовать более простые подходы, массовые. К примеру, искать какие-то неправильные настройки облачных решений, оставленные без присмотра бэкапы, выложенные в публичный доступ пароли и ключи шифрования. Это не требует никаких серьезных знаний или долгого исследования.
У меня в практике был интересный случай: к нам в компанию пришел устраиваться человек, который явно работал где-то в «серой» сфере. Видимо, он решил завязать и хотел войти в команду аудиторов.
Как вы его вычислили? У него был какой-то особенно нехороший прищур?
На самом деле это определяется очень просто. Человек имеет некий бэкграунд по безопасности, но при этом он не работал ни в одной компании. Пробежавшись с ним по простым уязвимостям и атакам, мы решили углубиться в тему и сразу были удивлены ответом: «Нет-нет, этого я не знаю, я такого в жизни не встречал». Мы с командой аудиторов спрашиваем у него: «Как же не встречал, если ты эксперт по информационной безопасности? Ты как минимум должен был читать статьи об этом, пытаться эксплуатировать такие уязвимости». А человек отвечает, что работал как частное предприятие, выполнял какие-то «заказики».
Становится понятно, что уровень эксперта, который занимается подобным, невелик. На его месте мог бы находиться любой школьник, который прочитал несколько статей по информационной безопасности. Самый распространенный вариант, о котором в том числе рассказывал нам тот соискатель: «Есть, например, уязвимость в старых версиях CMS, для нее существуют готовые эксплоиты. Ты находишь сайт на такой CMS, аккуратненько проверяешь, что эксплоит работает, и пишешь владельцам ресурса, мол, смотрите, у вас уязвимость».
Дело в том, что CMS много, а обновляются они плохо. И это не только проблема CMS, это касается любых программ. Patch management пока не стал хорошей практикой ни у нас, ни на Западе. Поэтому подход «я немножко знаю про безопасность» активно используют, он очень распространен.
Кстати, за развитие patch management хочется сказать спасибо ребятам из команды Vulners. Их база данных всевозможной информации о безопасности и сканер позволяют следить за своевременными обновлениями систем и просто быть в курсе всего, что происходит в мире безопасности. При том потоке новостей, который приходится прочитывать и просматривать, качественный тематический контент становится очень актуален. Мы даже сделали совместный проект — автоматическую генерацию оценки критичности уязвимостей по их описанию. Использовали популярные сейчас нейронные сети.
Есть еще какие-то проблемы, которые вас тревожат и вызывают сильные чувства, чем хотите поделиться с читателями?
Есть такие проблемы на самом деле: к сожалению, средние компании в последнее время стали пренебрегать безопасностью.
В крупных компаниях подход совсем другой. У многих есть собственные отделы, которые проводят внутренние пентесты и занимаются исследованиями. Но и там не всегда все хорошо.
Судя по нашей практике, урезание IT-бюджетов приводит к тому, что компании выбирают решения исходя не из качества продуктов, а из их стоимости. Несколько лет назад говорили: «Да, нам нужна безопасность, потому что нас могут сломать, и мы будем выбирать решение». Этот подход остался в серьезных компаниях, где есть разбирающиеся в индустрии люди. Для остальных безопасность стала очередной строчкой соблюдения некоторых compliance, поэтому очень распространен подход: «Мы знаем, что нам нужна безопасность, вот эта компания предлагает минимальную стоимость решения, поэтому возьмем ее решение и поставим галочку, что безопасность у нас есть».
К сожалению, мы часто сталкиваемся с таким подходом, и каждый раз приходится это перебарывать, объяснять, что безопасность — это не просто очередная «галочка». Это ваши реальные риски и ваши деньги.