Бауржан Абдыкадыров, Prime Source: скорость внедрения и удобство — отличительные особенности IBM Security QRadar
Интервью с руководителем команды внедрения продуктов IBM о казахстанском ИБ-рынке и кейсах использования QRadar.
Исторически все знают IBM как поставщика «железа». Тем не менее, компания уделяет большое внимание сфере информационной безопасности, предлагая несколько очень интересных и востребованных на рынке решений. Об одном из них, продукте QRadar, а также в целом о рынке ИБ в Казахстане мы поговорили с Бауржаном Абдыкадыровым, руководителем команды внедрения продуктов IBM компании Prime Source. К слову, Prime Source — одна из буквально нескольких казахстанских компаний со статусом IBM Platinum Business Partner, что гарантирует высокий уровень компетенций ее специалистов.
Платформа управления информацией и событиями безопасности (SIEM) IBM Security QRadar помогает в масштабе всего предприятия выявлять угрозы, классифицировать их по степени важности и на них реагировать. Автоматический анализ и консолидация событий в журналах и потоков данных, поступающих в сеть с тысяч устройств, конечных точек и приложений из всей сети позволяет выдавать точечные предупреждения для ускорения анализа и устранения инцидентов. Продукт QRadar SIEM доступен как для локальных, так и для облачных сред. Впрочем, обо всём по порядку.
— Бауржан, какая сейчас ситуация на ИБ-рынке — как бы вы оценили зрелость казахстанских компаний в вопросах ИБ?
— В целом, ситуация, как и на рынке ИТ, улучшается. Рынок информационной безопасности растет, особенно если сравнивать с десятилетней давностью. Большую роль сыграли госрегуляторы — он выставляет требования и финансовому сектору, и госкомпаниям. Можно сказать, что уровень зрелости растет. Картина позитивная, на мой взгляд.
— Какие ИБ-угрозы сегодня наиболее опасны, что актуально для нашего региона?
— Я бы обратил особое внимание на утечки персональных данных. Меньше всего контроля именно за этим. Можно даже сказать, что с утечками не борются системно. В Европе, например, есть стандарт GDPR, согласно которому компаниям, допускающим утечки персональных данных, выставляют очень высокие штрафы. У нас много говорится об изменениях в законодательстве, о наказании за утечки, о праве на забвение для пользователей. Но на сегодня это не отработано в полной мере, а возможности удалить свои персональные данные из негосударственных баз у граждан вообще нет.
Если же говорить в целом, угрозы остались всё те же — удаленные атаки, связанные с неустановленными обновлениями, вирусы-шифровальщики. Под конец года «выстрелила» уязвимость нулевого дня Log4Shell. Она была недавно обнаружена в популярной библиотеке журналирования Log4j, которая входит в состав Apache Logging Project. Эта уязвимость допускает удаленное выполнение произвольного кода (RCE), причем вредонос может попасть в систему различными способами — для атаки достаточно, чтобы нужная запись оказалась в логах. Вообще, изначально проблему обнаружили во время отлова багов на серверах Minecraft, но проблема в том, что библиотека Log4j присутствует практически во всех корпоративных приложениях и java-серверах.
Для Log4Shell нет таблетки или патча, который мог бы закрыть ее, и эта уязвимость буквально потрясла интернет. По шкале оценок уязвимостей ей присвоено десять баллов из десяти.
— Интересен вопрос касательно ландшафта ИБ-решений и вендоров в Казахстане. Насколько у нас активны ИБ-интеграторы?
— В целом, я не могу сказать, что появилась масса каких-то новых решений. С прошлого года, когда многие компании перешли на удаленный формат работы, активно начали использоваться решения по контролю удалённых сессий. Это новый класс решений PAM для контроля привилегированных пользователей. И сейчас, конечно же, всё уходит в автоматизацию, и рынок ИБ не стал исключением. Соответственно, на рынок начали заходить такие решения, как SOAR (автоматическое реагирование на инциденты).
— Поговорим о решениях по безопасности от IBM. Почему заказчики выбирают именно их?
— Безусловно, линейка security у IBM весьма востребована. Например, у вендора есть решение класса SIEM — IBM QRadar, у которого целый ряд преимуществ. В первую очередь, это очень легкая степень вхождения. Специалистам, которым предстоит работать с этой системой, легко понять основы написания правил, настройки подключения источников. Систему достаточно легко изучить и понять.
Второй момент — у IBM очень большое комьюнити. Когда необходимо подключить какое-либо ПО, то требуемое приложение обычно можно найти в хранилище. То есть, ИБ-специалисту нет необходимости писать самостоятельно скрипт или какую-то программу, чтобы подключить нужное ему ПО. Большое сообщество пользователей IBM сгенерировало обширную базу, что очень облегчает работу. Получается, что процесс достаточно автоматизирован, и в меньшей степени требует от пользователя навыков программирования.
В целом, решения IBM весьма популярны. В Казахстане уже реализовано около десяти проектов по внедрению QRadar. Это и госкомпании, и квазигоссектор, и частный бизнес.
— А в чём особенность решения QRadar от IBM, какие у него ключевые функции?
— Как я уже упоминал, QRadar — это система класса SIEM, которая позволяет централизованно собирать все события, журналы. Благодаря настроенным правилам корреляции система позволяет выявлять определенные инциденты и помогает специалистам реагировать на них.
Простой пример. Любая информационная система записывает логи в журнал. Администратору тяжело заходить в каждую систему и просматривать эти журналы вручную. Между тем, журналы просматривать необходимо. Бывает, что пользователь несколько раз ввел неправильный пароль в течение короткого промежутка времени. Конечно, возможно, он просто забыл свой пароль. Но с другой стороны — это может быть потенциальная атака брутфорс, попытка перебора паролей. Соответственно, эту информацию можно увидеть в журнале логов, но постоянный их просмотр будет отнимать у администратора много времени. Как раз системы класса SIEM и помогают решить эту проблему. Они собирают журналы логов и в автоматическом режиме анализируют их, предупреждая администратора о событиях, которые требуют внимания.
Кроме того, при расследовании инцидентов, если они произошли некоторое время назад, в системе очень легко найти необходимые записи и понять картину, прояснить обстоятельства. Стоит также отметить, что у QRadar весьма быстрая интеграция. У нас был кейс, когда мы меняли систему другого вендора на QRadar, и замену удалось осуществить в течение месяца. Причем, это делалось в большой компании. То есть, скорость внедрения и удобство работы — отличительные особенности QRadar, благодаря которым многие заказчики выбирают именно это решение.
— Можете рассказать о конкретных кейсах внедрения QRadar в Казахстане?
— Был интересный кейс, когда в одном из банков мы проводили аудит на предмет внедрения системы класса SIEM. Во время аудита мы заметили подозрительное поведение в сети и предложили заказчику провести пилот системы. Мы начали пилотирование QRadar, подключили все источники и буквально в течение трёх дней QRadar выявил точку входа для удалённого пользователя. Банк приобретал по договору услуги у одной из зарубежных компаний, и эта компания не фильтровала списки своих работников. Так получилось, что давно уволившийся сотрудник имел VPN-сертификат, полномочия для подключения к ресурсам банка. Соответственно, неизвестно, кто подключался к инфраструктуре банка. Получается, что с помощью QRadar мы выявили этот инцидент, оповестили заказчика, благодаря чему несуществующие доступы были заблокированы. В итоге пилот прошел в боевом режиме. В данном случае это было вызвано необходимостью выявления аномальных действий в сети.
Ещё один кейс — мы делали миграцию в большой телеком-компании. У них порядка пяти лет использовался продукт SIEM от другого вендора, и было решено перейти на QRadar. Вообще, SIEM — это такая система, которую нужно постоянно оптимизировать, устанавливать правила, выявлять ложные срабатывания и т.д. То есть, это ежедневная работа. Но когда у системы SIEM трудоёмкий процесс настройки правил — это проблема в том смысле, что нужно постоянно обучать сотрудников. И если система работает в компании достаточно долго, есть риск, что человек, обладающий этой базой знаний, покинет компанию. В какой-то момент может возникнуть ситуация, когда профессионалы с высоким набором компетенций ушли, и остались молодые специалисты, не способные в полной мере работать с системой и поддерживать её в актуальном состоянии. Именно такая ситуация сложилась в этой телеком-компании, почему и было решено осуществить миграцию на QRadar. Легкость вхождения и простота обучения специалистов стали решающим фактором. Мы достаточно быстро, в течение месяца-полутора, провели миграцию и затем донастраивали систему. Сам заказчик впоследствии признался, что в начале года, когда закладывали план мероприятий по миграции, предполагал, что переподключение SIEM займет около полугода. И когда это произошло всего за полтора месяца, они очень удивились. На этом примере видно, что у SIEM от IBM много сильных сторон.