прозрачность
Жизнь современного директора по ИБ (также известного как CISO, Chief Information Security Officer) — это не только борьба с хакерами, но и бесконечный квест под названием «соответствие требованиям». Регуляторы закручивают гайки, стандарты растут как грибы, и головной боли только прибавляется. И самое «веселое» тут то, что отвечать приходится не только за свой периметр, но и, фигурально выражаясь, «за того парня». За всю вашу цепочку поставок (supply chain), за всех подрядчиков и за весь тот «зоопарк» софта, на котором крутятся ваши бизнес-процессы. Логика тут железная и, увы, беспощадная: если дыра найдется у вашего поставщика, а проблемы начнутся у вас — спросят-то в итоге с вас! Распространяется эта логика и на защитное ПО.
В былые времена компании редко задумывались, что там внутри ИБ-решений и продуктов, которые они использовали. Сейчас бизнес, особенно крупный, хочет знать: а что там внутри этой «коробки»? А кто код писал? А оно не обвалит нам какую-нибудь важную функцию или, например, вообще все (а то прецеденты всякие случались, см. случай с обновлением CrowdStrike 2024 года)? Где и как обрабатываются данные? Это абсолютно правильные вопросы!
Проблема в том, что пока они часто повисают в воздухе. Почти все заказчики производителям доверяют, очень часто вынужденно, просто потому, что другого варианта нет. Конечно, более зрелый подход в нынешней киберреальности — проверять.
На корпоративном языке это называется доверие к цепочкам поставок (supply chain trust), и решать эту задачку самостоятельно — та еще головная боль. Тут нужна помощь производителя. Ответственный вендор готов показывать, что под капотом решений, открывать исходный код партнерам и заказчикам для проверки — в общем, заслуживать доверие не красивыми слайдами, а «железобетонными» практическими шагами.
Кто уже делает это, а кто застрял в прошлом? Отвечает свежайшее, фундаментальное исследование от коллег из Европы. Его провели уважаемый тестер AV-Comparatives, Экономическая палата Австрии (WKO), бизнес-школа MCI The Entrepreneurial School и юридическое бюро Studio Legale Tremolada.
Короткий вывод исследования: эпоха черных ящиков в кибербезе закончилась. RIP. Аминь. Будущее — за теми, кто не прячет исходные коды и отчеты об уязвимостях и дает клиентам максимум выбора при настройке продукта. И в отчете четко написано, кто не только обещает, но и реально делает. Угадайте кто?
Правильно, мы!
Мы даем клиентам то, что в индустрии пока еще, увы, краснокнижная редкость: центры прозрачности, проверки исходного кода наших продуктов, подробные отчеты о «начинке» софта (Software Bill of Materials, SBOM), возможности проверить историю обновлений и управлять их раскаткой. И, конечно, даем все то, что стало стандартом. Все нюансы можно изучить в полной версии отчета Transparency and Accountability in Cybersecurity (TRACS), а ниже я пробегусь по интересным деталям.
Не суммируем теплое с мягким
В TRACS проверили 14 популярных вендоров и их продукты EPP/EDR — от Bitdefender и CrowdStrike до нашего EDR Optimum и WithSecure. Цель: понять, кто из вендоров не только говорит «верь нам», но и дает свои заявления проверить. Проверили более 60 критериев: от соблюдения требований закона о защите данных (исследование европейское, поэтому в нем речь про GDPR, General Data Protection Regulation, общий регламент ЕС о защите персональных данных, но ФЗ-152, если что, мы тоже строго соблюдаем) и прохождения аудитов ISO 27001 до возможностей локально обрабатывать всю телеметрию и смотреть исходники продукта. Но авторы не стали давать баллы за каждую категорию и делать общий рейтинг в «попугаях».
Почему? Да потому, что модели угроз и риски у всех разные. Что для одного — фича, для другого — баг и катастрофа. Например, оперативная, полностью автоматическая установка обновлений. Для малого бизнеса или торговой компании с тысячами крошечных независимых филиалов это благо, иначе не напасешься айтишников всем этим управлять. А вот на заводе, где компьютер управляет конвейером, это совершенно неприемлемо. Дефектное обновление может вообще остановить линию, что для бизнеса может оказаться фатальным и похуже, чем недавняя кибератака на Jaguar Land Rover, так что каждый апдейт надо сначала тестировать. То же самое с телеметрией. Пиар-агентство передает данные с компьютеров в облако вендора, чтобы участвовать в обнаружении киберугроз и молниеносно получать защиту? Прекрасно. Фирма обрабатывает на компьютере медицинские карты пациентов или строго секретные чертежи? Настройки телеметрии нужно пересмотреть.
По-хорошему, каждая компания должна расставить «веса» каждому критерию и посчитать индивидуальный «рейтинг совместимости» с вендорами EDR/EPP. Но очевидно одно: кто дает клиенту выбор, тот и выигрывает.
Например, анализ репутации подозрительных файлов. Он возможен в двух вариантах: через общее облако вендора и через частное микрооблако в рамках одной организации. Плюс вариант отключить этот анализ вовсе и работать офлайн. Мало кто дает клиентам все три варианта, например, «местный» анализ репутации есть всего у восьми компаний из теста. Мы — одна из них.
Задаем планку
Во всех категориях теста происходит примерно то же, что с сервисом репутации. Пробежав с карандашом по всем 45 страницам отчета, делаем вывод: мы либо опережаем конкурентов, либо в числе лидеров. И с гордостью отметим — примерно в трети сравнительных категорий мы предлагаем гораздо лучшие возможности, чем большинство коллег по цеху. Судите сами:
Посетить центр прозрачности и изучить исходный код? Верифицировать, что бинарники продукта из этого кода и собраны? Эти возможности есть всего у трех производителей в тесте! Причем у одного — только для госзаказчиков. А наши центры прозрачности — самые многочисленные, географически распределенные, и возможности клиента в них максимальны.
Открытие нашего первого центра прозрачности в 2018 году
Загрузить обновления защитных баз и их перепроверить? Есть всего у шести игроков, включая нас.
Настроить поэтапную раскатку обновлений? Не редкость, но и не массовая фича — только семь производителей кроме нас ее поддерживают.
Прочитать результаты внешнего аудита безопасности компании? Лишь мы и шесть других вендоров согласятся вам его предоставить.
Разобрать пресловутую цепочку поставок на отдельные звенья при помощи SBOM? Тоже редкость — запросить SBOM можно лишь у трех производителей. Один из них — компания имени меня.
Есть, конечно, и категории, в которых все молодцы: все успешно прошли аудит ISO/IEC 27001, соблюдают GDPR, следуют практикам безопасной разработки и принимают отчеты об уязвимостях.
Отдельная песня про технические индикаторы. Все продукты, работающие в онлайн-режиме, отправляют те или иные технические данные защищаемого компьютера, информацию о зараженных файлах. Для многих бизнесов это не проблема, и они рады, что это повышает эффективность защиты. Но там, где всерьез озабочены минимизацией потоков данных, порадуются измерениям AV-Comparatives — мы собираем минимум телеметрии в сравнении с другими вендорами.
Практические выводы
Спасибо австрийским экспертам — они сильно упростили CISO и их командам проверку своих поставщиков ИБ. Не только протестированных четырнадцати. Ту же линейку можно приложить к другим поставщикам защитных решений, да и ПО в целом. Но есть и стратегические выводы.
Прозрачность упрощает управление рисками. Если вы отвечаете за работу бизнеса, вы не хотите гадать, станет ли ваш инструмент защиты вашим же уязвимым местом. Вам нужна предсказуемость и подотчетность. Исследование WKO и AV-Comparatives подтверждает: наша модель снижает эти риски и делает их контролируемыми.
Доказательства вместо лозунгов. Мало написать на сайте «мы безопасные». Нужны механизмы аудита. Нужно, чтобы заказчик мог прийти и проверить. Мы это даем. Остальные — пока догоняют.
Прозрачность и зрелость идут рука об руку. Вендоры, которые прозрачны для клиентов, также имеют более зрелые процессы разработки продукта, реагирования на инциденты, обработки уязвимостей. Их продукты и сервисы более надежны.
Наш подход к прозрачности (GTI) работает. Когда мы несколько лет анонсировали нашу инициативу и открыли Центры прозрачности (Transparency Centers) по всему миру, мы всякое слышали от критиков. И что это пустая трата денег, и что это никому не нужно. А теперь независимые европейские эксперты говорят: это то, как должна строиться работа вендора в 2025 году и далее.
Читать отчет очень приятно. Даже не потому, что нас хвалят, а потому, что индустрия наконец-то поворачивается лицом в правильную сторону: к прозрачности и ответственности.
Мы задали этот тренд, мы его возглавили, и мы будем его тащить дальше. Так что, дорогие пользователи, не забывайте проверять, кому доверяете свои данные. У нас — все прозрачно!
Советы