Ник Гребенников: Помагаме на доставчиците на услуги да предлагат защита в реално време

От гледна точка на Acronis половината от целевия пазар са доставчици на управлявани услуги (MSP), около 30% са малки и средни предприятия, а останалите около 20 на сто са доставчици на хостинг услуги. Те са в отделна категория и са много важни партньори, разполагат с мощни Linux сървъри, и предоставят услуги като хостване и поддръжка на уебсайтове, електронна поща и др.

Днес голяма част от трафика е мобилен, служителите в корпорациите използват все повече мобилни приложения. Вашият партньор "А1 България" е сред най-големите мобилни оператори, но предоставя също хостинг и бизнес услуги. Какви са заплахите в мобилната сфера и по-различна ли е защитата?

Всички използваме смартфони, в тях са нашите данни, целият ни живот. Затова за предприятията мобилният канал е най-добрият начин за промотиране и продажба на услуги. За ИТ професионалистите, за служителите на доставчиците на управлявани услуги това е начинът, по който те успяват да управляват дистанционно потребителите, само като хвърлят един поглед към мобилните табла (dashboards) на своите телефони. Не се налага дежурните оператори да стоят непрекъснато пред своя лаптоп или компютър.

Що се отнася до мобилните заплахи, има голяма разлика между операционните системи iOS и Android. Apple налага много ограничения на разработчиците при внедряването на желани от тях различни функции, така че технически няма толкова API интерфейси, колкото при Android устройствата. Затова създаването на зловреден код за iOS устройства е нереалистично за момента, преди всичко това са т.нар. PoC, т.е. доказателство за възможна концепция за генериране на такъв зловреден код. Такава концепция най-често се показва на конференции за сигурност, но на практика създаването на работещ зловреден код не си струва усилията.

За Android обаче има значително количество зловредни кодове, които са реална заплаха. Именно затова повечето доставчици на решения за сигурност създават решения за тази операционна система. Acronis в момента разработва киберзащита за Android, която ще допълни съществуващите възможности за резервно копиране, бързо синхронизиране и споделяне на файлове. Допълнителната сигурност ще бъде от по-различен тип. Едната част ще е антивирусното сканиране, което ще проверява приложенията, стартирани на телефона. Втората част предлага филтриране на URL адреси, като киберзащитата ни ще проверява за зловредни и/или измамни URL. Тя ще предпазва от показване на вашите удостоверителни параметри като пароли, ПИН и други, които могат да бъдат прихванати от нападатели.

Важно е да се каже, че вече има специализирани решения за мобилни устройства, които се опитват да атакуват онлайн банкирането. Повечето приложения за онлайн банкиране изискват двуфакторно удостоверяване, но ако използвате същото устройство и за идентификация, и за осъществяване на онлайн банковата операция, ставате по-лесна мишена за атака. Ако нападателят контролира вашия смартфон и приложението за мобилно банкиране, той може да контролира и получаваните SMS съобщения. Вие ще мислите, че сте защитен с два различни механизъма, но на практика предавате "управлението" на своите банкови операции на нападателя.

"Лошите момчета" стават все по-умни, те следят непрекъснато основните ИТ тенденции, как се развиват технологиите, как се променя поведението на потребителите и реагират много бързо, за да преодолеят защитите.

Това означава, че доставчиците на услуги трябва да са винаги "една крачка" напред. Как им помага платформата Cyber Protect Cloud?

За доставчиците на услуги нашата платформа има поне 5 основни предимства.

• Първо, Acronis се опитва да е унифициран доставчик на решения за сигурност. По този начин не се налага да купувате решения за резервно копиране от една компания, решения за сигурност - от друга, управление на "кръпките" на уязвимостите - от трета. Когато се обърнат към Acronis, доставчиците на услуги получават всичко от едно място. По този начин те не трябва да се обръщат за поддръжка към различни технически екипи, нито да фактурират на своите клиенти услуги към отделни производители или да се налага да внедряват решение за обединяване на тези различни фактури. С услугата Cyber Cloud те могат да разчитат на един акаунт мениджър, на единен център за поддръжка, а това им улеснява "живота".
• Второ, Acronis предлага уникално решение, изградено "от нулата", за разлика от някои конкуренти, които разполагат със собствено решение и купуват и чуждо, но интеграцията не е толкова добра, поне от техническа гледна точка. При нашия продукт интеграцията е на дълбоко ниво и това е много важно, защото с един основен драйвер се задействат всички функции. При антивирусната проверка се прочита информацията от файла, а след това същият драйвер използва тази информация, за да направи нейно резервно копие, като по този начин се ускорява процесът. Освен това се намаляват проблемите по несъвместимост и нуждата от тяхното отстраняване. При системни приложения, които се стартират за всяка функция, често възникват конфликти, докато при нас всичко е тествано предварително и предоставяно чрез единен продукт.
  Подобен продукт дава възможност за уникални сценарии на внедряване. Например при сигурността е добре да разполагаш с "бял списък" от проверени приложения. Повечето антивирусни компании предлагат такива "доверени списъци", които се попълват от анализаторите след щателна проверка на софтуерни приложения. Но много доставчици на услуги използват различен софтуер за дадена страна. Например, ако в Полша има специфична данъчна система, за банките се пише специален софтуер, съответстващ на местното данъчно законодателство. Подобно приложение никога няма да попадне в полезрението на анализаторите и съответно в тяхната база данни с "доверени приложения". Acronis действа по различен начин. Ние анализираме всички резервни копия и проверяваме дали специфични приложения правят много резервни копия за седмица например. Ако тези копия са създадени не от една, а от две-три машини, много вероятно е това приложение да е "добро", макар че пак го проверяваме. По този начин създаваме "доверен списък" от приложения директно от резервните копия. Така съчетаваме нашите предимства от бекъп и сигурност, подобрявайки и двете. Нашите анализатори могат да напишат по-агресивно засичане и съответно по-малко подаване на фалшиви аларми.
• Третата важна характеристика е поддръжката на множество потребители (multitenancy), която вече споменах. Нашите архитекти се опитват да направят системата максимално мащабируема, така че да обслужва десетки и дори стотици хиляди работни натоварвания. Имаме голям партньор, който използва нашите продукти само за един клиент, голям германски автомобилен производител, в който се защитават над 20 хиляди крайни точки. Същевременно имаме партньор с над 8000 различни клиента, всеки от тях с по около 1000 машини. Подобна настройка става лесно с нашия продукт Cyber Cloud.
• На четвърто място, когато говорим за Cyber Protect, помагаме на доставчиците на услуги да предоставят защита в реално време. Например при атака с криптовируси нашият подход към резервните копия на данните е проактивен, внедряваме т.нар. Acronis Active Protection. Неговата мисия е да засича криптовируси в реално време. Анализираме всички процеси в системата, проверяваме как те модифицират файловете. Например програмата установява, че даден процес модифицира файл на MS Word например, а след модификацията той се превръща в неясен бинарен файл. Ако този процес промени до 5 файла по този подозрителен начин, това е сигнал, че може да е задействан криптовирус, криптиращ файловете в системата. Тогава програмата спира процеса, създавайки нов шаблон за засичане на този вирус, а петте файла, които са били криптирани, се извличат от резервното копие и се възстановяват в предишния си коректен вид. При конкурентите възстановяването е "постфактум", т.е. след като атаката вече се е случила и не се знае дали и резервните копия на данните вече не са заразени.

Програмата има 3 нива на засичане. Първото е за локалните данни на всяка машина, второто е на ниво доставчик на услуга, агрегирайки различни засичания от различни машини. Третото ниво е глобална база данни, която се попълва от всички потребители на нашите решения в глобален мащаб. Това е добра система за защита, която работи и в двете посоки - към Acronis и обратно към нейните клиенти.

И накрая, но не на последно място, ние създаваме наш собствен слой на ниско ниво. Резервното копиране е нашата основна услуга, а за това копиране са нужни системи за съхранение. Повечето ни конкуренти използват пространства за съхранение като MS Azure, Amazon и други публични хранилища. Ние обаче внедряваме наше собствено пространство за съхранение, разработено от "нулата". Основателят на Acronis Сергей Белоусов е инвестирал и в други компании, като Virtuozzo например, така че с натрупаното знание направихме този собствен облак за съхранение преди 15 години. Днес Acronis Storage e ценово ефективно решение за съхранение, доста по-евтино за съхранение на 1 GB данни от Amazon, Azure и другите. Това ни помага да предложим изгодна оферта на нашите потребители.

Ние поддържаме и хибриден модел, при който може да се използват системи за съхранение на партньори като A1 или на Acronis.

Когато все пак има пробив в сигурността, как се открива точно кой е виновен - доставчикът на услуги, неговият клиент, може би зловреден вътрешен човек?

По отношение на "вътрешните врагове" в момента разработваме решението Acronis Data Loss Prevention (за предпазване от загуба на данни). През 2019 Acronis придоби компанията DeviceLock и вече внедрихме една от функциите - Device Control, която контролира портовете като USB устройства. Сега пускаме и Acronis DLP, която може да помогне срещу зловредни вътрешни служители. Анализирайки всички потоци от данни в организацията, можем да разберем дали специфични файлове са свързани със стандарта PCI-DSS или с други регулаторни изисквания. След това можем да проверим дали няма опити подобни файлове да бъдат изпращани към външен адрес например през Skype или друга програма за съобщения. В случай че потребителят е оторизиран да извърши тази операция, се появява екран, на който той трябва да потвърди, че е оторизираното лице и има бизнес мотиви да направи тази операция. Ако има правни последици, това потвърждение може да бъде използвано като доказателство в съда.

Колкото до отговорността при пробив в сигурността, Acronis e доставчик на услугата, която обаче се предоставя от доставчика на услуги на клиентите. В повечето случаи отговорността за пробива е на доставчика, който трябва да използва платформата по най-добрия начин. Наскоро анализирахме случай, при който служител беше предприел грешни действия в системата. Той беше пренебрегнал всички предупредителните съобщения, че със своите действия ще изтрие определени данни, като е потвърдил многократно това свое желание. Впоследствие нашият анализ показа, че данните са загубени, но софтуерът ни все пак беше работил така, както се очаква от него. Така че в този случай проблемът не бе нито в софтуера на Acronis, нито в доставчика на услугата.

Разбира се, може да има грешки при работа с продуктите. Затова имаме различни споразумения за ниво на обслужването (SLA). Това са корпоративни SLA договори, в които са фиксирани определени параметри като време за реакция и др.

Помагате на правораздавателни организации като Европол и ФБР при разследване на хакерски атаки?

Добър въпрос. Дискутирали сме дали да увеличим своя принос в тази борба, но засега се въздържаме от активна намеса. Предоставяме софтуер, който засича какво лошо се случва в системата на потребителите, защитаваме потребителя и неговите данни, но не отиваме отвъд тази защита, например да посочваме местоположение на нападателите или нещо подобно. Това не е нашият бизнес.

Интервюто взе Владимир Владков