Саймон Эдвардс (SE Labs): “Защита предприятия – это гораздо больше, чем затыкать дыры в компьютерных технологиях»
Я встретил Саймона Эдвардса в январе 2007 года на первом заседании AMTSO в Бильбао (Испания). В течение многих лет Саймон посвятил себя тестированию продуктов безопасности для Dennis Publishing, и в то время он также был техническим директором в Dennis Technology Labs. За многие годы он стал признанным авторитетом в своей области. Менее года назад он начал новую карьеру, открыв свой собственный бизнес - SE Labs.
Луис Корронс (Л.К.): С того момента, как Вы стали редактором журнала Computer Shopper , Ваша жизнь стала прочно связана с компьютерной безопасностью. Каков Ваш опыт в такой динамично развивающейся и инновационной индустрии?
Саймон Эдвардс (С.Э.): Я всегда подходил к бизнесу в сфере безопасности с этической точки зрения, потому что мы искренне хотели сделать плохую ситуацию лучше. Мы делаем гораздо больше, чем просто тестирование антивредоносных продуктов. Мы предоставляем информацию об угрозах для очень крупных предприятий, а в Великобритании страховые компании используют нашу информацию для принятия очень важных решений. Это новое направление в нашей деятельности, которое вышло из тестирования, но мы по-прежнему тестируем продукты безопасности, что позволяет нам получать информацию об угрозах, которую мы в дальнейшем предоставляем. Хотя с самого первого дня мы не ставили своей целью создание бизнеса по тестированию безопасности.
Когда меня впервые попросили написать тест группы антивирусов, я думал, как это сделать, причем без участия других тестеров или даже компаний, которые выпускают антивирусные программы. В полной изоляции от экспертов я придумал метод тестирования и обнаружил, что некоторые хорошо известные угрозы могут обходить антивирус, особенно те, что были похожи на трояны и хакерские утилиты, нежели стандартные самовоспроизводящиеся «вирусы». Это было интересно.
Отклик читателей был просто фантастическим, и каждый раз, когда мы публиковали такой тест, мы продавали больше номеров журнала, чем в обычные месяцы. Но антивирусной индустрии это было не так приятно, и я получил агрессивные звонки от некоторых людей, которых сегодня, на самом деле, я считаю своими очень хорошими друзьями. Мы просто должны были узнать друг друга и развивать доверие между нами.
Я думаю, что некоторые вендоры из сферы безопасности заняли вполне стандартную позицию в отношении какого-то нового человека, который выдал неприятные для них результаты, - это нападение. «Мы не знаем этого парня, и он говорит, что наш продукт отстой? Он, должно быть, идиот или просто подкуплен!” На этом фронте ничего не изменилось. Но сейчас хотя бы люди знают SE Labs, которая создает полезные тесты и работает этически. Ну, многие люди знают. Есть некоторые компании, особенно новые, которые еще разбираются, что к чему. Они предполагают, что если ты не поддерживаешь их маркетинговый посыл, то ты являешься их врагом с предвзятым к ним отношением.
Стандартная позиция, которую заняли вендоры из сферы безопасности, столкнувшись с неприятными результатами от нового человека, - это нападение.
Одно большое изменение заключается в том, что вендоры начали видеть полезность тестеров, реально атакующих системы, в отличие от простого сканирования обычных вредоносных программ, которые существуют на просторах Интернета. Недавно мы проводили хакерские атаки при тестировании Back Orifice 2000, и мы также использовали другие средства, те, которые были у «плохих парней» для доступа к нему. В то время это был очень спорный подход, ибо в целом игроки в сфере безопасности считали, что создание угроз – это табу. Многие по-прежнему придерживаются такого подхода, но с тех пор мы разрабатывали направленные атаки с целью тестирования, и это кажется справедливо, учитывая, насколько много продуктов заявляют, что они предотвращают подобные вещи.
Л.К.: Что такое быть предпринимателем? Вы все еще в состоянии самостоятельно выполнять тесты или вопросы управления стали основной частью Вашей повседневной работы?
С.Э.: Я лично просматриваю каждый набор данных для тестов, которые мы публикуем, и я также разрабатываю методики тестирования, используемые талантливыми тестерами, которые сидят напротив систем. Проходящие тестирования и основные офисные задачи управляются командой SE Labs в Лондоне. После того как тест запущен и выполняется, я доверяю своей команде и провожу большую часть своего времени над решением миллионов других задач. Что действительно здорово при создании компании «с нуля» - это то, что существует так много креативных задач, которые надо решать. Но, как мы увидим, существует также огромное количество рутины, с которой также надо бороться.
Когда Вы создаете свою собственную компанию, Вы самостоятельно принимаете решения буквально по всем вопросам. Например, в какой день я буду обсуждать сделки с шестизначными значениями, а после этого буду решать вопросы с чайными ложками. Я буквально провел полдня в Ikea, обсуждая с коллегами, какие купить столовые наборы в офис.
Слишком много эмоций и какая-то недоразвитость в этой формирующейся индустрии «следующего поколения».
Возвращаясь к тестированию, я потратил огромное количество времени, пытаясь работать с новыми компаниями в нашей отрасли. Некоторые из них делают это неохотно, и я понимаю, почему. Стартапы уязвимы, и плохие результаты могут убить их бизнес прежде, чем они даже его начнут. Мы видели очень много агрессивного маркетинга и весьма резких заявлений, пытаясь оспорить результаты тестирования. Слишком много эмоций и какая-то недоразвитость в этой формирующейся индустрии «следующего поколения». Это необходимо остановить, потому что это не идет на пользу потребителям.
Л.К.: Как директор SE Labs , Ваша работа продолжает удивлять Вас каждый день? Вынуждены ли Вы адаптировать Ваши тесты к тому типу атак, которые часто появляются?
С.Э.: Фундаментальная часть того, что мы делаем, - это найти и использовать преобладающие угрозы. Теоретически каждый продукт должен получать 100% результат в наших тестах, потому что мы не используем какие-то редкие угрозы, собранные на задворках Интернета, или угрозы нулевого дня. Поэтому для меня всегда очень удивительно, что многие вендоры не набирают 100% результат. Хотя в мире безопасности хорошо известно, что тест, в котором каждый набирает 100% результат, является бесполезным. Я не думаю, что это правда, покуда тест идет с четким объяснением того, что он пытается достичь.
И, тем не менее, если я закину 100 хорошо известных угроз в лидирующие антивирусные продукты, то я знаю, что будут проколы. И это все еще меня удивляет. Мы работаем со многими вендорами, чтобы помочь им решать эти инциденты.
Л.К.: в дополнение к традиционным решениям безопасности, за последние несколько лет на рынке появились некоторые новые решения с громкими фразами типа «антивирус следующего поколения», которые используют другой подход для защиты предприятий. Была у Вас возможность попробовать такие решения? Каков Ваш опыт?
С.Э.: Мы попробовали получить доступ к некоторым так называемым продуктам «следующего поколения», и я знаю, что Вы ожидаете от меня услышать! Но они вовсе не «змеиное масло», о чем говорит их сумасшедший маркетинг. Они доказывают, что это грамотные решения. Я не думаю, что я хотел бы запускать многие из них на моих системах без некоторых других форм антивирусной защиты, но они не являются какими-то фейковыми решениями, как думают, возможно, многие люди. Они не идеальны, но и не откровенный мусор.
Всегда очень удивительно, что многие вендоры не набирают 100% результат.
Л.К.: Существуют также решения от «традиционных» производителей в категории EDR ( Endpoint Detection and Response ). Была у Вас возможность попробовать какие-нибудь из них?
С.Э.: Действительно, у нас есть такие решения, и мы даже запустили один из таких продуктов наряду с так называемым «традиционным» антивирусом на наших собственных системах. Возможность отслеживать, если/когда произойдет нарушение безопасности, может оказаться очень полезной. И хотя мы относительно небольшая компания, было бы наивно полагать, что никто в мире не захочет нам навредить. Мы очень серьезно относимся к вопросам безопасности, особенно учитывая природу некоторых наших клиентов (мы не только тестируем антивредоносные продукты, но также предоставляем рекомендации по безопасности некоторым крупнейшим в мире компаниям). Наше влияние выходит за рамки только мира «тестирования антивирусов», а потому мы должны быть очень осторожны.
Л.К.: Вы участвуете в руководстве AMTSO с самого начала, и являетесь членом Совета директоров. По Вашему мнению, каковы основные достижения у AMTSO с момента его создания?
С.Э.: Отношения между тестерами антивредоносных продуктов и разработчиками таких продуктов стали в миллион раз лучше, чем было прежде. Это очень важно, потому что хорошие отношения влияют на производственный цикл разработки ПО, которое мы используем для защиты наших компьютеров. Раньше было так, что вендоры ненавидели тестеров и пытались как-то обойти их результаты вместо того, чтобы улучшать свои продукты. Я думаю, что AMTSO в значительной степени решило эту проблему.
Л.К.: С какими сложностями на ниве тестирования продуктов в ближайшем будущем вынуждена будет столкнуться AMTSO ?
С.Э.: Компании следующего поколения выступают против тестирования. Они могут утверждать обратное, но я думаю, что они не хотят быть оспоренными. Их фокус – это инвестиции и рост. AMTSO должно привлечь эти компании в свои ряды и помочь им понять, что есть нечто более важное, чем просто привлечение инвестиционных средств. Клиенты хотя быть защищены. И в этом плане тестирование, на самом деле, играет ключевую роль. Они не могут рассчитывать на успех, если они действуют в вакууме.
Л.К.: По Вашему мнению, какова самая большая проблема в плане информационной безопасности, с которой в наши дни сталкиваются предприятия и организации? Действительно ли существует временной лаг между внедрением новых технологий на предприятиях и применением соответствующих мер безопасности?
С.Э.: Я думаю, что самая большая трудность заключается в том, что защита предприятия – это гораздо больше, чем просто затыкать дыры в компьютерных технологиях. Пользователи потенциально являются самым сильным звеном в цепочке, в то время как часто их называют самым слабым звеном. Здесь многим может помочь обучение. Тут может помочь возвращение к основам и реальному пониманию того, что такое безопасность. Намного проще потратить несколько миллионов на некоторые новые типы файерволов, но они не выполнят всю работу. Руководители служб информационной безопасности на предприятиях должны понимать это.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.