Антон Снитовец: Как бороться с кибератаками
Антон Снитовец, обладатель международных сертификатов AWS и CISSP, более десяти лет разрабатывает собственные продукты для обеспечения информационной безопасности. Сейчас инженер в одиночку отвечает за защиту облачной инфраструктуры крупной международной компании, которая производит электронику. И он, как никто, понимает важность этой работы в современном мире. Чем отличается защита данных в странах СНГ и мировых корпорациях и как обеспечить информационную безопасность в многотысячном коллективе, Антон Снитовец рассказал в интервью с IT-World.
Антон, вы начинали обычным системным администратором белорусской таможни, выведя работу IT-инфраструктуры ведомства на качественно новый уровень с помощью внедрения собственных продуктов. Что это были за разработки?
Таможня дала мне бесценный опыт конфигурирования корпоративных сетей. Там я успешно внедрил сервис Active Directory, позволяющий структурированно хранить информацию о всех серверах, учетных записях, принтерах и других ресурсах сети и облегчающий доступ пользователям и администраторам к этим данным. При этом он проверяет подлинность каждого входа и управляет доступом к объектам в каталоге. Позже программный продукт внедрили во многих департаментах таможенных органов Республики Беларусь, что на треть ускорило некоторые рутинные процессы и разгрузило системных администраторов.
Пакет собственных утилит, которые я разработал, помог разгрузить IT-отдел, так как сотрудники смогли самостоятельно обновлять нужные им базы данных нажатием пары кнопок без участия системных администраторов. До этого приходилось тратить до 1,5 часов в день на остановку сервера и обновление информации. Также я автоматизировал резервное копирование данных, что повысило отказоустойчивость информационных систем таможни, а у сотрудников департамента IT появилось время для решения других задач.
По версии OWASP Top 10 Application Security Risks 2017, SQL-инъекция была признана одной из самых опасных уязвимостей. В разные годы от этих атак страдали всемирно известные корпорации, которые несли огромные материальные и репутационные потери. При этом надежной защиты от SQL-инъекций на рынке не было, и вы решили разработать собственную программу для борьбы с такого рода кибератаками. Сейчас ею пользуются Airbus, Microsoft, Kawasaki, General Motors, Toyota. Каким образом вы распространяли свою разработку?
Программу Code Analyzers я разработал . У них есть платформа с набором открытых решений для производственных предприятий. И мою разработку включили в этот пакет ПО, поскольку она помогает предприятиям защитить свои активы от кибератак благодаря работе с уязвимостями программного кода, что в проактивном или превентивном режиме исключает целый комплекс рисков, таких как SQL Injection, Directory Traversal и другие.
На момент создания программы одной из самых опасных уязвимостей была SQL Injection, а на рынке анализаторов были представлены только простейшие продукты, которые генерировали много ложноположительных срабатываний. Я разработал набор более «умных» и сложных рекурсивных анализаторов, которые «закапывались» вглубь кода, находя конкретное уязвимое место.
В то время как большинство анализаторов просто показывают конечный вызов ExecuteSQL(...), моя разработка «раскапывала» всю цепочку вызовов и входных параметров вне зависимости, откуда они приходили. Это сильно уменьшало количество ложных срабатываний и более четко показывало, где же может быть уязвимость. Для создания программы мне пришлось с нуля изучить весь инструментарий платформы компиляторов Roslyn для синтаксического и семантического анализа кода.
Разработанный мною продукт помог компании обнаружить ранее неизвестные уязвимости, а его интеграция в стандартный пакет поставки ПО усилила безопасность крупнейших корпораций мира.
Антон, вы уже 1,5 года стоите на страже безопасности облачной инфраструктуры производителя электроники международного уровня. Ваши решения, включая интеграцию Cloud Security Posture Management, позволяют в режиме реального времени оценивать состояние защиты программного обеспечения. Как вам удается не отставать от современных трендов кибербезопасности?
Я разрабатываю архитектурные и технические требования к проектам, размещенным в облаке, а также даю экспертное мнение при решении вопросов, связанных с безопасностью программных решений. Поэтому они изначально соответствуют стандартам безопасности. А передовая система отчетности, которую я создал с нуля, дает возможность владельцам любых ресурсов в облаке оперативно получать информацию о состоянии их безопасности и рекомендации по улучшению параметров. Благодаря комплексу мер безопасность облачной инфраструктуры корпорации на 80 % соответствует международным стандартам, и эта планка все время поднимается.
Сейчас вы работаете в крупной международной корпорации со штатом 250 тыс. человек. Есть ли принципиальные отличия в охране облачных данных от того, как это происходит в Беларуси?
Здесь очень большая команда информационной безопасности. Кто-то отвечает только за Network Security, кто-то — за Identity and Access Management (IAM). Кто-то — за Incident Response или Application Security. Кто-то, как я, — только за Cloud Security. И каждое значимое решение должно пройти цепочку одобрений. Учитывая размер организации, это вполне закономерно. В Беларуси я с таким не сталкивался. Обычно все сконцентрировано в руках одного отдела IT. К тому же в международной корпорации есть возможность совместной разработки ПО с ведущими специалистами мира с последующим внедрением самых современных решений. В странах СНГ, насколько я знаю, такого нет.
В инфобезопасности компаний чуть ли не главную угрозу несут сами сотрудники, которые бездумно открывают ссылки, подозрительные ресурсы и письма. Насколько сложно следить за кибергигиеной многотысячного коллектива?
Полагаю, что в ручном режиме контролировать поведение 250 000 человек — абсолютно невозможно. Наша задача как безопасников — не безостановочно следить за тем, чтобы люди не ошибались, но, скорее, снизить риск этих ошибок, а также свести их негативный результат к минимуму, если они все же происходят. Тренинги с последующими оценками и симуляциями фишинговых атак — регулярная практика. Также довольно часто приходится объяснять сотрудникам основы информационной безопасности и защиты персональных данных.
Антон, в августе вы прошли сертификацию CISSP. Это всемирно признанный экзамен и те кто его сдал, считаются наиболее высококвалифицированными специалистами для решения проблем информационной безопасности. Насколько сложно было получить сертификат?
Вот это было сложно. Если написать в поисковике «the most difficult cybersecurity certification» (Самая сложная сертификация в области кибербезопасности — прим. ред.), то, скорее всего, на первой строчке вы увидите именно CISSP. Подготовка заняла около четырех месяцев. Сам экзамен очень обширный и требует понимания концепций во всех восьми доменах безопасности. Тест адаптивный и «подбрасывает» сдающему больше вопросов из одного и того же домена, если на предыдущие был дан неправильный ответ.
Когда я увидел заветную бумажку, на которой было написано «You have successfully passed! Congratulations!» (Вы успешно сдали экзамен! Поздравления! — прим. ред.), я сразу даже не поверил и очень долго пытался осознать, что же все-таки произошло. На данный момент считаю это одним из самых важных достижений в своей жизни.
Вы не только получаете знания, но и делитесь ими. Например, сейчас разрабатываете бесплатный базовый курс о защите персональных данных. Это ваш первый социальный проект. Хотите заняться онлайн-образованием?
Для меня этот курс — попытка рассказать людям о важности защиты персональных данных: чем может грозить их утечка, почему их нужно защищать и, самое главное, – как. Многие вещи, с которыми я напрямую работаю, например, менеджер паролей, для меня — само собой разумеющееся. А когда я говорю с людьми, которые «не в теме», сталкиваюсь со стеной непонимания и вопросами «а зачем все это нужно?». Уникальность курса в том, что он объясняет довольно сложные концепции максимально простыми и понятными словами, не углубляясь в детали.
За какими сферами информационной безопасности будущее, на ваш взгляд?
Мировое бизнес-сообщество продолжает активно «переезжать» в облако, поэтому защита облачной инфраструктуры в ближайшей перспективе будет востребована, как и обеспечение безопасности коммуникаций при удаленной работе. Защита корпоративных данных на мобильных устройствах – тоже неисчезающий тренд, так как миллионы людей просматривают с телефонов рабочую почту, общаются в корпоративных чатах, пользуются приложениями. Это направление будет только развиваться.
Опубликовано 26.08.2023