Как обеспечить безопасность в эпоху AI и облачных платформ. Интервью с профессором Малковым

В начале XX века аптеки мира были завалены «чудодейственными» препаратами. Женщины с удовольствием посещали спа-радио-центры, дети пили радиоактивную воду. И лишь когда через несколько лет у многих выпали волосы, зубы, или появились еще более серьезные «побочки», пришло понимание, что новинка не такая уж и безопасная.
Сегодня риски, связанные с облачными технологиями и искусственным интеллектом, еще даже не осознаются. Но их уже должны учитывать разработчики, создавая программные продукты для облачных платформ и интернета вещей.
О том, как сделать виртуальные среды безопасными, чего ожидать от искусственного интеллекта, и как при этом остаться программистом, рассказал Константин Малков, технический директор 5nine Software.
Этим интервью мы продолжаем серию публикаций об облачных технологиях Microsoft. В первой мы сравнили «облака» с «новым электричеством» и пришли к оптимистичным выводам.

Константин Малков
технический директор, 5nine Software
Профессор Малков – эксперт в области защиты и управления облачных систем. Он известен как один из основателей кафедры нелинейных динамических систем и управления в МГУ. Докторскую степень получил в 27 лет.

В 1991 году переехал в США, где работал над различными коммерческими проектами по разработке ПО для организаций мирового уровня. Занимал пост технического директора в компаниях Internet Transactions Solutions и PWI, возглавлял разработку таких ИБ-продуктов, как ThreatSentry и PrivateFirewall. Сейчас Константин Малков – технический директор компании 5nine Software, разрабатывающей решения для управления и защиты облачных платформ.

технический директор, 5nine Software
Константин Малков
Профессор Малков – эксперт в области защиты и управления облачных систем. Он известен как один из основателей кафедры нелинейных динамических систем и управления в МГУ. Докторскую степень получил в 27 лет.

В 1991 году переехал в США, где работал над различными коммерческими проектами по разработке ПО для организаций мирового уровня. Занимал пост технического директора в компаниях Internet Transactions Solutions и PWI, возглавлял разработку таких ИБ-продуктов, как ThreatSentry и PrivateFirewall. Сейчас Константин Малков – технический директор компании 5nine Software, разрабатывающей решения для управления и защиты облачных платформ.
— Константин, вы прожили за рубежом более 25 лет, уже мыслите, наверное, по-американски. Правда ли, что люди, которые говорят и думают на английском, легче и лучше воспринимают новые технологии?
— У этого предположения есть две причины. Первая: английский язык приспособлен к кратким конкретным высказываниям. Русский больше подходит для литературных вещей. Английский — более практичный с точки зрения компактного изложения мыслей и идей.
Вторая относится скорее к IT, потому что они развивались в основном в США. По крайней мере, наиболее значительные проекты в области компьютерных технологий, программного обеспечения, программирования. Например, место, в котором был придуман язык C++, расположено буквально в одной миле от офиса, где я сейчас нахожусь. Многие термины происходят из США.
— Сейчас программистом быть очень хорошо – дефицит специалистов, высокие зарплаты. Изменится ли ситуация? Потребуются ли в будущем миллионы программистов для поддержания цифровой цивилизации?
— Точного ответа не знает никто. Это очень сильно зависит от конъюнктуры рынка. Вы же помните, что в конце 90-х — начале 2000-х годов был невероятный рост числа специалистов, которые были заняты в IT. Причем не обязательно высокого уровня. Требовались люди, которые делали веб-сайты. И буквально за несколько месяцев можно было изучить HTML и выдавать сайты или простые решения для доткомовских компаний, получая при этом неплохие деньги. А потом доткомовский рынок схлопнулся, и многие из этих людей оказались на улице, были вынуждены переориентироваться в своей профессии. Так что конъюнктура рынка играет огромную роль.
С другой стороны, высокого уровня программисты и Data Scientist, как сейчас их принято называть, остались при деле. Люди, которые не просто умеют писать какие-то программки, а понимают еще и логику программирования и алгоритмов, всегда будут цениться.
Также сейчас идет дискуссия по поводу искусственного интеллекта (AI), что часть задач программирования и IT будет решена за счет роботов и AI-систем. Говорят о том, что программы могут писать программы. Часть программистов, айтишников начального уровня будет не нужна, они будут заменены автоматическими системами.
И все бы хорошо, но существуют проблемы в подготовке квалифицированных специалистов. В связи с развитием технологий люди стали более ленивыми, к сожалению. Они привыкли к простым решениям: нажал кнопку, и вcё получается.
Иллюстрации – кадры из видео Bjork All is Full of Love и выставки Bjork at MoMA
В связи с развитием технологий люди стали более ленивыми, к сожалению. Они привыкли к простым решениям: нажал кнопку, и вcё получается.
— Сейчас ваша работа напрямую связана с развитием облачных платформ. Облачные платформы — это по сути большой конструктор, в котором основная задача — правильно его администрировать, запустить уже готовые сервисы, дирижировать их работой. Что же тогда получается, настоящие кодеры, которые работают в том же Си++, окажутся не нужны благодаря облакам?
— На мой взгляд, квалифицированные программисты будут нужны. Сейчас очень много шума по поводу машинного обучения, векторных вычислений и так далее. Развиваются и сами облачные технологии. Облачные порталы сейчас не назовешь сильно интуитивными, они были разработаны, чтобы покрыть как можно больше разных сценариев с виртуальными машинами, инстансами, стораджами и так далее.
Для пользователя, который не владеет какими-то языками программирования, нужны утилиты, которые упрощают процесс использования этих порталов, позволяют сделать его в один клик. Для написания таких утилит как раз потребуются сильные программисты.
Для серьезных разработок, связанных с аналитическими системами, вам надо знать не просто языки программирования, но и алгоритмы, уметь строить математические модели. С приходом облачных технологий это не уйдёт.
Человечество всегда стремится сделать что-то новое. Вы видели, как за последние два столетия ускорялось развитие технологий. За 20 лет было, грубо говоря, сделано столько же, сколько за несколько предыдущих столетий. И хочется все больше и больше. Необходимость создания серьезных аналитических систем всегда будет требовать серьезной подготовки.
Иллюстрации – кадры из видео Bjork All is Full of Love и выставки Bjork at MoMA
За 20 последних лет человечеством было сделано столько же, сколько за несколько предыдущих столетий. И хочется все больше и больше. Необходимость создания серьезных аналитических систем всегда будет требовать серьезной подготовки.
— Что в целом происходит на уровне облачных платформ? Сейчас есть несколько основных игроков рынка, которые выращивают собственные мегаоблака. Началась ли уже война между ними?
— Война платформ идет уже давно, и вызвана она коммерческими интересами. Несколько лет назад основная борьба шла в Private Cloud между VMware и платформой Hyper-V. Боролись за рынок, за то, кто будет иметь больший процент распространения в дата-центрах. Сейчас эта борьба переходит в область публичных облаков, это, естественно, Amazon, Microsoft и Google. Но думаю, что основная схватка, по крайней мере, в ближайшие годы, будет между Azure и AWS.
При этом обмен данными между разными облачными системами будет играть все большую роль, потому что многие организации, во всяком случае в США и Европе, часто должны иметь возможность выбирать между облачными системами. На мой взгляд, возможность перемещения physical-to-virtual, когда вы виртуализируете физическую машину в один из типов облаков, а также перемещение виртуальных машин между, например, Hyper-V и Amazon, между Hyper-V и Azure, и Azure → AWS будет очень востребована. Мы стараемся это делать, кстати.
Цель 5nine — помочь клиенту построить гибридное облако, объединяющее свой дата-центр, публичные облака, такие как Azure и Amazon, облака локальных хостинг-провайдеров, с прозрачным управлением и перемещением нагрузки между ними, с высоким уровнем безопасности и соответствия национальному и международному законодательству. Эта концепция уже реализована у нас в 5nine Cloud Security, который обеспечивает мониторинг и безопасность как в дата-центре клиента, так и в
Azure или у хостинг-провайдера из одной консоли или клиентского портала. Разные платформы и облака будут интегрироваться на базе решений независимых разработчиков.
То есть уже сейчас есть возможность переносить виртуальные машины между разными облаками?
— Да. Посмотрите на V2V Easy Converter, продукт, который есть у 5nine Software. С его помощью можно взять, например, виртуальные машины VMware, конвертировать их в Hyper-V, а затем загрузить в Amazon или Azure. С ростом уровня безопасности и функциональных возможностей облаков корпоративный сектор с большим желанием начнет переносить свои системы в публичные облака, так что потребность в межоблачной миграции будет только расти.
Иллюстрации – кадры из видео Bjork All is Full of Love и выставки Bjork at MoMA
С ростом уровня безопасности и функциональных возможностей облаков корпоративный сектор с большим желанием начнет переносить свои системы в публичные облака, так что потребность в межоблачной миграции будет только расти.
— Что сейчас мешает крупным компаниям переходить к использованию облачных платформ?
— Я думаю, что в основном это вопросы, связанные с технологической независимостью и безопасностью. Скажем, у вас есть какие-то физические машины и данные, которые вы где-то храните, либо виртуальные машины, работающие на платформах внутри вашего дата-центра. Вы переносите все это куда-то в Azure или даже в Azure Government или Amazon Government с дополнительным уровнем сертификации. Компании не всегда готовы к тому, что у них не будет полного контроля над своими виртуальными машинами. Поэтому очень важна, — и мы этим занимаемся, — возможность такого контроля, изоляции машин в публичном облаке.
Ещё одним перспективным решением я вижу использование нового продукта Microsoft —Azure Stack, который позволит объединить в собственном дата-центре пользователя частное облако на Windows Server 2016 с сервисами Azure, работающими локально, на этом самом Azure Stack, и плюс, поможет добавить всю мощь технологий и приложений большого Azure. Ряд наших клиентов уже тестирует и планирует развернуть у себя Azure Stack. Поэтому мы работаем над новыми версиями нашего 5nine Cloud Security совместно с Microsoft для обеспечения расширенной безопасность такой инфраструктуры.
Вопросы безопасности схожи с теми, что решаются на уровне частных облаков. Допустим, у вас мультитенантная система, вы хостинг-провайдер, у вас есть виртуалки, которые относятся к разным тенантам, и вы хотите разграничить доступ тенантов к разным машинам или инстансам. Примерно то же самое нужно организовать и в публичных облаках. Но в частном облаке у вас все под контролем в собственном ЦОДе, а в публичном — в дата-центре, который находится где-то в Мюнхене или Вирджинии.
— То есть вопрос безопасности пока нерешаем?
— Нет, он решаем. Есть разные вещи, шифрование виртуальных объектов, разные секьюрити-системы, позволяющие создавать правила, по которым идет обмен данными между машинами. Но компании не совсем готовы анализировать связанные с этим риски. Поэтому мы и сосредоточились на security manageability. Этот вопрос всегда будет беспокоить специалистов, которые отвечают за безопасность.
Иллюстрации – кадры из видео Bjork All is Full of Love и выставки Bjork at MoMA
— Вы — это компания 5nine Software? Расскажите о том, чем она занимается.
— У нас две основные продуктовые линии. Одна — это менеджмент облака Microsoft. Менеджмент в широком смысле: мониторинг, управление виртуальными свичами, виртуальными машинами, репортинг, оповещение, отказоустойчивость и возможность восстановления машин, failover clustering и так далее. Идея в том, чтобы создать систему, которая изначально предназначалась бы для малого и среднего бизнеса. Потому что Microsoft System Center — это замечательный инструмент, но он в большей степени подходит компаниям уровня Enterprise.
Сейчас мы выпустили версию 5nine Manager Datacenter, он предназначен для крупных географически распределенных компаний: ритейла, банков, страховщиков, хостинг-провайдеров.
Что касается безопасности, у нас три основных направления. Это обеспечение безопасности гибридного или частного облака за счет изоляции виртуальных машин, создания виртуального файервола. Это антивирус, который может проводить сканирование без установки агента внутрь виртуальной машины. Это Intrusion Detection, Intrusion Prevention системы, поведенческий и эвристический анализ. Мы создали решения для частных облаков, сейчас выпускаем аналогичные продукты для публичного и гибридного облака. Эта линейка продуктов направлена на решение проблем крупных компаний.
— Давайте поговорим о будущем. Каким оно вам видится? Это будет мир искусственного интеллекта? Где сейчас находятся точки роста по разработке данной технологии?
— Про искусственный интеллект говорят уже давным-давно. Еще в доткомовский период активно обсуждали и машинное обучение, и автоматическую обработку данных, и многое другое. Алгоритмически, грубо говоря, многие вещи были готовы достаточно давно.
Более того, в моем предыдущем бизнесе мы разрабатывали системы, которые позволяли создавать некий базовый сценарий нормального функционирования системы, и потом вычислять отклонения от этого нормального поведения. А дальше вы получаете какие-то предупреждения, можете на них реагировать и классифицировать события, если какое-то подозрительное событие произошло.
Если у вас есть понимание, вы можете сказать: «Нет, это я знаю, у меня в три утра пошел трафик по 80 порту, потому что кто-то из моих программистов любит работать ночью». Система запомнит, какой юзер через какой IP может выходить в сеть — типичная Supervised Learning System.
Так что алгоритмы создавались, прорабатывались, и сейчас с увеличением производительности компьютеров, с доступностью облачных технологий, они могут быть реализованы. Направление AI активно развивается, потому что принято считать, что многие вопросы, связанные с безопасностью, с принятием решений, с управлением сложными процессами, будут решены с помощью машинного обучения.
По части центров развития технологий AI, это в первую очередь США: Кремниевая долина и другие технологические хабы: Нью-Йорк, Сиэтл, Бостон, Вашингтон. В Европе и в России тоже есть стартапы, которые этим занимаются.
Иллюстрации – кадры из видео Bjork All is Full of Love и выставки Bjork at MoMA
— Идет процесс интеллектуализации систем ИБ-защиты, способно ли добавление AI изменить расклад в борьбе между мошенниками и ИБ-компаниями?
— Конечно, они уже сейчас меняют. Раньше системы защиты от вредоносного ПО строились в основном на выявлении сигнатур. И если срабатывала сигнатура, антивирусная система определяла вирус, и вы могли что-то с этим делать. Но количество новых вирусов и атак растет факториально, если не быстрей. Есть необходимость обнаружения и предотвращения неизвестных атак и разных эксплойтов.
Например, вы установили новый веб-сервер. Пока еще никто не знает вашего IP-адреса, и вы хотите защитить его от хакеров. Для этого есть разные способы. Сервер начинает работать, вы собираете нормальный трафик и создаете какую-то метабазу, а потом сравниваете события, которые происходят на веб-сервере, с тем, что уже было раньше в нормальном режиме. У вас есть адаптивная система, которая позволяет обнаружить аномалии в поведении, у вас есть алгоритм, который классифицирует события. Безусловно, системы машинного обучения и искусственного интеллекта будут применяться. Но и злоумышленники тоже знают об этих возможностях и алгоритмах, поэтому война продолжится.
— Соревнование между двумя искусственными интеллектами?
— Да. Злоумышленники с помощью похожих систем могут отслеживать паттерны поведения, что делают секьюрити-администраторы конкретной сети, какие у них тренды, как они осуществляют анализ и мониторинг своей сети. Имея эти знания, они могут предпринимать какие-то шаги в обход этой защиты. Борьба будет продолжаться. Где мозги лучше, там и победа. В любом случае человеческий фактор пока остается ключевым, очень многое зависит от людей, которые разрабатывают алгоритмы и реагируют на предупреждения системы. В дальнейшем сами системы будут адаптироваться под изменения.
— Вы видите какие-то проблемы, риски на пути развития искусственного интеллекта?
— Есть различные страхи, связанные с тем, что часть работы будет отдана роботам. Я не вижу в этом пока серьезной опасности. Я думаю, что человек просто должен контролировать и не доверять все критически важные функции системам искусственного интеллекта. Пока это возможно (виртуальный смех — профессор хотел поставить здесь смайл, но мы против эмотиконов).
Иллюстрации – кадры из видео Bjork All is Full of Love и выставки Bjork at MoMA
Я не вижу серьезной опасности в том, что часть работы будет отдана роботам. Человек просто должен контролировать и не доверять все критически важные функции системам искусственного интеллекта. Пока это возможно.
— Интернет вещей, очевидно, также станет одним из элементов реальности завтрашнего дня. Какие ожидания у вас связаны с этой технологией?
— Да, это направление развивается семимильными шагами, туда идут большие вложения. Так же, как в облачных технологиях, колоссальную роль в нем играет безопасность. Взять хотя бы вопросы приватности. У каждого дома есть ноутбуки, планшеты, телефоны, и все с видеокамерами. Некоторые их заклеивают, но это частичное решение. Все эти видеокамеры находятся в одной сети. Задача здесь очень похожа на ту, что мы решаем для виртуальных машин. Мы должны иметь возможность регулировать сетевой трафик между разными устройствами. Если одно из устройств оказалось скомпрометировано, надо, по крайней мере, предотвратить распространение заражения на другие.
— На мой взгляд, один из факторов, тормозящих IoT, — это отсутствие долгоиграющих и миниатюрных элементов питания. Можно ли здесь ждать прорыва?
— Да, но это чисто «железный» вопрос. Сами железки, естественно, будут развиваться. Я думаю, с еще более высокой скоростью, чем это происходило в 90-е и 2000-е годы. Смотрите, машина БЭСМ-6, когда я учился в МГУ, очень ценилась и использовалась для серьезных расчетов по хоздоговорам. При этом ее производительность меньше, чем у современного iPad или iPhone. То же самое с батарейками.
Иллюстрации – кадры из видео Bjork All is Full of Love и выставки Bjork at MoMA
— Как развитие новых технологий повлияет на интернет, как он изменится? Какие технологии вам кажутся перспективными?
— Я думаю, что будут Intelligent Objects — объекты, содержащие готовый код, который будет передаваться по сети, запускаться на облачных устройствах. Это все будет эмулировать работу человеческого мозга, который, правда, до сих пор не познан, непонятно, как он функционирует. Но мы приближаемся к этому пониманию.
— И в качестве заключения посоветуйте, на что надо обратить внимание программистам, чтобы оставаться в тренде в ближайшие годы? Изучать какие-то языки программирования, вспомогательные дисциплины?
— Учитывая нашу специфику, основные требования к программистам — это знания C# и С++. Если вы хотите писать продвинутые программы на уровне драйверов, kernel mode drivers, которые используются в системах безопасности для разработки, например, расширений виртуальных свитчей, потребуются знания С++. Еще важен .Net. И самое главное, это хорошая математическая, алгоритмическая подготовка. Если вы действительно хотите быть вовлеченным в систему, связанную с машинным обучением и искусственным интеллектом, знания математической статистики вам очень пригодятся. Не менее важно разбираться в облачных платформах, уметь использовать инструменты (а ля Visual Studio), которые помогают запускать код и для облака, и прямо в облаке. Облачный рынок будет расширяться до «астрономических размеров», и главное — не остаться за бортом!
А если говорить о перспективах и трендах IT-рынка в целом...
— Да, профессор, если хотите, будем считать, что мы задали этот вопрос.
— По данным IDC, уже сегодня 35% всех приложений компаний развертываются в облаке. Этот процесс продолжится, крупные компаний и SMB будут эластично перераспределять нагрузки между своими дата-центрами и публичными облаками. И этот сценарий будет ускоряться по мере того, как будут решаться проблемы безопасности и управления гибридным облаком пользователя. Опыт и знания 5nine Software в области безопасности и управлении виртуализацией Hyper-V всегда помогут пользователям экосистемы Microsoft сделать путь в облака более удобным и безопасным.

Комментарии (28)

  • 0

    А в США используют для электронной подписи облачные токены PKCS#11?

    • +1
      Да, этот стандарт используют в своих решениях по аутентификации такие компании, как Dell, EMC, Oracle, Red Hat, Symantec, VMware. На его базе, в том числе, реализуется новый тип облачных услуг Identity as a Service
  • 0
    Смесь мечтаний с полной оторванностью от реальности. Особенно занятна надежда на развитие «железяк», когда техпроцесс подходит к своему техническому минимуму. Никакого революционного прогресса на будет, мировая экономика находится в стадии сжатия, а США — в тяжелом экономическом, а, главное, моральном кризисе. Кому вкладывать деньги в инновации, у кого есть одновременно и достаточный технологический уровень и достаточно большой рынок сбыта? Только у Европы, но у нее проблем и так много.
    • 0
      Прогресс переместился из мира «железяк» в мир виртуализации и облачных сервисов. Это рынок растет даже в России на 20% в год, в отличие от серверов и ПК, продажи которых стагнируют. Вся беседа о новых технологиях, которые двигают экономику, уменьшая затраты бизнеса и повышая его гибкость, адаптируемость к кризисам. Тут еще непаханное поле для новых проектов, чем 5nine и Microsoft с успехом занимаются.
      • 0
        Облачные технологии бесполезны и неудобны для частных пользователей, они предназначены сугубо для компаний у которых гигабитные каналы связи. Да и для компаний в случае хранения информации облако не капли не выход. Ну а обычный человек должен быть прямо таки не в своем уме, чтобы отправлять ценную для него информацию «на деревню бабушке».
        Продажи ПК падают из-за соответствующей фазы кризиса в мире, у людей нету денег на частые обновления оборудования. Плюс, часть населения справедливо осознав, что им от компьютера нечего не нужно кроме веб-серфинга, прослушивания музыки и просмотра фильмов, перешла на иные устройства. Как между этим и облачными технологиями можно прочертить связь непонятно.
        • 0
          Хотя история про облака, затронутая в интервью касается крупных компаний и организаций, потребление облачных сервисов растет и у частников. Фактически каждый пользователь смартфона использует облачный сервисы, прежде всего хранение информации. Но основной драйвер роста облаков — это перенос в них нагрузок крупными компаниями. Только что появились интересные цифры, с которыми не поспоришь: в 2016 году глобальный рынок облачных сервисов составил 209 млрд долл., показав рост в 20% (!). по вопросу сжатия цифровой экономики Штатов: Каждая американская компания планирует потратить на облачные сервисы в среднем около $1,77 млн в 2017 году, в то время как компании из других стран — $1,3 млн (оценка американского холдинга IDG). Так что показатели мировой ИТ-индустрии возможно стагнируют в терминах традиционного подхода (продажи серверов, хранилищ, сетевого оборудования), но они экспоненциально растут, переходя на сервисную, облачную модель. И чем быстрее российские компании приспособятся к новым тенденциям рынка ИТ, тем более конкурентными на международной арене они будут. Тем более сейчас в России у облачных провайдеров таких как Ростелеком, Даталайн, Софтлайн, Контур построена современная облачная инфраструктура, почти не уступающая зарубежной по возможностям и легко масштабируемая. А через такие технологии как Azure Stack легко адаптировать продвинутые мировые сервисы, такие как ИИ, в местных ЦОД.
  • 0
    Злоумышленники с помощью похожих систем могут отслеживать паттерны поведения, что делают секьюрити-администраторы конкретной сети, какие у них тренды, как они осуществляют анализ и мониторинг своей сети. Имея эти знания, они могут предпринимать какие-то шаги в обход этой защиты. Борьба будет продолжаться.
    Похоже, что это инфинитная война. При том, что злоумышленник всегда на шаг опережает защитника: происходит одно или несколько нападений и тогда предпринимаются ответные меры. Вчера написал про книгу Дэвида Минделла «Восстание машин отменяется! Мифы о роботизации», где высказал мнение, что инфинитность войны со взломщиками делает угрозу бунта роботов вполне вероятной.
    • +1
      Да, это общая проблема борьбы «воров и полицейских». Вопрос в сроках и затратах на взлом. А это зависит от конкретной ниши или технологии. Для преодоления традиционных СЗИ не требуется серьезных затрат и времени, как показали многочисленные инциденты последних лет. Все пострадавшие имели стандартный набор популярных продуктов, уязвимости которых широко известны. Перед злоумышленниками встает вопрос, подбирать ключи к новой технологии или использовать уже имеющийся набор шаблонов для атаки? Ответ очевиден. Новые технологии СЗИ, безопаснее не только за счет своих инженерных решений, но и из-за того, что с ними нужно дольше возится, чтобы найти уязвимости. Злоумышленники тоже мыслят экономическим категориями и идут к тому, у кого защита с хорошо известными дырками.
  • 0
    Злоумышленники тоже мыслят экономическим категориями и идут к тому, у кого защита с хорошо известными дырками.
    Да, в случаях, когда взлом осуществляется ради обогащения — воровства паролей к банковским счетам или шантажа. Но бывают случаи промышленного шпионажа, дискредитации конкурента. Тогда целью является конкретный адресат, и заказчик взлома может не постоять за ценой. А еще существуют сообщества хакеров, где ломают ради престижа: чем сложнее защита — тем престижней ее сломать.
    • 0
      Согласен. Но компьютерные преступления стали регулярным нелегальным бизнесом, с законами как в обычном: косты, сроки проекта и т.п. )) Поэтому устанавливая современные СЗИ, перенося часть нагрузок в облако, большинство компаний диверсифицируют и уменьшают риски. Конечно, остаются штучные клиенты, где злоумышленники за ценой не стоят. Но в этом случае проще и дешевле тупо купить инсайд (
      • 0
        Многие ли компании владельцы облаков готовы взять на себя полную ответственность за безопасность своих клиентов? Нпр., если крупный банк разместит в облаке систему обслуживания своих клиентов, и произойдет серьезный взлом, то возместит ли владелец облака украденные деньги? И найдется ли у него достаточно денег, чтобы возместить полностью?
        • 0
          Конечно нет. Оператор связи, который предоставляет каналы банку для передачи данных тоже не возмещает ущерб от перехвата, если таковой произойдет. Но пока мы регулярно читаем истории как банки хакают в их собственных ЦОДах, в т.ч. на изолированных АРМ ЦБ )))) Про истории компрометации банковских систем у облачного провайдера я пока не слышал. Специализированный облачный провайдер в состоянии предоставить более высокий уровень безопасности прежде всего за счет устранения «человеческого фактора». Для надежной изоляции, контроля и поддержания политик безопасности в облаке, провайдеры предлагают новую услугу Безопасность как сервис (SECaaS).
          • 0
            Не понял про устранение человеческого фактора. Облачные серверы обслуживают люди, в том числе и системные программисты с максимальными правами доступа. В случае подкупа или шантажа такого программиста он может умышленно сделать дыру в системе для взломщика, а потом постараться замести следы. Так называемая социальная инженерия, к сожалению, и здесь работает на руку злоумышленнику.

            И кроме того, в случае облаков возникает опасение: не получится ли ситуация с дитем, у которого семь нянек? Т.е. при разделении обязанностей между службами безопасности банка и облака? Исходя из общих соображений, система надежнее, когда всё сосредоточено в одних руках. Две службы могут просмотреть уязвимость только потому, что каждая из этих служб будет считать, что за данную область отвечает не она.
            • 0
              Да, устранение- неправильный термин. Скорее -уменьшение. Когда данные у вас в ЦОД, доступ к ним имеет больше людей и есть физический доступ к данным. Получение доступа к данным клиентов у серьезного провайдера намного сложнее как организационно, так и технически. А как получить доступ к данным российских клиентов в Azure/AWS через их админов, вообще сложно представить. Кроме того в WS 2016 появилась технология Shielded VM которая шифрует данные клиента в т.ч. от админа. Площадь атаки в случае облака значительно меньше, что подтверждается статистикой инцидентов. По разделению прав — несомненно собственная служба ИБ должна иметь возможность контроля и управления безопасностью своих данных в облаке. Сейчас такая возможность появилась. До SECaaS Azure Pack клиентам приходилось верить провайдеру «на слово», что конечно недопустимо. Разграничение зон ответственности всегда можно описать в договоре и реализовать. В реальной жизни разграничить зоны ответственности между собственными службами ИТ и ИБ тоже весьма непросто. 5nine уже 2 года совместно с Microsoft защищает данные клиентов в облаках хостинг провайдеров. Накопилось много успешных проектов и за 2 года не было инцидентов по ИБ с клиентами, использующими SECaaS в облаке на технологиях Microsoft
              • 0
                Спасибо за подробные ответы. Еще один интересный вопрос: подключить SWIFT к облакам возможно? И стоит ли это делать? Может уже сделано?
                • 0

                  Да, конечно. SWIFT давно мигрировал с начального X.25 на VPN, а теперь и в облака. Пока мы спорим можно использовать облака или нет, весь мир получает преимущества, применяя новые технологии. Сервисы SWIFT доступны теперь и по облачной модели использования: https://www.swift.com/our-solutions/interfaces-and-integration/alliance-lite2

                  • 0
                    Спасибо.
                    Пока мы спорим можно использовать облака или нет,

                    Надеюсь, что спорим мы не об этом — если используют, значит можно. Мы просто выясняем преимущества и недостатки.

                    Возвращаясь немного назад. Вы сказали:
                    5nine уже 2 года совместно с Microsoft защищает данные клиентов в облаках хостинг провайдеров.

                    Извините за критику Вашего партнера. Надеюсь, она будет воспринята как конструктивная. Microsoft следует завету своего основателя: «ПК в каждый дом». Но все же есть разница между ОС для банка и ОС для бытового использования. А Microsoft, на мой взгляд, слишком упорно пытается нивелировать эту разницу, делая универсальные ОС, в которых, несмотря на конфигурирование под узкоспециальные задачи, сохраняется множество излишеств, ненужных для этих задач. И как результат — потенциально больше уязвимостей. Конечно, есть ОС для серверов, а есть для мобильных устройств, но все они в общем растут из одного корня. Деньги любят тишину, т.е. стабильность. А Windows постоянно обновляется. Может, не нужно усложнять ОС для ответственных банковских операций, а наоборот — упрощать. Что-то предельно простое, допотопное типа MS DOS 3.0? Несколько лет назад, где-то читал, что какая-то сеть европейских гипермаркетов перешла на DOS: возможностей вполне достаточно, а сопровождать и защищать не в пример легче, чем Windows 10 (или какие тогда были).

                    Не знаю, как сделано в той сети, но можно сделать, чтобы системный диск был только для чтения — для command.com реестр не нужен. Вместо HDD можно DVD ROM использовать. И опломбировать его, чтобы никакой скрытый диверсант скрытно не подменил. Все приходящие по сети сообщения воспринимаются исключительно как зашифрованный текст. Никаких скриптов и прочих исполняемых вложений. Очевидно, что и антивирусы таким устройствам будут ненужны.
                    • +1

                      Критика приветствуется, тем более сам МС осознает, что нужна альтернатива избыточной и из-за этого уязвимой платформе Windows Server. Поэтому для WS 2016 было предложено очень интересное решение — минималистский Nano Server, который как раз должен был решить проблемы, которые Вы описали. Он в 20 раз меньше по размеру, без GUI, требует на порядок меньше обновлений и т.д. К сожалению с выводом его на рынок появилась проблема и в июне функционал Nano ограничили до контейнерной ОС. Но МС понимает проблему и работает в этом направлении. Кстати, для уменьшения площади атаки можно использовать сценарий с установкой Core версии с ролью Hyper-V и управлением через 5nine Manager. В качестве гостевых ОС можно использовать Linux. Но мы выходим за пределы темы статьи. Если интересно, можем пообщаться по почте: info@5nine.ru

                      • 0
                        Спасибо. Написал на почту.
  • 0
    За 20 последних лет человечеством не было сделано ровным счётом НИЧЕГО.
    • +1
      Как же? Подняли температуру атмосферы, отравили океан и приостановили Гольфстрим. Еще постараемся и запустим новый ледниковый период
      • 0
        Не-не-не, все эти события в жизни планеты уже не раз происходили сами по себе, человеческая плесень здесь точно не причём. Планете нужен был пластик, она его получила.
  • 0
    Спасибо за интервью.
    Сразу и много. Теперь надо переваривать, сразу вываливать возникшие мысли не стоит ;).

    А по поднятой полемике «вор-полицейский», так пока существуют причины ее породившие и сама проблема никуда не уйдет. Переход к облакам только временно изменит ситуацию.
    • 0
      Понятно, что не уйдет. Вопрос стоит иначе: насколько сильно облачные технологии повышают безопасность в теории и на практике.
      • 0
        Никак. Если Вы отдали жену дяде, то теперь жена у дяди. Вы можете смотреть в замочную скважину и возможно договориться о совместном пользовании. Но в последнем случае, не удивляйтесь если пользователей окажется больше чем Вы рассчитывали. В теории и на практике.
        • 0
          «Дядя» может приходить и в ваш дом, когда вы на работе и в командировке ;) Вопрос всегда в технологиях и правильной организации прав доступа.
  • 0
    туфта это все професцор. как вы объясните что код сейчас тормозной. Может старая гвардия и работает но молодняк дебилы имхо.Мощность желдезок растет но не мозгов.Я сижу на старом пеньке и срал на ваши облака. Если начинаю кодить все полетит.
    Смысл правильно вы сказали в г7ениальности и и алгоритмах остальное фуфло.
    Конечно когда в shfpjdmtntcm будем в олдаках вашим летать. :) Сори за сленг и ашыпки.
    • 0

      Потому что нужно много кода и на весь объем разработки хороших программеров не найдешь. Сроки, опять же у заказчика горят, давай-давай… много причин. Но и сейчас много отличных стабильных продуктов, особенно, начиная с v2.0 ;) Важно понимать тренд отрасли, о чем Константин рассказал выше, чтобы делать нужный клиенту продукт, а код всегда дорабатывается по ходу.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.