Ртк солар руководство

Несмотря на различные трудности, стартап Solar Security смог с нуля стать одним из лидеров перспективного сегмента технологий для SOC, и им заинтересовалась госкорпорация «Ростелеком». За три года после M&A-сделки компания выросла в 20 раз. Во главе этого пути стоял Игорь Ляпунов, ранее гендиректор Solar Security, теперь гендиректор «РТК-Солар» и вице-президент «Ростелекома» по информационной безопасности.

Мы поговорили с ним, в какие проекты «РТК-Солар» готов инвестировать, по каким критериям оценивает стартапы и какую пользу может принести им сотрудничество с компанией.

— Игорь, вы с нуля начали развивать Solar Security — спин-офф компании «Инфосистемы Джет». А через три года продали компанию «Ростелекому» за 1,5 млрд рублей. Почему было принято решение продать? Вы не думали, что, продолжив развиваться самостоятельно, могли бы в итоге получить иной масштаб и большую оценку?

— Изначально мы не готовили компанию под продажу. Более того, госкорпорация для нас — непривычная среда: я никогда не работал в госкорпорациях, акционеры всегда были в частном бизнесе, и это была непростая развилка.

Причин принять предложение «Ростелекома» по продаже компании было несколько. Во-первых, мы в Solar Security изначально планировали развиваться по лидерской модели и были нацелены на опережающий рост. С момента старта мы каждый год вырастали в два раза. Когда развиваешься по такой модели, очень важен объем инвестиций. Первые три года мы развивались за собственный счет и на деньги частных акционеров. Мы инвестировали больше, чем получали. А каждое следующее удвоение требовало дополнительных денег. И, конечно, на каком-то этапе возможный объем инвестиций от частного бизнеса стал ограничением.

Во-вторых, мы понимали, что рынок консолидируется вокруг крупных игроков и их немного. У «Ростелекома» были все козыри на руках: и политический вес, и инвестиционные возможности, и доступ к большим проектам, попасть в которые самостоятельно маленькой компании сейчас невозможно. «Ростелеком» планировал развивать направление кибербезопасности, и, конечно, нам было важно присоединиться к тому, у кого есть максимальное право на успех. Лично для меня важно лидерство. Мне не интересно быть вторым или третьим. В тот момент я понимал, что стать безусловным лидером на рынке кибербезопасности можно, только опираясь на сильного игрока.

  Нас оценили в 1,5 млрд рублей .

 Это большая сумма, оценка с высоким мультипликатором. И мы приняли решение о продаже компании. Результат нашего присоединения к «Ростелекому» был колоссальным.

— Кажется, что ваше развитие до вхождения в «Ростелеком» было очень гладким…

— Конечно, это не так. Хлеб предпринимателя в России, а тем более высокотехнологичного стартапа, очень труден. С одной стороны, как только мы открываем свой бизнес, то сразу оказываемся всем должны: должны регулярно платить зарплату, налоги, коммунальные услуги и так далее. А с другой стороны, заказчики, особенно крупные, не только не авансируют проекты, но и пользуются отсрочкой платежей до трех месяцев. Поэтому мы всегда жили в кассовом разрыве.

Нас спасало то, что мы были командой единомышленников, которые делали общее дело и бесконечно верили в успех. Чтобы закрыть один из таких кассовых разрывов, сотрудники взяли в банке кредиты и скинулись этими деньгами, чтобы компания могла выплатить всем зарплату и дотянуть до оплаты от очередного большого заказчика.

А еще на рынок кибербезопасности начали выходить новые игроки с большим инвестиционным рычагом, и несколько крупнейших корпораций стали собирать команды, в том числе, конечно, просто перекупая их целиком у других игроков отрасли. Корпорации предлагали нашим техническим командам зарплаты в два-три раза выше, а мы могли противопоставить этому только горящие глаза людей, которые не просто работают за оклад, а развивают свое детище. И, видимо, это оказалось главным — мы выдержали осаду, от нас ушли единицы.

Ну и, конечно, развивать технологический стартап — это тяжело чисто по-человечески. Это работа 24/7 вне зависимости от того, что у тебя происходит в жизни и насколько ты устал.

— Попав в «Ростелеком», вы могли стать просто одним из многих подразделений. У вас не было опасений, что вы полностью потеряете независимость?

— Конечно, приходя в огромную госкорпорацию, мы опасались раствориться в ней, потерять взятый темп развития. Мы просчитывали любые возможные сценарии, особенно негативные, потому что компания — мое детище, в нее вложены бесконечные силы и доверие всей команды, которое нужно было оправдать.

На стороне инвестора переговоры вели Владимир Кириенко и Александр Айвазов, отвечавшие за развитие бизнеса ПАО «Ростелеком». У меня очень быстро возникло доверие к ним и уверенность в прозрачности их намерений. На мой взгляд, это ключевой момент в построении отношений со стратегическим инвестором. Мотивы «Ростелекома» были очень прямолинейны: нужно быстрое, агрессивное вхождение в рынок кибербезопасности. Обеспечить это можно было единственным способом — приобрести лидера целевого сегмента, а это был Solar Security.

Важно сказать, что основной бизнес «Ростелекома» — операторский. Он очень консервативный, растет на 3–5% год к году. Тем временем рынок кибербезопасности развивался принципиально другими темпами.

  Solar Security росла на 100% год к году.  

«Ростелекому» было невыгодно пытаться включать нас в сложную корпоративную модель управления. По обоюдной договоренности мы были выделены в так называемую модель цифрового кластера — это дочернее зависимое общество, но с большой автономией, поскольку темпы его развития в десятки раз опережают рост core-бизнеса. Мы получили значительный объем инвестиций, региональное присутствие, доступ к крупных проектам. Нам дали свободу в стратегии развития продуктов, рыночной стратегии и поддержали в продвижении. И параллельно помогли нам повысить зрелость компании в части бизнес-управления.

— Сейчас вы уже сами хотите инвестировать в компании. Заявленная сумма в 22 млрд рублей сравнима чуть ли не со всем российским венчурным рынком. Зачем столько?

— Да, это очень амбициозный объем инвестиций. Они рассчитаны на три года, с 2022-го по 2024-й. Рынок информационной безопасности сейчас активно развивается, и oсобенно стремительно после 24 февраля. И я верю, что все эти вложения вернутся опережающими мультипликаторами и ростом капитализации.

Мы инвестируем как в привлечение стартапов и зрелых компаний рынка, так и в создание собственных технологий кибербезопасности, что в том числе является реализацией стратегии технологического суверенитета России.

— Можете рассказать про условия инвестирования? Вы хотите покупать контроль в компаниях или условные 10–15%? На какие суммы могут компании рассчитывать?

— Мы не заходим в компании как финансовой инвестор, который купил, продал и получил доход. Ключевая задача — собрать вокруг себя кластер кибербезопасности, сильную экосистему технологий, поэтому мы инвестируем на долгий срок. Если мы покупаем не 100%, то предусматриваем возможность через определенное время докупить оставшуюся часть компании.

Безусловно, все кейсы покупки индивидуальные. В среднем мы покупаем долю от 50% до 75%, чтобы при необходимости иметь возможность влиять на технологическое развитие компании. При этом стараемся оставлять долю фаундеру или прежнему акционеру. Это очень важно, чтобы сохранить и культивировать бизнес-ДНК покупаемой компании, потому что именно она представляет ключевую ценность. Чтобы фаундер чувствовал заинтересованность не в моменте увеличить показатели и продать компанию, а в долгосрочном опережающем развитии бизнеса.

— Вы смотрите не только на зрелые компании, но и на совсем молодые стартапы. Каковы критерии для таких проектов? Если у компании есть технология, но, условно, не слишком большая выручка, вы все равно будете на нее смотреть?

— Когда мы смотрим на большую компанию, ее плюсы — клиентская база, наличие выручки, зрелые технологии, но у нее всегда есть какой-то астральный хвост проблем. Молодые компании, как правило, имеют бизнес-задор, и в этом их главная сила. В этих командах рождаются точечные нишевые технологии, и всегда есть огромный потенциал для роста, который легко реализовать. Бывает достаточно повысить зрелость менеджмента или наладить процесс продаж, как стартап выходит совершенно на другие показатели.

При оценке компаний используются все понятные рыночные методы. Помимо того что мы покупаем долю у текущего акционера, мы всегда приносим и инвестиции в компанию, и доступ к нашей клиентской базе, и обогащение технологий нашими знаниями. Поэтому с каждой компанией мы просчитываем совокупный синергетический эффект. Условия зависят как от структуры бизнеса, так и от текущих параметров или перспектив.

— Я стараюсь следить за венчурными новостями, но инвестиции в стартапы из отрасли кибербезопасности вижу очень редко. Почему так? Нет инвесторов, которые инвестируют в эту сферу, или компаниям не нужны деньги?

— Мы провели первый этап программы по поиску и инвестиционному развитию с фондом «Сколково». За это время мы посмотрели почти все стартапы, которые есть на рынке информационной безопасности, — это порядка 100 компаний и команд. Основная проблема в том, что у рынка «инфобеза» очень высокий порог входа: большинству заказчиков нужны подтвержденные истории внедрения, зрелые процессы разработки, лицензии и сертификаты.

Наконец, крупным заказчикам важен комплексный подход к кибербезопасности, который предполагает работу с единым поставщиком с большой экосистемой продуктов и сервисов, опытом крупных реализованных проектов. Выжить и конкурировать в условиях всех этих требований стартапам очень тяжело.

_{Стартапам в кибербезопасности нужны не только деньги, но и отраслевая экспертиза, инсталляционная база, возможность зайти в крупные проекты и др.}

Венчурные инвесторы не могут дать те ресурсы и инструменты, которые нужны стартапам для роста.

— Если не венчурные фонды, какие еще есть способы привлечения инвестиций у стартапов из кибербезопасности?

— Возможности привлечь финансирование у стартапов ограничены. Когда мы, будучи Solar Security, приходили за кредитом в банк, нас спрашивали, есть ли у компании недвижимость или другие материальные активы, а у нас была только интеллектуальная собственность. Мы пытались привлечь инвестиции и через институты развития, но в 2015 году, когда мы начинали, все они были очень медленными. В нашем случае с момента заявки и первых разговоров до получения обратной связи прошло полгода, за это время стартап может и умереть. Сейчас ситуация стала существенно лучше, но тогда надо было начинать диалог с институтами развития сразу с момента создания компании.

Наш проект со «Сколково» направлен на развитие рынка информационной безопасности, на создание условий для возникновения и дальнейшего развития стартап-команд в кибербезопасности. Успешно прошедшим программу мы даем колоссальный рывок вперед: доступ к нашим проектам, испытательным лабораториям, к нашему опыту. То есть мы можем сделать их продукт зрелым гораздо быстрее, чем они сами. И понятно, что инвестиции — это всегда ключ к развитию продуктов и новых инициатив.

— Сейчас финансовые рынки сильно просели, упали оценки компаний. На месте стартапа вы бы брали инвестиции сейчас или все-таки старались терпеть и развиваться на свои?

— В текущей экономической ситуации очевидно, что нужно крепкое плечо рядом. Сейчас действительно нужно искать точки опоры и точки доступа к большим проектам. Без этого уровень риска становится запредельным. Если стартап попадет в нынешнюю экономическую турбулентность, она легко может его убить. Попасть в кассовый разрыв и просидеть три месяца без денег означает потерять бизнес.

— Еще стартапы сомневаются, брать ли деньги у госкомпаний, поскольку с таким инвестором закрывается путь на международный рынок. В сегменте кибербезопасности так же? Или стартапы сильнее привязаны к локальному рынку?

— Стартапам, которые развиваются в России, не у кого больше брать денег, кроме госкорпораций, сейчас нет других инвесторов с большими рычагами. Являются ли инвестиции от госкорпорации барьером для выхода на международный рынок, вероятно, зависит от инвестора. Например, у «Ростелекома» большая программа международного продвижения. Мы сотрудничаем с различными государственными институтами, которые выстраивают международные связи, участвуем в реализации ряда международных проектов по кибербезопасности. Так что для других компаний мы можем стать мостиком, в том числе к международному бизнесу.

— Насколько наши технологии будут востребованы в мире?

_{Я оцениваю потенциал российской кибербезопасности на международном рынке очень высоко.}

— Сейчас против России развязана кибервойна, такого объема кибератак ни у кого в мире никогда не было. Тем не менее российская инфраструктура выстояла: не было крупных аварий, сбоев или последствий. И те технологии и подходы, с помощью которых мы защитили цифровой суверенитет, очевидно, являются высококлассным экспортным продуктом.

— А расскажите алгоритм, что делать стартапу, если он хочет получить от вас инвестиции. К кому стучаться?

— В этом нет магии, на сайте есть раздел «Инвестиции», где указаны контакты. Абсолютно любой доступный канал связи приведет стартап к общению с департаментом стратегических инвестиций.

Главное — стартап должен сформулировать, что он хочет, в чем ценность его продукта или технологии, каковы его планы по развитию и амбиции по росту. Есть и вещи, которые не упаковать в питч-письмо. Когда мы говорим с молодыми командами, я всегда обращаю внимание на то, горят ли у них глаза — это хороший фундамент. На его базе можно искать точки роста, направлять в технологическом развитии, тестировать гипотезы.

Конечно, мы смотрим на интеллектуальную собственность, исходные коды, но ключевой момент — это команда. И фаундеров мы оставляем в капитале, чтобы сохранить команду, ее мотивированность. Мы отличаемся от других крупных корпораций тем, что сами четыре года назад прошли весь этот путь. Я очень четко помню все те переживания, с которыми мы заходили в сделку. Сейчас, когда я разговариваю с генеральным директором приобретаемой компании, я вижу в его глазах все то, что было у меня в голове четыре года назад.

— А вы не думали уйти из корпорации и создать снова что-то с нуля? Так делают многие предприниматели после покупки их компаний.

— По внутреннему духу мы сейчас скорее стартап, хотя по размеру к этой категории уже давно не относимся. Если говорить про меня, я искренне люблю кибербезопасность. Это то направление, из которого, похоже, я уже никогда не уйду. И где же еще сегодня делать кибербезопасность, как не здесь? Сейчас в «РТК-Солар» собрана квинтэссенция экспертизы. Под нашим крылом защита инфраструктуры всего «Ростелекома», «Госуслуг», 60% государственных органов, десятки крупнейших корпораций, объектов критической информационной инфраструктуры. Все это магнит для хакеров, все самые передовые технологии атак испытывают на нас, и мы на острие всего, что происходит в отрасли. Нигде в другой компании — в стартапе или другой корпорации — такого поля для применения компетенций не найти.

---

«Солар» (ранее «Ростелеком-Солар» и Solar Security) была создана в 2015 году компанией «Инфосистемы Джет». Она аккумулировала в себе бизнес по разработке ИБ-продуктов и аутсорсинговую ИБ-экспертизу.

По состоянию на 2023 год команда Solar Security в общей сложности составляла порядка 1,8 тыс. человек.

Показатели деятельности

2022: Убытки — 1,25 млрд рублей

Компания «РТК-Солар» по итогам 2022 года получила чистый убыток в 1,25 млрд рублей, тогда как годом ранее была зафиксирована прибыль на уровне 1,19 млрд рублей. Выручка разработчика ИБ-решений в сравнении этих отрезков времени снизилась на 40%, до 2,87 млрд рублей. Такие данные были обнародованы в мае 2023 года.

2021: Рост выручки бизнес-направления системной интеграции на 84%

Бизнес-направление системной интеграции компании «РТК-Солар» продемонстрировало стремительный рост по итогам 2021 года, увеличив выручку на 84%. Об этом компания сообщила 17 мая 2022 года. Ключевыми драйверами роста направления стали проекты общенационального масштаба по созданию комплексных систем кибербезопасности для государственного сектора, а также крупные проекты по построению защиты ИТ-инфраструктуры промышленных предприятий.

Для дальнейшего развития бизнес-направления с 2022 года «РТК-Солар» выделил его в самостоятельный бренд «Solar Интеграция». Он объединит в себе проекты по системной интеграции и защите объектов АСУ ТП.

В 2022 году перед нами стояло немало задач по реализации сложных проектов. Справиться с этими вызовами нам помогли слаженная работа команды, крепкие отношения с партнерами и большой опыт управления территориально-распределенными проектами. Запуск бренда стал логичным продолжением нашей стратегии развития и призван укрепить достигнутые результаты на рынке системной интеграции. В дальнейшем, как и ранее, мы продолжим фокусироваться на масштабных проектах как в государственном, так и коммерческом секторах, — отметил Дмитрий Горбатов, директор направления «Solar Интеграция» компании «РТК-Солар».

«РТК-Солар» начал формировать бизнес-направление системной интеграции с 2018 года и спустя два года публично объявил о его запуске. Команда «Solar Интеграция» ежегодно выполняет свыше 100 комплексных проектов. Специалисты помогают государственным и коммерческим организациям выстраивать системы обеспечения кибербезопасности ИТ-инфраструктуры по модели on-premise, а также обеспечивать строгое соответствие требованиям регуляторов. Направление фокусируется на реализации территориально-распределенных проектов и защите центров обработки данных.

Для каждой задачи специалисты выбирают оптимальное решение из большого списка продуктов по кибербезопасности. В 2021 году наиболее востребованными среди заказчиков направления стали продукты российских компаний Positive Technologies, Kaspersky, UserGate, «Гарда Технологии», «Код Безопасности», «ИнфоТеКС» и «С-Терра». Примерно в 80% комплексных проектов специалисты направления выполняют полный цикл работ от экспертного консалтинга до круглосуточного сопровождения внедряемых систем, уделяя повышенное внимание выстраиванию процессов кибербезопасности.

История

2023

«Солар» потратит на развитие продуктов и покупку компаний 22 млрд рублей до 2025 года

14 сентября 2023 года «Солар» сообщил, что объём его инвестиционной программы до 2025 года составляет 22 млрд рублей. Игорь Хереш, директор департамента управления активами и M&A, отвечая на вопросы TAdviser, рассказал, что примерно половину указанной суммы «Солар» планирует потратить на создание и развитие своих продуктов. Ещё примерно половину «Солар» готов вложить в приобретение сторонних технологий – речь идёт о вхождении в капитал тех или иных компаний, как зрелых, так и находящихся на ранних стадиях развития.

В «Солар» рассказали TAdviser, что одно из технологических направлений, которые у неё сейчас в фокусе, — сетевая безопасность. В его развитие компания и сама вкладывается, и на рынке есть частные компоненты, которыми свои разработки можно усилить, говорит директор центра противодействия кибератакам Solar JSOC Владимир Дрюков.

«Солар» также уже сделал инвестиции в решение для контролируемого доступа подрядчиков в инфраструктуру компании. Ранее «Солар» приобрёл разработчика софта для повышения уровня безопасности информационных систем и управления критической ИТ-инфраструктурой «Новые технологии безопасности» (НТБ), в портфель которого входят система управления привилегированным доступом (PAM) SafeInspect и технология безопасного доступа к ресурсам организации. В это направление «Солар» тоже продолжит вкладываться.

И большой блок, который «Солар» планирует развивать, — это детектирование и противодействие киберугрозам. Это направление планируется усиливать и собственными разработками, и внешними продуктами.

Вместе с тем, конкретные названия компаний, в которые «Солар» было бы интересно инвестировать, пока не озвучиваются.

В ближайших планах «Солар» запуск акселерационной программы для технологических компаний, разрабатывающих решения в области информационной безопасности. Она будет включать такие инструменты поддержки, как менторство экспертов «Солар» и партнёров для сокращения барьеров развития бизнеса, технологическую и продуктовую диагностику, в т.ч. относительно работы с B2E- (Business to Employee) и B2G-сегментами, организацию совместных разработок, проведение пилотных проектов с доверенными клиентами и другие.

С момента основания «Cолар» вывел на рынок 5 собственных разработок:

• перезапуск DLP (Data Leak Prevention, предотвращение утечек информации);
• IGA (Identity Governance & Administration, управления учетными записями пользователей в различных информационных системах);
• SAST (Static Application Security Testing, статическое тестирование защищенности приложений);
• SWG (Security Web Gateway, шлюз безопасности, дополненный функциями глубокого анализа, фильтрации веб-трафика, прокси, разграничения пользовательских прав);
• NGFW (Next Generation Firewall, межсетевой экран следующего поколения).

Также компания приобрела вышеупомянутую PAM-систему Solar SafeInspect.

Кроме того, каждый из продуктов «Cолар» объединяет несколько технологий. Например, в DLP есть отдельный модуль UBA (User Behavior Analytics, анализ поведения пользователей), в Solar appScreener – модули SAST, DAST (Dynamic Application Security Testing, динамическое тестирование безопасности приложений) и SCA (Software Composition Analysis, анализ состава ПО).

В планах «Солар» стать своего рода «фабрикой технологий», сформировать экосистему продуктов и сервисов, связанных общей логикой работы, терминами и нативной интеграцией. При их создании специалисты компании применяют атакоцентричный подход. Это означает, что разработка осуществляется на основе аналитики, полученной по итогам изучения фактов реальных атак на компании, находящихся под защитой «Солар».

Одним из таких продуктов стал NGFW: по состоянию на сентябрь 2023 года у «Солар» более 20 пилотных проектов в работе, в том числе и в крупных российских корпорациях.

В течение трёх лет «Солар» рассчитывает вывести на рынок не менее 14 новых средств защиты информации, доведя их количество до 20. Для этого компания в два раза увеличит численность команд, занимающихся созданием собственных технологий – с 550 человек в 2023 до 1200 к 2027 году.

В «Солар» уточнили, что озвученная сумма инвестиций в 22 млрд рублей предназначена для развития в России. Но в планах и развитие бизнеса за рубежом. По словам гендиректора «Солар» Игоря Ляпунова, сейчас компания формирует международную стратегию, и уже сейчас есть несколько векторов выхода на зарубежные рынки: «Солар» уже работает, например, с ближним зарубежьем – странами Средней Азии, Белоруссией, где работа несильно отличается от России.

В дальнем зарубежье, согласно текущей геополитической ситуации, в приоритете те страны, которые сами проявляют интерес к российским технологиям, и где «Солар» видит определённый потенциал. Это страны Юго-Восточной Азии, Ближний Восток, Африка – всего порядка 40 стран. Интерес к российским ИТ-продуктам растёт в дружественных странах, где видят, с чем сталкивается российский бизнес, когда в одночасье компании, которые много инвестировали в западные технологии, потеряли и деньги, и оказались не защищены, отмечает Игорь Ляпунов.

Попадание под санкции США

«Ростелеком-Солар», «Крафтвэй» и «Технополис Москва» попали под санкции США. Соответствующее сообщение американского министерства финансов было обнародовано 14 сентября 2023 года. Подробнее здесь.

План разделения бизнеса на две структуры с разными брендами

11 сентября 2023 года стало известно о том, что российский провайдер сервисов и технологий для защиты информационных активов «Ростелеком-Солар» намерен разделить бизнес на две структуры с разными брендами.

Как сообщает Forbes, одна из организаций сосредоточит усилия на предоставлении услуг компании «Ростелеком» и государственным учреждениям. Второе подразделение займется оказанием сервисов коммерческим заказчикам. Ожидается, что данная трансформация поможет в продвижении продуктов на российском рынке.

Компания проведет ребрендинг, выделив бренд «Солар» для коммерческого подразделения и оставив бренд «Ростелеком» для госсегмента. Таким образом «Ростелеком-Солар» пытается уйти от образа госкомпании, — говорят осведомленные лица.

В рамках реорганизации сформированы две рабочие команды — внутренняя и внешняя. Первая займется обслуживанием нужд «Ростелекома», тогда как вторая будет отвечать за продвижение продуктов и сервисов в коммерческом секторе. По мнению участников рынка, компания делает большую ставку на бизнес в сфере информационной безопасности и старается максимально оградить его от негативных эффектов. Дело в том, что «Ростелеком» находится под широким спектром санкций, а это в том числе формирует негативный имидж среди коммерческих заказчиков. Поэтому назрела необходимость в изменении организационной структуры и создании отдельного бренда «Солар». Разделение на две структуры поможет повысить эффективность ведения бизнеса и увеличить количество заказчиков в коммерческой сфере.

Эти изменения не могут не отразиться на внешнем облике компании. В ближайшее время мы будем готовы представить новые бренды на рынок, приглашаем присоединиться к этому событию клиентов и партнеров, — отметили в компании «Ростелеком-Солар».[1]

14 сентября компания сообщила, что в ответ на запрос клиентов о формировании систем безопасности, учитывающих отраслевые особенности их бизнеса, было создано два автономных, но дополняющих друг друга подразделения: «Ростелеком Информационная безопасность» — для государственных заказчиков и «Солар» — для коммерческих организаций. Позиционируется она теперь как группа компаний «Сόлар». К каким конкретно юрлицам привязан каждый из брендов, в компании не раскрывают.

Интервью TAdviser с руководителем отела развития бизнеса центра компетенций управления доступом Solar inRights Юрием Губановым

В апреле 2023 года Юрий Губанов, руководитель отела развития бизнеса центра компетенций управления доступом Solar inRights «Ростелеком-Солар», в интервью TAdviser рассказал о том, как изменились основные принципы обеспечения кибербезопасности. Подробнее здесь.

Интервью TAdviser с экспертом центра продуктов Dozor Русланом Добрыниным

Современные цифровые предприятия активно внедряют в свою работу платформы и решения, управляющие всем спектром корпоративных коммуникаций. О том, как защитить компанию от утечек конфиденциальной информации по каналам коммуникаций, TAdviser рассказал Руслан Добрынин, эксперт центра продуктов Dozor компании «Ростелеком-Солар». Подробнее здесь.

Переход в «РТК-Солар» команды создателей ETHIC — российского сервиса класса Digital Risk Protection

Команда создателей ETHIC – российского сервиса класса Digital Risk Protection (DRP) – перешла из компании Infosecurity (входит в ГК Softline) в «Ростелеком-Солар», присоединившись к команде центра противодействия кибератакам Solar JSOC. Об этом представители компании сообщили TAdviser 9 февраля 2023 года. Объединенная группа из более чем 20 экспертов уже готовит к запуску обновленный и значительно дополненный сервис обнаружения внешних цифровых угроз.

Как пояснили в «РТК-Солар», Digital Risk Protection – термин для России относительно новый (по состоянию на начало 2023 года), однако популярность услуг по выявлению внешних цифровых угроз стремительно растет, особенно в условиях кибервойны и сопутствующих ей утечек данных и фишинговых атак. При этом тематика цифровых рисков не ограничиваются информационной безопасностью: здесь и вопросы защиты бренда, и предотвращение фрода, и другие направления комплексной безопасности.

DRP как инструмент помогает оперативно выявлять признаки угроз, не фиксируемых традиционными методами контроля цифрового периметра организации. Для этого необходим многовекторный мониторинг различных сегментов интернета по большому пулу информационных источников, который ежедневно обновляется, – пояснили представители компании.

По их словам, в основу будущего DRP-решения, над созданием которого работает объединенная команда экспертов в «Ростелеком-Солар», положены опыт и знания по сервису ETHIC, который всего за 3 года сумел занять значительную долю российского рынка DRP. В то же время, разработчики будут учитывать опыт и накопленные данные центра противодействия кибератакам Solar JSOC, а также проведенный анализ отраслевой специфики цифровых угроз.

«Мы рады приветствовать в наших рядах команду специалистов, которые за последние годы на практике продемонстрировали свои возможности. Благодаря этому нам удалось существенно расширить уже ранее сформированную экспертизу по мониторингу открытых источников и даркнета. В итоге нам не требуется выстраивать мониторинг и реагирование в DRP-системе с нуля, по факту она уже работает как отлаженный механизм. Теперь в нашем распоряжении имеются отточенные схемы взаимодействия с регистраторами доменов, хостерами, ИТ-гигантами, контролирующими органами и просто владельцами ресурсов», – прокомментировал событие Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC «Ростелеком-Солар».

Как он добавил, синергия компетенций двух команд поможет обогатить функционал как разрабатываемого DRP-сервиса, так и имеющихся у компании решений. Например, Solar JSOC сможет расширить возможности по аналитике угроз в интернете и даркнете. В свою очередь, в DRP будут поступать данные об угрозах, которые обнаруживаются на сетях «Ростелекома» по всей стране.

«В России имеется несколько решений, обеспечивающих защиту от внешних угроз, но все их можно пересчитать по пальцам одной руки. Языковой барьер и международная обстановка не позволяют зарубежным продуктам закрепиться на нашем рынке, что оставляет широкий простор для отечественных разработчиков», – заявил Игорь Сергиенко, директор по развитию специальных сервисов «Ростелеком-Солар».

Однако создание подобного сервиса с нуля – это совсем нетривиальная задача, подчеркнул топ-менеджер. И дело тут, по его словам, не только и не столько в сложностях разработки программной части. Самый важный элемент подобного сервиса – это люди, те специалисты, которые отслеживают тренды киберпреступности, владеют навыками OSINT, имеют аналитический склад ума.

Таких специалистов нигде не готовят, все это приходит с опытом, и тот факт, что мы располагаем слаженной командой спецов, которые занимались подобной работой на протяжении последних лет, позволит нам быстро выйти на российский рынок с качественно новым уровнем DRP-сервиса, в процессе создания которого будут учтены все ошибки первых поколений и особенности российской специфики», – заключил Игорь Сергиенко.

По информации «Ростелеком-Солар», разработку сервиса планируется завершить весной 2023 года. Однако отдельные его элементы уже доступны для заказчиков, в частности, полный цикл услуг по противодействию фишингу – от обнаружения вредоносных сайтов до их блокировки.

2022

Приобретение 100% активов «Новых технологий безопасности»

«РТК-Солар» (ООО «Солар Секьюрити») через свою дочернюю компанию ООО «Солар ПТ» заключил договор о приобретении 100% активов компании «Новые технологии безопасности» (ООО «НТБ»). Об этом 23 декабря 2022 года TAdviser сообщили представители «РТК-Солар». Сумму сделки в компании не раскрывают. Подробнее здесь.

Интервью TAdviser со старшим бизнес-аналитиком Еленой Черниковой

О последних тенденциях в структуре утечек информации из финансового сектора, других актуальных угрозах для банков и новых направлениях развития DLP-систем в декабре 2022 года в интервью TAdviser рассказала Елена Черникова, старший бизнес-аналитик компании «РТК-Солар». Подробнее здесь.

Интервью TAdviser с Виталием Сияновым и Евгением Харичкиным

Из года в год события, связанные с компьютерными атаками на промышленные предприятия разных стран, будоражат общественность. О том, каким образом в 2022 году изменились киберугрозы для промышленности, а также методы защиты производственных предприятий, в декабре 2022 года TAdviser рассказали эксперты центра «Solar Интеграция» компании «РТК-Солар»: Виталий Сиянов, менеджер по развитию бизнеса, и Евгений Харичкин, руководитель отдела по защите АСУ ТП. Подробнее здесь.

Запуск спецпроекта по киберграмотности

В рамках реализации федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика России» Минцифры России совместно с СПбГУТ и «РТК-Солар» запустили еще три спецпроекта, которые призваны повысить осведомленность пользователей о киберугрозах и способах противостоять злоумышленникам. Первый проект посвящен телефонному мошенничеству, второй адресован юным любителям компьютерных игр, а третий предназначен для детей и подростков, которые хотят стать популярными блогерами. Об этом 29 ноября 2022 года сообщил РТК-Солар. Подробнее здесь.

Интервью TAdviser с директором центра Solar appScreener Даниилом Черновым

Новые цифровые технологии постоянно меняют облик корпоративных информационных систем, а новые риски информационной безопасности, связанные с функционированием приложений, придают этому процессу дополнительную динамику. О том, как меняется содержание понятия «уязвимость приложений» в последнее время, какие методы защиты соответствуют сегодняшним угрозам и что такое культура безопасной разработки, TAdviser рассказал Даниил Чернов, директор Центра Solar appScreener компании «РТК-Солар». Подробнее здесь

Интервью TAdviser с директором по управлению персоналом и организационному развитию Ириной Самохваловой

Ирина Самохвалова, директор по управлению персоналом и организационному развитию компании «РТК-Солар», рассказала в октябре 2022 года TAdviser о том, как работают подобные аналитические системы, какие задачи они решают и как устроено одно из ведущих российских решений такого класса – Solar addVisor. Подробнее здесь.

Партнер конференции TAdviser «IT Security Day»

Компания «РТК-Солар» выступит партнером конференции TAdviser «IT Security Day», которая состоится в Москве 18 октября. Директор департамента развития бизнеса «Solar Интеграция» Екатерина Сюртукова станет одним из ключевых спикеров мероприятия и примет участие в стейдж-интервью.

В рамках стейдж-интервью Екатерина ответит на вопросы модератора о том, как изменилась ситуация на российском рынке информационной безопасности за последние полгода. После ухода из страны целого ряда иностранных вендоров многие используемые средства защиты потеряли часть функциональности или перестали работать совсем из-за прекращения действия подписок и обновлений. Это привело к деградации защитных свойств решений и сделало невозможным развитие кибербезопасности в компаниях по ранее разработанным дорожным картам. Как компании меняют свои планы в области ИБ, как правильно приоритизировать выстраивание процессов и выстраивать защиту от кибератак в новой реальности, и способны ли российские вендоры обеспечить необходимый стек технологий в области кибербезопасности, — эти и многие другие вопросы будут затронуты в ходе стейдж-интервью.

Бизнес-направление «Solar Интеграция» компании «РТК-Солар» реализует проекты по созданию комплексных систем кибербезопасности в крупных компаниях. Эксперты бизнес-направления проводят аудиты и разрабатывают стратегии развития кибербезопасности, проектируют и внедряют средства защиты информации, следят за выполнением требований законодательства и обеспечением защищенности информационных систем.

Интервью TAdviser с генеральным директором Игорем Ляпуновым

Февраль 2022 года существенно изменил характер киберугроз для российских предприятий. Кто сегодня находится под прицелом киберпреступников? Какое «оружие» они используют? Каким образом новые реалии изменяют сложившиеся подходы к организации корпоративной информационной безопасности? Об этом в октябре 2022 года TAdviser рассказал Игорь Ляпунов, генеральный директор «РТК-Солар». Подробнее здесь.

«Ростелеком» создал компанию для защиты гостайны «Солар ТЗИ»

23 августа 2022 года стало известно о создании «Ростелекомом» компании для защиты государственной тайны. Речь идет о совместном предприятии разработчика ИБ-решений «Ростелеком Солар» (на 100% принадлежит «Ростелекому») и Центра безопасности информации (ЦБИ). Учрежденная структура получила название «Солар ТЗИ». Подробнее здесь.

Разработка образовательной программы по кибербезопасности совместно с Университетом «Сириус»

Эксперты компании «РТК Солар» и Университета «Сириус» разработали программу образовательных интенсивов по кибербезопасности для студентов технических специальностей, которые только начинают изучать предметную область. Об этом компания «РТК Солар» сообщила 8 августа 2022 года. Подробнее здесь.

Старт программы рекрутмента

«РТК-Солар» 21 июля 2022 года объявил о старте программы рекрутмента #работайсдругом, в рамках которой компания открывает подбор команд разработчиков, пишущих на языках программирования Scala и Java, а также занимающихся QA-тестированием.

«РТК-Солар» — один из представителей российского ИБ-рынка, разработчик целого ряда передовых программных средств обеспечения кибербезопасности, системный интегратор и сервис-провайдер в области защиты от киберугроз. Одним из стратегических векторов долгосрочного развития компании является создание экосистемы собственных технологий информационной безопасности. В рамках реализации этой стратегии компания открывает возможность трудоустройства для команд разработчиков.

Отток ИТ-специалистов, наблюдавшийся в последние месяцы, практически не коснулся нашей компании. Однако перед нами стоят масштабные задачи в части разработки отечественных технологий, поэтому мы расширяем подбор и активно привлекаем талантливых специалистов, — сказала Ирина Самохвалова, директор по управлению персоналом и организационному развитию компании «РТК-Солар». — Уже год у нас действует реферальная программа: сотрудники получают вознаграждение за приведенных в компанию друзей, которые успешно прошли испытательный срок. 15% вакансий закрыто именно таким образом. Отдельное поощрение предусмотрено для тех, кто придет к нам сразу со своими командами.

Последние опросы, проведенные в «РТК-Солар», показали, что 85% сотрудников готовы рекомендовать компанию в качестве работодателя своим друзьям. А 89% работников рекомендуют своего руководителя.

В начале марта «РТК-Солар» объявил об отмене испытательного срока для ИТ- и ИБ-специалистов, которые устраиваются в компанию. С первого дня работы они пользуются всеми плюсами и льготами, в том числе ДМС, премированием, оплачиваемыми на 100% больничными и отпускными днями. Такое решение было принято, чтобы поддержать сотрудников в непростое время и продемонстрировать устойчивость отрасли информационной безопасности. За это время было трудоустроено около 200 ИТ- и ИБ-специалистов.

«РТК-Солар» также занимается обучением разработчиков с последующим трудоустройством. Так, на конец июля 2022 года завершается бесплатный курс для Scala-разработчиков, трое финалистов которого пополнят команду DLP-решения Solar Dozor. Подобные проекты планируются и в будущем.

Интервью TAdviser с руководителем отдела развития бизнеса Екатериной Сюртуковой

Екатерина Сюртукова, руководитель отдела развития бизнеса направления «Solar Интеграция» компании «РТК-Солар» в июле 2022 года в интервью TAdviser рассказала об основных изменениях на рынке информационной безопасности России. Подробнее здесь.

План инвестирования 22 млрд рублей в развитие технологий в отрасли кибербезопасности

«РТК-Солар», системообразующая компания в области кибербезопасности, 8 июня 2022 года объявила о запуске инвестиционной программы. Стратегические инвестиции «РТК-Солар» составят 22 млрд рублей с горизонтом до 2025 года. Средства будут направлены на развитие инновационных технологий в отрасли кибербезопасности – инвестиции в перспективные стартапы, более зрелые компании, а также собственные разработки.

Инвестиционная программа распространяется на все регионы РФ. Объектами стратегических инвестиций станут инновационные технологии кибербезопасности и технологии, которые могут быть успешно применены в данной отрасли.

В рамках первого этапа реализации инвестиционной стратегии «РТК-Солар» заключила меморандум о сотрудничестве с Фондом «Сколково». Цель соглашения – реализация совместных инициатив для опережающего развития отрасли кибербезопасности в России. Для этого «РТК-Солар» и Фонд «Сколково» запускают «Хаб Кибербезопасности», ключевой задачей которого станет поддержка перспективных технологий в сфере защиты от киберугроз.

Перевод клиентов сервиса Unified Threat Management на технологии UserGate

Компания «РТК-Солар» 26 мая 2022 года сообщила о переводе клиентов сервиса защиты от сетевых угроз Unified Threat Management (UTM), ранее подключенных к западному решению, на технологии российской компании UserGate. Экстренное переключение реализовано в течение 1-2 дней. При этом сервис на базе отечественных разработок был доступен заказчикам и ранее как альтернатива решениям иностранных вендоров.

Уровень киберугрозы драматически растет, при этом большая часть опасных для инфраструктуры воздействий, включая загрузку различного вредоносного ПО, реализуется через сетевой трафик. На этом фоне за последние месяцы спрос на периметровые средства защиты, в том числе межсетевые экраны последнего поколения, вырос на 30-50%. В то же время критически важным оказалось наличие в сервисном портфеле именно отечественных решений, — отметил Альберт Маннанов, менеджер по развитию сервисов Solar MSS компании «РТК-Солар».

«РТК-Солар» — опытный сервис-провайдер, обладающий профессиональной экспертизой, и мы рады, что компания использует наше решение для защиты своих клиентов. Также отметим, что в начале марта мы провели все необходимые работы по переносу собственной ИТ-инфраструктуры в центры обработки данных, расположенные на территории России. Это позволит обеспечить стабильную работу решений UserGate, их активацию и обновление, — сообщил Артур Салахутдинов, руководитель направления MSSP UserGate.

Решение UserGate, используемое в рамках сервиса UTM, объединяет в себе межсетевой экран последнего поколения (NGFW) и систему обнаружения вторжений (IPS). Межсетевой экран контролирует и фильтрует проходящий через него трафик, организуя безопасное использование интернета сотрудниками, блокировку нежелательных сервисов, хостов, приложений и защиту внутренней сети от нелегитимного доступа из интернета. А система IPS в режиме реального времени отслеживает атаки злоумышленников, использующих известные уязвимости, и блокирует их.

Также UserGate обладает функцией интернет-фильтрации. В частности, это фильтрация по категориям, морфологический анализ содержимого страниц, безопасный поиск, фильтрация баннеров и скриптов отслеживания, контроль закачек, мониторинг и статистика использования интернета.

Поскольку услуга оказывается по сервисной модели, компании-заказчику не нужно закупать и устанавливать на своей сети дорогое оборудование. На границе корпоративной сети организации устанавливаются только специальные устройства (Customer Premises Equipment, CPE), которые входят в состав сервиса. CPE направляет весь входящий интернет-трафик по защищенному каналу в ЦОДы, где он проходит фильтрацию.

Администрирование решения UserGate, настройка и поддержка каналов связи находится в ведении специалистов «РТК-Солар», что позволяет разгрузить штатные ИБ-службы заказчиков.

Участие в конференции TAdviser HR IT Day

13 апреля 2022 года в рамках HR IT Day 2022 руководитель направления Solar addVisor компании «Ростелеком-Солар» Алексей Соловьев представит участникам передовые методы мониторинга и повышения эффективности труда сотрудников в текущей бизнес-реальности.

В последние пару лет компании вынуждены были жить в условиях новой реальности удаленного или гибридного формата работы сотрудников. При этом, по данным исследования «Ростелеком-Солар», 46% руководителей обеспокоены вопросами эффективности труда сотрудников, работающих удаленно. С учетом современных экономических условий первоочередной задачей для руководителей и HR-специалистов компаний является повышение эффективности труда персонала, выявление и использование резервов такого повышения, которое становится драйвером развития бизнеса.

При этом на рынке существуют технологии, позволяющие автоматизировать анализ эффективности труда персонала и дать руководителям и HR-инструменты для организационного развития компании. На конференции будет представлен один из наиболее передовых подобных программных продуктов – Solar addVisor.

Solar addVisor анализирует цифровой след рабочей активности сотрудников. Система собирает информацию об используемых во время рабочего процесса приложениях и веб-ресурсах, о проведенном в них времени, о встречах в рабочем календаре, о времени начала и окончания рабочего дня, объеме переработок и по другим показателям. Такие объективные данные о работе сотрудников за день, неделю позволяют руководителю принимать управленческие решения в области повышения эффективности труда подчиненных.

После управленческих воздействий руководителя на сотрудников – внутреннее или внешнее обучение, приоритизация задач, повышение мотивации, повышение в должности и т.п. – продукт анализирует изменение эффективности труда сотрудников и показывает динамику изменений. На основе этого руководитель может делать выводы об эффективности принятых ранее решений. Solar addVisor является инструментом, который помогает принимать обоснованные взвешенные решения с опорой на объективные данные.

В некоторых компаниях уже используются схожие системы, однако они зачастую не дают объективной картины эффективности труда персонала. Во-первых, потому, что, как правило, каждая из них предназначена для решения узкого набора задач. Зачастую в таких системах не учитывается взаимодействие сотрудников между подразделениями. Также распространенной практикой является внесение агрегированных данных в систему человеком, который может их изменить, привнести субъективные данные и т.п.

Предоставляемая Solar addVisor объективная информация позволяет решать важные с точки зрения организационного развития компании задачи. Это выявление и устранение барьеров эффективности труда в компании, и диагностика выгорания сотрудников с целью предотвращения оттока ценных кадров, и балансировка нагрузки на персонал, и оптимизация ФОТ, и многие другие управленческие задачи.

В марте 2022 года Solar addVisor уже был высоко отмечен российскими HR-специалистами и руководителями, получив Гран-При премии «Хрустальная пирамида-2022» в номинации «Лучшая система управления работой удаленных команд».

2021

Интервью TAdviser с директором центра компетенций управления доступом Solar inRights Дмитрием Бондарем

В ноябре 2021 года Дмитрий Бондарь, директор Центра компетенций управления доступом Solar inRights компании «Ростелеком-Солар» в интервью TAdviser рассказал о применении систем IDM/IGA. Подробнее здесь.

Открытие филиала Solar JSOC в Ростове-на-Дону

Компания «Ростелеком-Солар» открыла в Ростове-на-Дону филиал коммерческого центра противодействия кибератакам Solar JSOC. Региональное подразделение обеспечит киберзащиту организаций Южного и Северо-Кавказского федерального округов (ЮФО и СКФО), а также ряда крупных федеральных заказчиков. Наноябрь 2021 года работу филиала обеспечивают свыше 40 аналитиков и инженеров, отвечающих за мониторинг киберинцидентов и эксплуатацию средств защиты информации. Об этом Ростелеком сообщил 18 ноября 2021 года. Подробнее здесь.

Открытие в Самаре центра экспертизы по сервисам кибербезопасности Solar MSS

«Ростелеком-Солар», дочерняя компания «Ростелекома», 7 сентября 2021 года сообщила об открытии в Самаре центра экспертизы по сервисам кибербезопасности Solar MSS и объявила о трансформации данной экосистемы. Центр будет обеспечивать киберзащиту региональных госорганизаций, а также крупного и среднего бизнеса в различных субъектах федерации. Подробнее здесь.

Право инициировать блокировку фишинговых сайтов в Рунете

Компания «Ростелеком-Солар» сможет инициировать блокировку фишинговых сайтов в нескольких доменных зонах. Такое право компания получила, заключив соглашения о защите интернет-пространства от нарушений с тремя российскими организациями, администрирующими домены, сообщили 15 июня 2021 года представители «Ростелеком-Солар».

В частности, «Ростелеком-Солар» будет сотрудничать с АНО «Координационный центр национального домена сети Интернет» (администрирует доменные зоны .RU и .РФ), Фондом содействия развитию технологий и инфраструктуры интернета FAITID (администрирует домены .MOSCOW и .МОСКВА и 71 домен второго уровня) и АНО «РосНИИРОС»(администрирует домен верхнего уровня .SU).

Практика взаимодействия администраторов доменных зон с организациями, компетентными в определении нарушений в сети, существует в России уже более 10 лет. Обнаружив сайты, которые используются злоумышленниками для незаконной деятельности, такие организации сообщают об этом непосредственно регистраторам доменных имен и инициируют блокировку подозрительного ресурса. На 15 июня партнерами координационного центра являются 11 частных ИБ-компаний и государственных организаций, а FAITID и «РосНИИРОС» — 5.

«Из года в год мы видим кратный рост фишинговых атак, а в преддверии праздников и массовых отпусков или на фоне громких новостей количество поддельных интернет-сайтов с актуальной тематикой увеличивается на 30-40%. Статусы компетентной организации для ключевых российских доменных зон позволят нам занять более активную позицию в борьбе с фишингом и расширить наши возможности по реагированию на киберинциденты», — отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков.

Данные о фишинговых ресурсах и ресурсах, распространяющих вредоносное программное обеспечение «Ростелеком-Солар» собирает из разных источников: статистика центра противодействия кибератакам Solar JSOC, анализ поисковой выдачи в интернете, а также мониторинг даркнета. Актуальная информация оперативно передается регистраторам доменных имен и администраторам доменных зон, что позволяет своевременно заблокировать доступ к сайту, который используется в противоправных целях. В среднем блокировка незаконного ресурса в вышеуказанных доменных зонах происходит в течение 1-2 дней.

Присоединение к ИБ-сообществу FIRST

Компания «Ростелеком-Солар» стала полноправным членом крупнейшего международного ИБ-сообщества FIRST (Forum of Incident Response and Security Teams), которое объединяет специалистов по реагированию на кибератаки из более чем 570 организаций по всему миру. Об этом в компании «Ростелеком-Солар» сообщили 8 июня 2021 года.

Статус участника FIRST дает «Ростелеком-Солар» доступ к международной базе актуальных инцидентов. Ожидается, что это позволит усилить проактивную защиту заказчиков от международных киберугроз, а также оперативно обмениваться с участниками FIRST собственными данными об атаках.

Для получения аккредитации FIRST «Ростелеком-Солар» должен был доказать уровень экспертизы и профессионализма своего CERT. Среди критериев: оперативность реагирования, качество сбора информации об инцидентах, безопасность хранения и обработки заявок от клиентов, а также поручительство других членов FIRST.

В рамках FIRST «Ростелеком-Солар» представлен командой RTSCERT, которая состоит из экспертов центра Solar JSOC CERT.

«Участие в FIRST является важной составляющей для эффективного расследования киберпреступлений. В базе сообщества содержится информация о типах вирусного ПО, актуальных уязвимостях, выявленных ботнетах, а также данные, определяющие региональную привязку атаки, уровень ее опасности и потенциальные последствия. Все это позволяет членам сообщества обогащать собственные базы знаний и формировать превентивные рекомендации для компаний. Кроме того, у нас появляется возможность эффективнее анализировать развитие векторов атак в иностранных юрисдикциях, закрывая таким образом потребности компаний, имеющих международную сеть филиалов, а также прогнозировать, какие из атак, наблюдаемых зарубежными коллегами, могут стать актуальными для российского рынка», — отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков.

Помимо обмена технической информацией, FIRST дает возможность напрямую коммуницировать с командами CERT из других стран. Согласно политике организации, ее члены должны оказывать друг другу содействие при расследовании инцидентов, что расширяет возможность получения информации из разных зон ответственности. Кроме взаимодействия по оперативным вопросам, участники сообщества организуют рабочие группы (на июнь их более 10, включая направления Big Data, TI, оценка уязвимостей и др.). Участие в них позволяет не только обмениваться опытом, но и совместно вырабатывать актуальные подходы к решению задач в сфере ИБ.

2020

Включение в рейтинг TAdviser «Крупнейшие поставщики ИБ-решений в России»

Компания Ростелеком-Солар включена в рейтинг «Крупнейшие поставщики ИБ-решений в России» по выручке за 2020 год», подготовленный TAdviser в октябре 2021 года. Подробнее здесь.

«Ростелеком-Солар» вошел в состав трех комитетов по стандартизации при Росстандарте

16 июня 2020 года компания «Ростелеком-Солар», национальный провайдер сервисов и технологий кибербезопасности, сообщила о вхождении в состав трех комитетов по стандартизации при Росстандарте. В рамках этой работы эксперты компании будут участвовать в обсуждении вопросов стандартизации по направлениям кибер-физических систем (TK194), криптографии (TK26) и защиты информации (TK362).

При Росстандарте на июнь 2020 года работает более 200 технических комитетов по стандартизации. Они объединяют представителей государства и бизнес-сообщества, а также независимых экспертов в целях разработки и обсуждения национальных и международных стандартов для различных отраслей.

Специалисты «Ростелеком-Солар» обладают экспертизой в области кибербезопасности различных информационных систем, в том числе систем автоматизированного управления технологическим процессом (АСУ ТП), а также IoT/IIoT – систем (промышленного) интернета вещей, получающих всё большее распространение. «Ростелеком-Солар» может внести значительный вклад в создание нормативно-технической базы, жизненно необходимой для ускорения цифровой трансформации экономики, а также продвижения российских подходов на международном уровне. Для нас участие в технических комитетах Росстандарта особенно важно, так как в дальнейшем основным потребителем создаваемых стандартов станет именно бизнес, и мы рады возможности использовать свою экспертизу и опыт для обеспечения практической защищенности российских компаний, – сообщил Сергей Парьев, заместитель руководителя отдела Кибербезопасности АСУ ТП по исследованиям и разработке, «Ростелеком-Солар».

На 16 июня 2020 года в рамках ТК26, который занимается вопросами применения криптографических методов защиты информации, эксперты «Ростелеком-Солар» принимают участие в обсуждении проекта стандарта для узкополосной радиосвязи (LoRaWAN). Этот протокол предназначен для обмена данными с территориально распределенными устройствами с низким энергопотреблением. Работа ТК194 (кибер-физические системы) заключается в разработке стандартов применения в таких сферах, как IoT/IIoT, цифровые двойники, «умное» производство. Вошедшие в состав комитета эксперты компании участвуют в формировании стандартов по тематике (промышленного) интернета вещей (IoT/IIoT). В составе рабочей группы при ТК362 (защита информации), «Ростелеком-Солар» вовлечен в обсуждение стандарта защищенной версии протокола DLMS/COSEM для обмена данными с приборами учета (электроэнергии, воды, газа и др.).

По итогам работы экспертных групп сформированные ГОСТы будут направлены на согласование в Росстандарт, после чего станут национальными стандартами. «Ростелеком-Солар» продолжит работу в составе технических комитетов и обсуждении других стандартов.

Запуск направления системной-интеграции

13 февраля 2020 года «Ростелеком» сообщил о запуске бизнес-направления системной интеграции на базе дочерней компании «Ростелеком-Солар». Стимулом к его созданию стали вызовы в области информационной безопасности. В первую очередь, необходимость обеспечить высокий уровень защиты от киберугроз для тех органов государственной власти и коммерческих организаций, которые проходят этап цифровой трансформации и предпочитают модель поставки on-premise c возможностью в дальнейшем передать эксплуатацию систем защиты на аутсорсинг.

Успех на рынке системной интеграции во многом зависит от зрелости процессов проектного управления, существующих в компании.

Экспертиза и практический опыт, которые компания приобрела за годы работы на рынке сервисов кибербезопасности, и которые позволили ей занять лидирующее положение в этом сегменте, теперь будут направлены на то, чтобы обеспечить реальную защищенность и тех компаний, которые выбирают модель поставки on-premise.

Мы знаем, как обеспечить практическую безопасность, имеем опыт работы с самыми разными технологическими решениями и самое главное – хорошо понимаем потребность заказчиков в простой и удобной эксплуатации систем защиты после сдачи проекта. А серьезный ресурсный пул `Ростелеком-Солар`, объединяющий штат экспертов в сфере системной интеграции и сети точек присутствия в регионах, гарантирует заказчикам тщательную проработку и качественное сопровождение проектов на всей территории России, говорит Игорь Ляпунов, вице-президент ПАО `Ростелеком` по информационной безопасности, генеральный директор `Ростелеком-Солар`

Таким образом, теперь структура бизнеса компании «Ростелеком-Солар» включает три направления. Ключевым является предоставление технологий защиты в сервисной модели, реализующее миссию «Ростелекома» в сфере кибербезопасности. Оно представлено сервисами первого и лидирующего коммерческого центра мониторинга и реагирования на кибератаки Solar JSOC, а также управляемыми сервисами кибербезопасности Solar MSS. Направление системной интеграции обеспечивает потребность в информационной безопасности тех компаний, которые предпочитают выстраивать защиту от киберугроз внутри организации. Однако и они могут впоследствии отдать эксплуатацию средств защиты внешнему подрядчику. Наконец, разработка собственных продуктов позволяет «Ростелеком-Солар» предложить заказчикам решения, максимально отвечающие их потребностям.

Направление системной интеграции логичным образом встраивается в структуру деятельности компании. Теперь заказчик может получить ИБ-проект полного цикла `из единого окна` независимо от выбранного формата доставки технологий, целей и масштаба проекта, сообщил Дмитрий Горбатов, директор по интеграции компании «Ростелеком-Солар»

2019: Сотрудничество с Самарским университетом им. академика Королева

30 января 2019 года Ростелеком-Solar, национальный провайдер технологий и сервисов защиты информационных активов, мониторинга и управления информационной безопасностью, сообщил, что заключили соглашение о стратегическом партнерстве с Самарским национальным исследовательским университетом имени академика С.П. Королева. Подробнее здесь.

2018

На сентябрь 2018 года «Ростелеком-Солар» выступает национальным провайдером сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью.

Партнерские соглашения на международном рынке

Разработчик решений в области информационной безопасности «Ростелеком-Solar» заключил ряд партнерских соглашений о продвижении решения Solar inCode на международном рынке. Одно соглашение подписано с компанией Sense of Security Pty Ltd., предоставляющей спектр услуг в области информационной безопасности, которая работает на территории Австралии. Другое соглашение заключено между «Ростелеком-Solar» и Parasoft. В его рамках Parasoft будет предлагать решение для анализа защищенности исходного кода Solar inCode своим заказчикам в Сингапуре, Малайзии и Вьетнаме, постепенно выходя и на другие рынки Юго-Восточной Азии.

Смена логотипа и названия

После покупки Solar Security в мае 2018 году оператором «Ростелеком» у компании сменилось название на «Ростелеком-Solar» и обновился логотип.

Обновленный логотип наглядно отображает тот факт, что компания теперь работает на рынке как дочерняя компания «Ростелекома».

Покупка компании «Ростелекомом»

В мае 2018 года «Ростелеком» объявил о приобретении 100% компании Solar Security. Сумма сделки составляет 1,5 млрд рублей, рассказал президент «Ростелекома» Михаил Осеевский. Завершить юридическое оформление сделки планируется в первом полугодии 2018 года.

Solar Security будет работать на рынке как дочерняя компания «Ростелекома» под брендом оператора. На начальном этапе Solar Security продолжит работать под своим брендом, однако во в дальнейшем ее название должно измениться. Один из рассматриваемых вариантов — «РТК Кибербезопасность», сообщили в компании.

Гендиректор Solar Security Игорь Ляпунов продолжит руководить компанией. Также он займет должность вице-президента «Ростелекома».

Команда «Ростелекома», занимавшаяся коммерческими услугами кибербезопасности, в составе «нескольких десятков» человек перейдет в состав Solar Security, рассказал Осеевский TAdviser. Всего на момент сделки общая численность команд обеих компаний, которые будут работать в ИБ-дочке «Ростелекома», составляет порядка 350 человек.

На базе Solar Security «Ростелеком» создаст центр компетенции коммерческих услуг кибербезопасности и планирует стать «национальным провайдером кибербезопасности», заявляют в компании.

В Solar Security перейдут технологические наработки «Ростелекома» в области услуг и решений ИБ.

В составе «Ростелекома» Solar Security в своем развитии будет делать акцент на решениях для мониторинга, управления безопасности, развития центров реагирования на кибератаки. Вторым акцентом станет предоставление ИБ по сервисной модели: начиная с инфраструктуры и заканчивая системами управления. Третье — фокус на создание отечественных технологий ИБ в рамках курса на импортозамещение, рассказали в Solar Security.

Важно, что мы будем развивать наши сервисы в области кибербезопасности не только на уровне федеральных госорганов, но и на региональном уровне, наша сеть работы с клиентами будет расширена до всей географии присутствия «Ростелекома», — отметил Михаил Осеевский. — Это новый шаг вперед, так как до этого и «Ростелеком», и Solar Security главным образом работали с крупными заказчиками.

Solar Security на момент продажи «Ростелекому» оценивает свою долю на рынке сервисов SOC (Security Operations Center) порядка 86%. В компании прогнозируют рост рынка сервисов безопасности кратно в год и планируют удерживать эту долю рынка.

Прогнозов по выручке новой дочерней компании участники сделки на момент ее анонсирования не стали уточнять. По словам Осеевского, за последний год выручка от направления кибербезопасности оператора выросла примерно в три раза. Он добавил, что их план предполагает рост такой выручки в разы в среднесрочной перспективе.

Своим основным конкурентным преимуществом после вхождения в состав «Ростелекома» в Solar Security видят синергию с компетенциями и клиентским охватом «Ростелекома». Предлагать свои услуги компания во многом планирует через его каналы, рассказал Игорь Ляпунов.

Планы покупки компании «Ростелекомом»

В феврале 2018 года стало известно о планах «Ростелеком» приобрести Solar Security. Компании достигли предварительной договоренности, после согласования деталей рассмотрение сделки будет вынесено на совет директоров «Ростелекома», сообщает РБК со ссылкой на свои источники.

По словам одного из них, сделку по продаже Solar Security «Ростелекому» могут закрыть во втором квартале 2018 года. Компании воздержались от комментариев по запросам издания.

Сумма сделки может составить около $20-25 млн (1,14-1,43 млрд рублей по курсу на 7 февраля 2018 года), считает управляющий партнер венчурного фонда LETA Capital Александр Чачава, которому также известно о переговорах между Solar Security и «Ростелекомом».

Аналитик Raiffeisenbank Сергей Либин оценивает Solar Security примерно в 1 млрд рублей. Покупка такой компании укладывается в логику «Ростелекома», который в последние годы старается уходить от предоставления традиционных услуг связи, доходы от которых падают, считает эксперт.

Источник РБК, знакомый с деталями готовящейся сделки, утверждает, что у «Ростелеком» имеет амбициозные планы по выходу на рынок информационной безопасности, и напоминает, что госоператор также через поглощение вышел на рынок центров обработки данных путем покупки компании SafeData.

Solar Security была одной из первых, кто вывел на коммерческий рынок услугу мониторинга информационной безопасности (SOC), и за счет грамотной стратегии успела застолбить за собой позицию лидера в этом нарастающем сегменте, — говорит эксперт по информационной безопасности Cisco Алексей Лукацкий.

У «Ростелекома» есть собственный центр мониторинга и реагирования на киберугрозы, который решает в основном внутренние задачи компании, однако у оператора были планы по представлению таких услуг сторонним клиентам, рассказал изданию топ-менеджер одной из ИT-компаний.^[2]

2017

Интервью TAdviser генерального директора Игоря Ляпунова

В ноябре 2017 года Игорь Ляпунов, генеральный директор Solar Security, в интервью TAdviser рассказал о концепции People Centric Security, продуктах построенных на базе этой идеологии и технологических перспективах рынка ИБ.

Positive Technologies и Solar Security создадут центры ГосСОПКА «под ключ»

Компании Solar Security и Positive Technologies запустили в ноябре 2017 года совместное бизнес-направление по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) на базе комплекса технологий и экспертизы Positive Technologies, а также сервисов Solar Security по мониторингу и реагированию на инциденты.

2016: Выручка 361 млн рублей

По данным базы «Контур.Фокус», в 2016 году выручка Solar Security составила порядка 361 млн рублей.

2015

На 2015 г. линейка продуктов и сервисов компании Solar Security включает:

• JSOC (Jet Security Operations Center) — набор сервисов по мониторингу и управлению ИБ, реагированию на киберугрозы, контролю защищенности инфраструктуры и бизнес-приложений;
• Solar Dozor (ранее «Дозор-Джет») — DLP-систему, предназначенную для контроля коммуникаций сотрудников и оптимизированную под задачи выявления корпоративного мошенничества;
• Solar inView (ранее Jet inView Security, JiVS) — аналитическую систему, являющуюся основой ситуационных центров по ИБ и систем поддержки принятия решений;
• Solar inRights (ранее Jet inView Identity Manager, Jet inView IdM) — централизованную систему управления учетными записями и правами доступа в гетерогенных информационных системах.

2014

В 2014 г. совокупный объем продаж «Дозор-Джет», JiVS, Jet inView IdM и услуг JSOC в рамках бизнеса компании «Инфосистемы Джет» составил 768 млн рублей. Компания Solar Security в 2015 г. планирует увеличить показатель реализации своих продуктов и сервисов до 1,1 млрд в ценах конечного потребителя. В том числе за счет роста числа продаж, наращивания партнерской сети и, соответственно, клиентской базы, а также расширения присутствия на рынках энергетики, государственных организаций и ритейла.

Во-первых, разделение бизнесов позволит нам cконцентрировать свои усилия именно на продуктах и расширении продуктового портфеля, — прокомментировал событие Ляпунов Игорь генеральный директор компании Solar Security. — А во-вторых, нашей ключевой особенностью является новая для российского рынка ИБ бизнес-схема. Мы трансформировали классическую модель производителя ПО в модель сервис-провайдера (MSSP), когда клиенту предоставляется не отдельное ПО или оборудование, а целостная бизнес-функция. Такая модель позволит нам обеспечить целевое применение технологий безопасности с их точной подстройкой под задачи каждого клиента. Благодаря этому значительно увеличивается отдача от технологий безопасности.

Примечания

Александр Колесов, руководитель отдела анализа защищённости из компании «Ростелеком-Солар», рассказал Anti-Malware.ru о том, как чаще всего удаётся взломать компанию, зачем нужен Red Teaming на самом деле и всегда ли заказчик играет честно.

Настоящий Red Teaming — что входит в это понятие? Какой должна быть эта услуга?

А. К.: Red Teaming — это процесс тренировки службы безопасности и оценки её эффективности. Он направлен на выявление «узких мест» в защите организации: на уровне технологий, процессов мониторинга и реагирования, а также готовности ИБ-специалистов противостоять целенаправленным атакам. При этом в случае с классическим Red Teaming команду защиты не предупреждают о проведении кибероперации, что позволяет ей отточить свои навыки в условиях, максимально близких к реальным.

Часто возникает вопрос: чем это отличается от продвинутого пентеста, когда работают, скажем так, «хакеры в белых шляпах», которые ищут слабые места, а не только запускают сканер с набором сигнатур?

А. К.: Отличий несколько. Основное из них — то, что при Red Teaming работа идёт по заранее продуманному сценарию действий противника, учитывающему карту рисков, то есть вероятность тех или иных атак именно для данной компании. Например, для банка это может быть имитация действий группировки Carbanak или Cobalt. В отличие от пентеста, в этих работах преследуется цель не получить какой-нибудь доступ в инфраструктуре, а пройти путь, который мог бы проделать злоумышленник, просмотреть, как на эти действия реагирует команда защиты, и потренировать её. По итогу заказчик получает не только отчёт, но также информацию о том, что стоит изменить в техническом оснащении или в настройках СЗИ, а также в процессах SOC — исходя из того, какие моменты атаки команда защиты пропустила или не до конца отработала. В случае же с advanced penetration testing мы просто пытаемся «проломиться» и сделать это максимально скрытыми методами — здесь нет цели проанализировать, как и почему SOC не смог нас обнаружить и что необходимо исправить.

Значит, отличия в первую очередь находятся на уровне итоговых рекомендаций и итогового анализа. Я правильно понял?

А. К.: Да. В Red Teaming мы стараемся показать именно реакции SOC, оценить эффективность и потренировать команду защиты.

Почему на рынке царит такая неразбериха уже на уровне определения данной услуги? С чем это связано?

А. К.: Услуга в России появилась не так давно — первое публичное упоминание о правильном подходе к Red Teaming было в 2015 году, когда подобный проект реализовала группа QIWI. Сегодня действительно есть некоторая неразбериха в этом вопросе: каждый пытается привнести в Red Teaming какую-то свою методику. Часто это делается по мотивам каких-нибудь популярных «верхнеуровневых» статей, не дающих точной карты построения сервиса и возможных его нюансов. Заказчики пока не слишком осведомлены в этом вопросе — многие до сих пор путают пентест с оценкой уязвимости (vulnerability assessment), что уж говорить про Red Teaming. А исполнители далеко не всегда погружаются в так называемые университетские документы, описывающие сам подход и подробности реализации. Такой труд есть, например, у института SANS, и мы стремимся придерживаться подобных фундаментальных работ.

Какие заблуждения относительно Red Teaming и advanced penetration testing встречаются чаще всего?

А. К.: Многие не понимают, что «продвинутый» (advanced) пентест — это немного другое, он скорее направлен на то, чтобы показать, как незаметно злоумышленник может зайти во внутренний периметр и получить доступ к какой-либо информации. Red Teaming в свою очередь направлен на тренировку Blue Team. Заказчики иногда приходят за одной из услуг, не представляя, что каждая из них может им дать и как дальше работать с полученной информацией. То есть воспроизведя пентест более скрытыми техниками и получив отчёт о том, как атакующие проникли внутрь, мало кто понимает, как дальше тренировать свою команду, как пересмотреть политики СЗИ и алгоритмы сбора логов, как перестроить процессы реагирования. И Red Teaming как раз преследует своей целью показать, в каком направлении двигаться Blue Team, чтобы эффективно противостоять хакерам.

Если же говорить про коллег по цеху, то они чаще всего видят в Red Teaming историю про «белых хакеров»: пытаются пробиться и обойти СЗИ так, чтобы их не заметили, но не выдают резюме о том, как в ходе этих операций повела себя команда защиты и что именно ей стоит «подтянуть», над чем поработать.

Возможен и эффективен ли на практике внутренний Red Teaming?

А. К.: У крупного бизнеса есть свои внутренние «красные команды». Например, их нанимают многие банки. Но чаще всего у многих нет представления о правильном подходе к её созданию и о том, что они должны получить в итоге, какую пользу для бизнеса.

За рубежом некоторые компании нанимают одного-двух специалистов Red Team, которые выступают в роли рефери между Blue Team и подрядчиком, оказывающим услуги Red Team Assessment. Они могут давать какие-то подсказки «красной» и «синей» команде. Это — так называемая White Сard. Люди, отвечающие за операцию на стороне заказчика, — в курсе того, что и как должно делаться, они помогают провести Red Teaming более качественно и, соответственно, потом предоставить руководству правильный результат.

Есть второй подход — нанять пять-десять парней, которые просто пентестят, и назвать это Red Team. У меня есть большое количество знакомых, которые работают в Red Team в разных компаниях. Чаще всего их работа заключается в том, чтобы просмотреть, например, новый релиз приложения, а как таковой цели по тренировке и улучшению эффективности Blue Team не преследуется.

Вероятно, здесь есть элемент, скажем так, корпоративного сговора. Что-то вроде «ребята, вы особо не усердствуйте, не заваливайте всю нашу работу». Или, наоборот, умолчать и сделать так, как твои коллеги тебя просят, неформально.

А. К.: Да, может быть и такое. Плюс ко всему внутренняя Red Team может знать, как настроены СЗИ и как их обойти. Например, нужно провести пентест инфраструктуры, а нам известно, что на этом сервере до сих пор не установили патчи, и мы пройдём именно там, но о своём знании никому не скажем. Понятно, что такая работа не покажет, как мог бы действовать реальный злоумышленник.

Недавно была открытая полемика по поводу коронавируса: можно ли использовать эту тему в социальных атаках на сотрудников. Есть ли какие-то технические или, может быть, морально-этические ограничения? Что можно делать, а что — нельзя?

А. К.: Всё зависит от сценария, который выберет клиент. Мы считаем, что должна быть полная свобода действий. В реальности, конечно, это не всегда так и перед каждым Red Teaming у нас бывают многочасовые «конф-коллы» с заказчиком. По работам на внешнем или внутреннем периметре ограничения бывают очень редко — можно делать всё что хочешь.

Достаточно часто запрещается использовать «физику», то есть нельзя, например, приехать якобы на собеседование и, находясь в офисе, воткнуть «имплант» в сетевую розетку и получить таким образом доступ в сеть («имплантом» может выступать мини-компьютер наподобие Raspberry Pi). Нередки ограничения на социальную инженерию. Её если и дают провести, то требуют согласовать сценарий, список получателей, приложение, которое будет в письме и через которое мы получим доступ.

Работа Red Teaming происходит на реальной «боевой» инфраструктуре, и в какой-то момент что-то может «упасть». Как это оговаривается? Например, сюда проникать нельзя, этого делать не нужно.

А. К.: На стороне заказчика всегда есть сотрудник, контролирующий процесс. Он связывается с нами и может следить за Blue Team, но не должен общаться с ней, не должен подсказывать, куда мы идём. Создаётся чат со специалистами с нашей стороны и с таким человеком со стороны заказчика. И по всем потенциально узким местам мы стараемся вести достаточно подробную коммуникацию, объяснять, какие мы планируем действия и к чему они могут привести. Если есть сервис, который потенциально может «упасть», мы сообщаем об этом и согласуем даты проверки и риски.

Red Team и Blue Team — это всегда соревнование либо даже война на выживание? Или возможен сценарий совместной работы без назначения выигравшего / проигравшего?

А. К.: Во-первых, не стоит считать это соревнованием. Потому что выигрывают в любом случае все. Допустим, нападающие пробили защиту и прошли внутрь. Правильная Red Team расскажет, как она это сделала и как получить из этого результат. Если же Blue Team так хорошо отбивалась, что «враг» не прошёл, то всё равно это для неё — хорошая возможность отшлифовать навыки и лучше настроить свой инструментарий.

Помимо варианта классической тайной кибероперации, есть вариант киберучений, когда мы работаем совместно, в открытую. У нас было достаточное количество клиентов, которые только-только сформировали у себя команду SOC и пришли к нам именно с таким запросом — потренировать Blue Team. В этом случае мы создаём общий чат с защитниками: показываем им свои действия, а они анализируют, видны ли им эти действия и как можно противостоять. То есть они нас не блокируют, не мешают куда-либо проходить. И за счёт того, что мы всё равно делаем шаги по преодолению периметра, по получению каких-то данных внутри, они могут в реальном времени настраивать свои средства защиты, средства срабатывания правил корреляции. В английском языке такая объединённая команда обозначается термином Purple Team.

Какие требования предъявляются к заказчику, чтобы он мог полноценно воспользоваться услугой Red Teaming? Что у него должно быть уже создано внутри, какой уровень зрелости у заказчика должен быть?

А. К.: Мы не можем предъявлять каких-то определённых требований. Но Red Teaming — это по определению услуга для крупного бизнеса с высоким уровнем зрелости ИБ. У такого клиента уже есть или формируется SOC (свой или аутсорсинговый), и он хочет проверить его эффективность в полубоевых условиях, повысить квалификацию команды защитников и оценить потенциальное воздействие злоумышленника на систему.

На кого ориентирован Red Teaming, кто его заказчик в России?

А. К.: Большинство заказчиков — из финансового сектора, основная часть запросов поступает от банков. Но есть среди наших клиентов компании из сферы ритейла, промышленного направления, телекома и даже разработки ПО. Red Teaming также может быть полезен, например, для организаций ТЭК, транспортной отрасли и других сфер экономики.

Количество текущих и потенциальных заказчиков по России может исчисляться десятками или счёт может идти на сотни-тысячи? Какова динамика спроса на эти услуги?

А. К.: Сейчас это — десятки, ближе к сотням. При этом заметен рост качественных запросов. Если раньше заказчики хотели только узнать, что это вообще такое, то теперь готовы за это платить, потому что собрать свою или нанять внешнюю команду SOC стоит немалых денег, и у многих возникает разумное желание проверить её эффективность.

Клиенты приходят не просто за Red Teaming — они интересуются подробностями того, что мы будем делать: какие выводы будут даны, каким образом мы сможем проанализировать действия защитников, как будем обучать Blue Team и надо ли ей подготовиться и т. д. То есть заказчики начали правильно оценивать эту услугу.

Эта услуга, скорее всего, не из дешёвых, далеко не все могут её себе позволить.

А. К.: Да, услуга дороже, чем пентест, но не в десятки раз. По сравнению с комплексом пентестов — внешнее и внутреннее тестирование, социотехническое исследование и поиск уязвимостей Wi-Fi — Red Teaming будет дороже в несколько раз.

Варьируется и стоимость форматов Red Teaming. Киберучения будут дешевле киберопераций, и длятся они меньше: от двух недель до полутора-двух месяцев. В этом случае мы работаем совместно и нам не нужно тратить время на сокрытие своих действий, переписывание готовых утилит, использование большого количества цепочек туннелей и т. п. А вот секретные кибероперации — это более длительное упражнение. В среднем — по тем кейсам, что мы уже реализовали — оно занимает три-шесть месяцев.

Когда «Ростелеком-Солар» обзавёлся своей Red Team?

А. К.: В момент покупки нашей компании «Ростелекомом» в 2018-м. Надо понимать, что все люди у нас на тот момент уже имели опыт работы, это не была команда новичков.

То есть анонсирование выхода этой услуги в публичную плоскость не значит, что она у вас совсем новая и всё создано с нуля прямо сейчас?

А. К.: Нет. Мы уже несколько лет предоставляем такие услуги, но не массово, а по запросам клиентов. Накопили опыт — опыт проектов, опыт разработки своих инструментов. Плюс есть возможность пообщаться с аналитиками из Solar JSOC, сравнить их подходы с нашими, выработать некие методики обхода инструментов «синей команды».

Чем отличается Red Teaming «Ростелеком-Солар» от услуг компаний-конкурентов?

А. К.: Во-первых, наша услуга направлена на людей и процессы, а не на то, чтобы просто «поломать» клиента. Как я уже говорил, сейчас рынок «подогрет», многие заказчики хотят фактически проверить эффективность своих процессов и инструментов, но под видом Red Teaming им часто продают классический пентест.

Во-вторых, у нас есть определённый опыт за счёт совместной работы с Solar JSOC. Мы получаем от коллег информацию о новых методах работы киберпреступников, векторах и инструментах реальных атак. Плюс JSOC видит это всё очень оперативно и в отраслевом разрезе.

Так что мы проверяем не то, как банк или ритейлер будет отбиваться от какой-то «сферической атаки в вакууме». Мы проверяем, сможет ли он вовремя заметить и отразить именно такую атаку, которую с высокой вероятностью на него рано или поздно проведут.

И у нас за счёт взаимодействия с Solar JSOC этот «скоуп» информации о существующих техниках, пожалуй, — самый полный и актуальный.

Ну, и третье — ещё за то время, когда услуга не тиражировалась массово, мы успели получить ряд благодарственных писем и прочих публичных «референсов» по теме Red Teaming. Наверное, это — тоже показатель.

Интересный аспект — использование аналитики Solar JSOC для вашей работы. Немного подробнее хотелось бы его рассмотреть. Насколько это важно, например, для обхода потенциальных средств защиты? Может, это ещё как-то помогает в работе Red Team?

А. К.: Помощи на самом деле довольно много. JSOC обслуживает «больших» клиентов и видит реальные атаки, в том числе APT. Мы можем посмотреть, как реально действовал злоумышленник, и воспроизвести это у заказчика. Также мы можем посмотреть настройки СЗИ и правила, по которым JSOC ловит атаки — соответственно, понимаем, как эти правила обходить. Кроме того, в JSOC попадает некоторое количество хакерских утилит, которые мы с большим интересом изучаем. Можно сказать, что мы действуем как Purple Team: что-то разработали — показываем ребятам из JSOC, в свою очередь они при обнаружении атаки рассказывают нам, как она проходила, как её увидели и т. д.

Какие варианты предоставления услуги Red Teaming у вас есть?

А. К.: У нас довольно гибкий подход — мы можем предложить и разовые работы, и ежегодные. Также возможно сделать некую подписку: провести базовый Red Teaming, а потом, например, выполнять его по мере появления новых уязвимостей или новых хакерских сценариев APT. Но пока превалирующее количество запросов — разовые.

На какой результат может рассчитывать заказчик Red Teaming? Приведите пример из реальной практики эффективного использования этой услуги.

А. К.: Результат будет разным, в зависимости от запросов клиента. Но основное — это тренировка эффективности и улучшение навыков, техник и процедур команды защиты. Например, у нас был случай, когда на внешнем периметре нам «обломали все копья» и не давали ничего сделать: мы несколько раз проходили во внутренний периметр, начинали развиваться там, но через какое-то время «получали по рукам». Решили проникнуть с помощью социальной инженерии: разослали несколько писем — некоторые сотрудники их открыли и предоставили нам доступ. Дальше дело было за малым. Blue Team на этот раз ничего не заметила и не среагировала — сказались недостатки в анализе активности на конечных точках. А это — уже повод пересмотреть подходы к мониторингу и защите рабочих мест пользователей.

Или, например, был кейс, когда мы нашли в одной из систем уязвимость нулевого дня и смогли «залить» туда шелл. Через два дня Blue Team его удалила, но сама уязвимость осталась — соответственно, мы прописали троян в основную страницу и продолжили действовать внутри уже более осторожно. В данном случае было ясно, что команда защиты не видит полной картины того, как мы проходили. И с этим тоже можно и нужно работать: выявлять причины и устранять.

Было ли такое, что заказчик попадался очень крепкий, и шли дни, недели, а нащупать какой-то «ключик» не удавалось?

А. К.: Бывало, что клиент вопреки договоренности всё же сообщал своей команде SOC о том, что их будут «редтимить». В итоге — Blue Team в полной боевой готовности 24/7 следила за происходящим. Там было в определённой степени сложно. Мы нашли несколько путей, как пройти внутрь, «залились», но нас выбили оттуда. В одном случае забанили через три дня, во втором — попозже. Внутрь мы всё равно попали — через «социалку». Но в целом — да, случаи бывают разные, всё очень зависит от клиента.

Бывали ли неудачные примеры, когда заказчик оказался не готов к Red Teaming?

А. К.: Никто не сможет сказать, кроме самого клиента, получил ли он то, что ожидал, или нет. У нас был случай, когда заказчик пообещал «противодействие, слежку и изгнание», а в конце сказал: «Ребят, а как вы получили домен админа? Мы видели ваше продвижение по «внешке», но не видели, что вы попали внутрь — мы были не готовы к такому».

Red Teaming — это история про цели. Заказчик их задаёт, но не всегда они могут быть достигнуты. Тут и время играет роль, и способности команды Blue Team. Вот, например, добыли мы критическую информацию (пароль, домен админа), получили доступ к некоторым критическим серверам, но не реализовали какую-нибудь условную «цель № 3». И клиент недоволен: «Как так? Почему не все?». Но такого, чтобы говорили «вы делаете не то, мы ожидали другого», — не было.

Думаю, работа на стороне «красной команды» очень интересна. Во-первых — творческая, во-вторых — всегда разные проекты. С такой работой точно не соскучишься.

А. К.: Если клиент не связывает ограничениями по рукам и ногам, то да, работа очень интересна.

Очень интересной получилась и наша беседа. Большое спасибо за интервью. Успехов!