Серия Innovators@Symantec
Mark Gentile – выдающийся инженер и один из главных архитекторов Symantec Enterprise Division, создающий архитектуру для поддержки различных решений Symantec в области безопасности. Марк был основателем и генеральным директором Odyssey Software, компании по управлению мобильными устройствами и обеспечению безопасности, приобретенной Symantec в 2012 году.
Марк, как изменилась ситуация, когда Odyssey Software была приобретена компанией Symantec?
В душе я инженер, поэтому, придя в Symantec, я хотел вернуться к тому, что мне нравится делать. Мне нравится разрабатывать продукты и внедрять инновации, и у меня была возможность делать то, что я люблю, с группой действительно умных людей. Меня впечатлило, насколько увлеченными и умными были все люди в инженерном отделе Symantec. Мне нравилось находиться рядом с людьми, с которыми я работал, и выполнять миссию по созданию продуктов, технологий и решений, которые помогают защитить наших клиентов от злоумышленников.
Как Symantec сосредоточилась на инновациях после приобретения компанией Broadcom?
Ранее мы были структурированы таким образом, что не могли реализовать свое истинное видение и потенциал. До приобретения компанией Broadcom у нас были разные руководители, отвечавшие за безопасность конечных точек, информационную безопасность и сетевую безопасность. Не было единого приоритета или согласования между ними, поэтому то, что было важно для одной группы, могло быть не так важно для другой.
Теперь, когда все подчиняется одному генеральному директору подразделения, а также одному руководителю по проектированию и одному руководителю отдела управления продуктами, мы реализуем и воплощаем в жизнь наше видение. Например, у нас всегда было видение единого агента с настраиваемыми функциями, которые поддерживают наш широкий ассортимент продукции. После приобретения компанией Broadcom мы начали реализовывать это видение, продолжая расширять и увеличивать функциональность в каждом последующем выпуске агента. Этого никогда бы не произошло без изменения руководящей организации, чтобы мы могли согласовать и реализовать это видение.
Каковы примеры инноваций, в разработке которых вы принимали участие?
Я бы назвал адаптивную защиту, адаптивную изоляцию, IPS и защиту от угроз для Active Directory (TDAD).
Адаптивная защита появилась потому, что мы отследили значительный рост атак, использующих методы атаки «с земли» (LOTL). Чтобы объяснить это немного подробнее, операторы атак исследуют целевые системы на наличие существующих инструментов и программного обеспечения («земли»), таких как функции операционной системы или установленные приложения. Затем они используют найденное для проведения атаки, часто не оставляя никаких следов – отсюда и «жизнь за счет земли». Обычно это начинается с фишингового письма с прикрепленным документом, содержащим активное содержимое (макросы), или с прикрепленного файла ярлыка приложения. В примере с документом злоумышленники используют активное содержимое документа для выполнения и объединения различных инструментов и функций ОС в хорошо организованную LOTL-атаку. Многие из этих инструментов и функций ОС, которые используют злоумышленники, обычно не используются в средах клиентов, но служат открытыми «дверями и окнами» для злоумышленников. Нам необходимо было предоставить нашим клиентам возможность автоматически блокировать «подходящие» двери и окна, которые они не используют для защиты своей организации. Adaptive Protection обеспечивает это.
Наша технология IPS обеспечивает защиту сети непосредственно в стеке конечных точек. IPS проверяет входящее и исходящее сетевое поведение и содержимое и выявляет вредоносную активность. Эта защита часто происходит еще до того, как файл попадает на машину, или если файл уже находится на машине и пытается связаться с командно-контрольным сервером.
Защита от угроз для Active Directory (TDAD) также стала переломным событием. Каждая целевая атака предполагает боковое перемещение в целевой среде. В типичной атаке, как только атакующий попадает в сеть, он начинает использовать Active Directory (AD) для изучения среды в поисках целевых машин, пользователей и ресурсов. По своей сути Active Directory является открытой базой данных, в которой хранится огромное количество информации о среде. Любой действительный пользователь на машине, подключенной к домену, может запросить у AD информацию о среде. Злоумышленники используют эту возможность, когда они заходят на сайт, чтобы найти наиболее интересные цели, а затем пытаются осуществить боковое перемещение к этим целям, чтобы продолжить атаку. TDAD от Symantec использует инновационные методы для обмана, идентификации и изоляции злоумышленников, когда они пытаются использовать AD в злонамеренных целях.
Я могу рассказать об этом подробнее, если вы захотите сделать последующий блог.
Спасибо, Марк, мы как раз можем это сделать! Есть ли что-то еще, что Symantec сделала для содействия инновациям?
Есть еще две вещи, которые мы сделали, и о которых стоит помнить.
Во-первых, инновация должна решать реальную проблему клиента. А чтобы понять эту проблему, очень важно установить отношения с клиентом. Во многих случаях, прежде чем предоставить клиентам, которые только начинают внедрять инновацию, код для тестирования, мы встречаемся с ними. Мы объясняем, что мы думаем и почему мы так думаем. Например, мы встречались с клиентами и подробно описывали функции адаптивной защиты, прежде чем создать ее. Нам нужно было услышать, что является наиболее важным и что не дает им спать по ночам, то есть их самые большие проблемы, связанные с безопасностью. Таким образом, прислушиваясь к клиентам и взаимодействуя с ними, мы можем предложить лучшее решение.
Еще одна важная вещь – это то, как вы выполняете и внедряете инновации. Чтобы ускорить темпы внедрения инноваций, нам необходимо проводить эксперименты в реальном мире, а для того, чтобы проводить эксперименты в реальных условиях, не мешая клиентам, нам необходимо иметь возможность выпускать код бесшумно, в строго контролируемой безопасной форме. Мы делаем это с помощью «флагов функций». С помощью «флагов функций» мы можем быстро и итерационно включать функцию для избранного набора участников-клиентов. Это сокращает время, необходимое нам для цикла и получения отзывов о ее эффективности, надежности, частоте отказов и т.д. Важно измерять и понимать эти показатели. Поскольку мы делаем это бесшумно, мы будем бесшумно блокировать, не блокируя на самом деле, но мы будем возвращать телеметрию, чтобы помочь нам анализировать и повторять, пока не добьемся нужного результата.
