Мир корпоративных ИТ
Статті

Інновація має вирішувати реальну проблему клієнта 

05 июня, 2023. 12:06 За матеріалами Oberig IT
Теги: #Symantec, #Broadcom, #Active_Directory
Mark Gentile – видатний інженер та один з головних архітекторів Symantec Enterprise Division, що створює архітектуру для підтримки різних рішень Symantec у сфері безпеки. Марк був засновником та генеральним директором Odyssey Software, компанії з управління мобільними пристроями та забезпечення безпеки, придбаної Symantec у 2012 році.

Марк, як змінилася ситуація, коли Odyssey Software була придбана компанією Symantec? 

У душі я інженер, тому прийшовши в Symantec, я хотів повернутися до того, що мені подобається робити. Мені подобається розробляти продукти та впроваджувати інновації, і я мав можливість робити те, що я люблю, з групою дійсно розумних людей. Мене вразило, наскільки захопленими та розумними були всі люди в інженерному відділі Symantec. Мені подобалося бути поруч із людьми, з якими я працював, і виконувати місію зі створення продуктів, технологій та рішень, які допомагають захистити наших клієнтів від зловмисників. 

Як Symantec зосередилася на інноваціях після придбання компанією Broadcom? 

Раніше ми були структуровані таким чином, що не могли реалізувати своє справжнє бачення та потенціал. До придбання компанією Broadcom у нас були різні керівники, які відповідали за безпеку кінцевих точок, інформаційну безпеку та безпеку мережі. Не було єдиного пріоритету чи узгодження між ними, тому те, що було важливим для однієї групи, могло бути не так важливим для іншої. 

Тепер, коли все підпорядковується одному генеральному директору підрозділу, а також одному керівнику з проектування та одному керівнику відділу управління продуктами, ми реалізуємо та втілюємо у життя наше бачення. Наприклад, у нас завжди було бачення єдиного агента з функціями, що налаштовуються, які підтримують наш широкий асортимент продукції. Після придбання компанією Broadcom ми почали реалізовувати це бачення, продовжуючи розширювати та збільшувати функціональність у кожному наступному випуску агента. Цього ніколи не сталося б без зміни керівної організації, щоб ми могли узгодити і реалізувати це бачення. 

Якими є приклади інновацій, у розробці яких ви брали участь? 

Я б назвав адаптивний захист, адаптивну ізоляцію, IPS та захист від загроз Active Directory (TDAD). 

Адаптивний захист з'явився тому, що ми відстежили значне зростання атак, які використовують методи атаки із землі (LOTL). Щоб пояснити це трохи докладніше, оператори атак досліджують цільові системи на наявність існуючих інструментів та програмного забезпечення ("землі"), таких як функції операційної системи або встановлені програми. Потім вони використовують знайдене для проведення атаки, часто не залишаючи жодних слідів - звідси і життя за рахунок землі. Зазвичай це починається з фішингового листа з прикріпленим документом, що містить активний вміст (макроси), або з прикріпленого файлу ярлика програми. У прикладі з документом зловмисники використовують активний вміст документа для виконання та об'єднання різних інструментів і функцій ОС в добре організовану LOTL-атаку. Багато з цих інструментів і функцій ОС, які використовують зловмисники, зазвичай не використовуються в середовищі клієнтів, але є відкритими "дверями та вікнами" для зловмисників. Нам необхідно було надати нашим клієнтам можливість автоматично блокувати "придатні" двері та вікна, які вони не використовують для захисту своєї організації. Adaptive Protection забезпечує це. 

Наша технологія IPS забезпечує захист мережі безпосередньо у стеку кінцевих точок. IPS перевіряє вхідну та вихідну мережеву поведінку та вміст і виявляє шкідливу активність. Цей захист часто відбувається ще до того, як файл потрапляє на машину або якщо файл вже знаходиться на машині і намагається зв'язатися з командно-контрольним сервером. 

Захист від загроз для Active Directory (TDAD) також став переломною подією. Кожна цільова атака передбачає бічне переміщення в цільовому середовищі. У типовій атаці, щойно атакуючий потрапляє у мережу, він починає використовувати Active Directory (AD) для вивчення середовища у пошуках цільових машин, користувачів і ресурсів. За своєю суттю Active Directory є відкритою базою даних, де зберігається величезна кількість інформації про середовище. Будь-який дійсний користувач на машині, підключеній до домену, може запросити у AD інформацію про середовище. Зловмисники використовують цю можливість, коли вони заходять на сайт, щоб знайти найцікавіші цілі, а потім намагаються здійснити бічне переміщення до цих цілей, щоб продовжити атаку. TDAD від Symantec використовує інноваційні методи для обману, ідентифікації та ізоляції зловмисників, коли вони намагаються використовувати AD у зловмисних цілях. 

Я можу розповісти про це детальніше, якщо ви захочете зробити наступний блог. 

Дякую, Марку, ми якраз можемо це зробити! Чи є ще щось, що Symantec зробила для сприяння інноваціям? 

Є ще дві речі, які ми зробили і про які варто пам'ятати. 

По-перше, інновація має вирішувати реальну проблему клієнта. А щоб зрозуміти цю проблему дуже важливо встановити відносини з клієнтом. У багатьох випадках, перш ніж надати клієнтам, які тільки-но починають впроваджувати інновацію, код для тестування, ми зустрічаємося з ними. Ми пояснюємо, що ми думаємо і чому ми так думаємо. Наприклад, ми зустрічалися з клієнтами та докладно описували функції адаптивного захисту, перш ніж створити його. Нам потрібно було почути, що є найважливішим і що не дає їм спати ночами, тобто їх найбільші проблеми, пов'язані з безпекою. Таким чином, прислухаючись до клієнтів та взаємодіючи з ними, ми можемо запропонувати найкраще рішення. 

Ще одна важлива річ – це те, як ви виконуєте та впроваджуєте інновації. Щоб прискорити темпи впровадження інновацій, нам необхідно проводити експерименти в реальному світі, а для того, щоб проводити експерименти в реальних умовах, не заважаючи клієнтам, нам необхідно мати можливість випускати код безшумно, у контрольованій безпечній формі. Ми робимо це за допомогою "прапорів функцій". За допомогою прапорів функцій ми можемо швидко та ітераційно включати функцію для обраного набору учасників-клієнтів. Це скорочує час, необхідний нам для циклу та отримання відгуків про її ефективність, надійність, частоту відмов і т.д. Важливо вимірювати та розуміти ці показники. Оскільки ми робимо це безшумно, ми безшумно блокуватимемо, не блокуючи насправді, але ми повертатимемо телеметрію, щоб допомогти нам аналізувати і повторювати, поки не досягнемо потрібного результату.  

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Symantec і організації партнерських тренінгів звертайтеся, будь ласка: [email protected], +38 093 801 04 41.

Комментарии:
Новые статьи