© ComNews
29.11.2018

На российский рынок ИБ-услуг по автоматическому тестированию на проникновение (пентестинг) выходит израильская компания Cronus Cyber Technologies. Для этого Cronus привлек инвестиции в $1 млн от венчурного инвестора Prytek. По оценкам Cronus, использование нового сервиса позволит компаниям сэкономить на кибербезопасности до 20%.

Компания Cronus представляет решения для моделирования атак на ИТ-систему и автоматического пентестинга (Breach and Аttacks Simulation - BAS).

По оценке Cyber Research Data bank, мировой рынок BAS-решений может достигнуть $1 млрд к 2020 г.

Представитель Cronus сообщил ComNews, что на российском рынке компания проводит пилоты с несколькими банками, а также интеграторами и ИБ-компаниями, среди которых CSI Group, VolgaBlob, RRC. "Мы планируем подписать несколько десятков клиентов в течение года. Стоимость сервиса Cronus всегда определяется индивидуально и зависит от размера сети - количества IP-адресов в сети, - срока использования, а также уровней сканирования - ИТ-инфраструктуры компании и/или веб-сервисов компании", - сказал представитель Cronus. 

Используя Cronus, компании могут проводить тестирование на проникновение в режиме 24/7, приоритезировать выявленные уязвимости с точки зрения влияния на бизнес-процессы. "По нашим оценкам и оценкам внешних экспертов, российский рынок тестирований на проникновение оценивается от 500 млн до 1 млрд руб. Рост рынка составляет в среднем 25%", - прокомментировал представитель Prytek.

Говоря о причинах инвестиций в развитие Cronus на российском рынке, представитель Prytek сообщил корреспонденту ComNews, что у крупной компании всегда есть выбор - создать решение внутри себя самостоятельно или приобрести уже готовое. "Поскольку стартапы сконцентрированы на максимально быстрой разработке продукта, то мы считаем, что крупной компании выгоднее купить уже готовое решение. Именно поэтому мы выводим наши порфельные компании на российский рынок. Так, например, наша портфельная компания Tipranks, которая позволяет отслеживать прогнозы финансовых аналитиков, уже привлекла несколько российских клиентов из сферы инвестиций. У Prytek около 30 портфельных компаний в сферах FinTech, AI, кибербезопасности, HR-tech, из Израиля, США, России. Большинство этих компаний имеют среди своих клиентов ведущие мировые банки, ИТ-компании, то есть их решения успешно приняты на международном рынке, в том числе и решения Cronus", - сказал представитель Prytek .

Пресс-служба Prytek сообщает, что в 2018 г. общий объем затрат на решения по информационной безопасности в мире вырастет на 12,4% и достигнет $114 млрд. "В России компании также увеличивают инвестиции в ИБ-решения. И все же до 95% руководителей по информационной безопасности уверены в том, что инфраструктура их компаний уязвима для атак. По данным НАФИ, 22% всех организаций в России в 2017 г. понесли реальные финансовые потери, их размер оценивается в 116 млрд руб.", - отметили в пресс-службе Prytek.

Представитель Prytek говорит, что BAS-решения - новинка для российского рынка. "Например, несколько компаний, с которыми мы общались, сравнивали BAS-решения со сканерами уязвимостей, хотя одно из ключевых отличий Cronus как раз в том, что данное решение не только выявит уязвимости, но и приоритезирует их с точки зрения критичности для бизнес-процессов компании. Например, если есть уязвимость, которая может потенциально вести к доступу к данным на одном из центральных серверов, то Cronus отметит, что необходимо "закрыть" именно эту уязвимость в первую очередь. Мы видим заинтересованность со стороны российских банков, с кем и проводим в настоящее время пилоты. Мы также ведем диалог с несколькими промышленными компаниями, которые после вступившего в действие закона о защите критической инфраструкртуры анализируют все возможности для регулярного тестирования защищенности своих ИТ-систем", - говорит он. 

В Prytek отмечают, что тест на проникновение считается одним их самых эффективных инструментов для определения защищенности ИТ-системы. "Однако ввиду высокой стоимости этой услуги и нехватки специалистов, проводить пентесты постоянно практически невозможно. По оценкам российских экспертов, в России число заказов на услуги по пентесту составляет всего около 2000 в год и будет расти на 25%", - сообщает представитель Prytek и приводит данные, что в среднем один пентестер может за день выявить уязвимости на 300 компьютерах, запланировать и провести шесть вариантов атак на ИТ-систему, в то время как Cronus за девять часов может проверить 3 млн мультивекторных сценариев атак, включая глобальные сценарии, и определить возможность эксплуатации найденных уязвимостей - при этом без всякого влияния на общую работу ИТ-инфраструктуры.

"Cronus позволяет не только проводить пентест в режиме 24/7, но и сэкономить от 20% до 70% от стоимости услуг на тестирование. Кроме того, анализируя сценарии атак, компании могут сэкономить до 20% всего бюджета на ИБ-решения, более грамотно инвестируя в необходимый софт, который поможет защитить их ИТ-системы с учетом специфики бизнеса", - сообщает представитель Cronus.

Представитель Prytek говорит о том, что сегодня на рынке информационной безопасности компания видит постепенный переход к модели "проактивной защиты", когда организация тратит ресурсы не только на реагирование на уже случавшиеся киберинциденты, но и их предотвращение и минимизацию. "BAS-решения также направлены на то, чтобы широкий круг компаний мог тестировать свои ИТ-системы на защищенность регулярно", - добавляет он.

Основатель и генеральный директор Cronus Cyber Technologies Дорон Сиван говорит о том, что ландшафт рисков меняется каждый день и компаниям необходим инструмент для ежедневного выявления сценариев атак и уязвимостей. "Израильские банки тратят в среднем от $0,5 млн до $1,5 млн в год на пентест. Cronus помогает сэкономить до 70% этого бюджета и проводить тесты на проникновение каждый день", - приводит он пример. 

Генеральный директор GFS и управляющий партнер Prytek Андрей Яшунский добавляет: "Это абсолютно новый класс решений для определения сценариев кибератак на компанию. Не только руководители по информационной безопасности, но и топ-менеджмент будут сразу видеть, какие элементы ИТ-системы, отвечающие за наиболее важные бизнес-процессы, подпадают под сценарий атаки".

"Сегодня руководство компаний, как правило, выделяет деньги на новые ИБ-решения после оценки ущерба, который понесла организация из-за прошлых инцидентов. Сервисы моделирования атак на ИТ-системы позволяют сразу увидеть самые незащищенные элементы ИТ-инфраструктуры, не дожидаясь инцидентов, и в этом большая ценность Cronus", - говорит генеральный директор "Сайбертэк Лаб" Алексей Орехов. "Сайбертэк Лаб" занимается продажами Cronus в России.

Директор по развитию бизнеса "Крок Облачные сервисы" Максим Березин прогнозирует, что спрос на сервисы для тестирования на проникновение будет увеличиваться вместе с ростом рынка ИБ. "С учетом растущего тренда по количеству кибератак на ИТ-инфраструктуру даже самые консервативные компании переходят к практике пентестов, занимая проактивную позицию и хеджируя риски. Как облачный провайдер мы также регулярно проходим тесты на проникновение с привлечением внешних специалистов. Такие тесты необходимы для оценки уровня безопасности данных облачной платформы и своевременного обновления средств информационной безопасности", - говорит он.

Директор центра компетенций по ИБ компании "Техносерв" Сергей Терехов рассказал, что рынок BAS в России только формируется, поэтому стоит говорить скорее о культуре "правильного тестирования" от узкоспециализированных компаний. "Сегодня это периодическая процедура с продуманными сценариями для выявления реальной защищенности инфраструктуры заказчиков или тестирования деятельности SOC - не в рамках обязательных compliance-требований, например в части PCI DSS", - говорит Сергей Терехов.

По его мнению, при сравнении автоматизированной системы с классической работой специалиста по пентестингу ключевым плюсом специалиста будет возможность общения с заказчиком. "Это помогает более точно определить критичные уязвимости бизнес-процессов и систем, что не всегда возможно в автоматическом режиме. Также работа эксперта будет полезнее и удобнее при подготовке финального отчета по результатам тестирования, включая специальные выдержки для руководства компании. Данный класс решений не вытеснит полностью пентесты в ручном режиме, но позволит обогатить функционал существующих сканеров безопасности и вывести процесс управления уязвимостями на новый уровень зрелости", - комментирует Сергей Терехов.

Что касается дальнейшего развития, то потенциал у таких решений определенно может быть, считает он и объясняет, что это связано как с растущей потребностью рынка ИБ в квалифицированных кадрах, так и со всплесками активности в направлении создания SOC и ГосСОПКА. "Возможно, в долгосрочной перспективе некоторые компании найдут в продуктах класса BAS альтернативу собственной Red-Team-команде. С учетом особенностей российского ИБ-рынка и тренда на замещение импорта в подобных сервисах будут наиболее заинтересованы представители SMB, которые предпочитают небольшие инвестиции в информационную безопасность", - предполагает Сергей Терехов.