Attack Killer призван обеспечить эшелонированную защиту от различных видов атак. Помимо инструмента Cezurity, защищающего от целевых атак рабочие места, продукт объединяет средства Appercut для анализа кода, Wallarm для защиты веб-сайтов и Qrator для предотвращения атак DDoS (первые два продукта принадлежат самой InfoWatch, два других — ее парт-нерам). Решение работает в автоматическом режиме, без вмешательства человека. В Infowatch столь уверены в своем продукте, что даже готовы нести страховую ответственность (пока это только намерения).
Как отметил на пресс-конференции Всеволод Иванов, исполнительный директор ГК Infowatch, понятие таргетированных атак шире того значения, которое принято аналитиками Gartner. Так, например, оно не включает DDoS-атаки, зачастую являющиеся маскировкой для других атак. Как предупреждает аналитическое агентство Neustar, ограниченные DDoS-атаки бывают более опасными, чем массированные, поскольку могут служить прикрытием для установки зловредного кода или кражи данных. Соответственно, при выборе продуктов для комплектации нового решения в Infowatch исходили из расширенного понимания целевых атак.
Перевод многих видов деятельности в электронный формат делает информационную безопасность критической для разных видов бизнеса. «Физическая безопасность становится не так важна, как информационная», — полагает Всеволод Иванов. Однако имеющиеся на рынке решения нередко обеспечивают лишь частичную защиту, да и функционируют лишь в режиме мониторинга. По сути, речь идет об исследовании безопасности, а не о ее обеспечении. Перевод средств безопасности в пассивный режим происходит из-за множества ложных срабатываний, трудной настройки специализированных средств и т. п. В результате реакция на инциденты часто запаздывает, а само событие только фиксируется, поэтому пользователю остается лишь подсчитывать нанесенный ущерб.
В Infowatch поставили перед собой непростую задачу: сделать такой «коробочный» продукт, который обеспечивал бы, как антивирус, активную защиту сразу после установки, а использовать его могли бы и неспециалисты. При этом входящие в состав решения инструменты должны обмениваться информацией между собой («отчеты одного служили бы настройками для другого») и обладать способностью к самообучению. Для упрощения задачи недостающие компоненты не стали разрабатывать самостоятельно, а выбрали наиболее подходящие для поставленной задачи готовые технологии, причем от российских разработчиков — Wallarm и Qrator. В результате в составе Infowatch Attack Killer объединены Targeted Attack Detector (TAD), Custom Code Scanner (CCS), WEB Application Firewall (WAF) и AntiDDoS. Первые два предназначены для защиты от внутренних угроз, вторые — от внешних.
Attack Killer реализует единый интерфейс для всех продуктов. Он предоставляет наглядные отчеты о зафиксированных инцидентах: попытках проникновения, выявленных дырах, аномальной активности и т. д. Как утверждается, чтобы в них разобраться, специальных знаний не требуется. Администратору системы безопасности не придется посреди ночи срочно предпринимать какие-то меры для реагирования на сообщение об атаке, которое в итоге может быть вызвано ложным срабатыванием, — достаточно будет ежедневно просматривать «утренний отчет». Таким образом, для использования Attack Killer множества технических специалистов не потребуется. В текущей экономической ситуации этот аргумент для многих компаний оказывается решающим.
Несмотря на то что продукт только появился, он уже полгода используется в тестовом режиме у нескольких заказчиков. В частности, в банке «Югра» потребность в подобном решении возникла в связи с разработкой нового интернет-банка для розничных клиентов. Поскольку на этом предприятии уже применялся Appercut для анализа кода, идея использовать одно решение вместо нескольких разрозненных была воспринята весьма положительно. Как отмечает Кирилл Мартыненко, руководитель отдела информационной безопасности, «мы были готовы к сложному и длительному проекту, однако этого не потребовалось». Дольше всего длилось развертывание TAD — целых два дня! При этом на 85% рабочих станций TAD был установлен в первый день. В течение первых суток удалось обнаружить уязвимость на сайте, причем средства, предоставленные AK-15, как сокращенно именуется продукт, позволили ликвидировать ее в течение нескольких часов.