Hlavní navigace

Antivir bez instalace. Technologie Whalebone z Brna hlídá sítě operátorů a nabírá peníze od Maďarů

5. 5. 2021
Doba čtení: 9 minut

Sdílet

 Autor: Whalebone
Operátoři v různých zemích služby Whalebone nasazují, protože mohou hlídat koncová zařízení, aniž by do nich cokoliv instalovali a zpomalovali je.

V Brně se rýsuje další zajímavá společnost zaměřená na kybernetickou bezpečnost. Whalebone získala od maďarského fondu Day One Capital investici 2,5 milionu eur, tedy asi 65 milionů korun. K takzvané series A se připojil také český fond Fazole Ventures miliardáře Pavla Boušky. Ten peníze vkládal už v seed kole, ve kterém figuroval například i bývalý šéf NAKITu Jan Přerovský.

Zejména Maďaři mohou být pro Whalebone dobrým přínosem. Řídící partneři fondu Elek Straub a Gyorgy Simo dříve působili ve vedení operátora Magyar Telekom Group. Telekomunikační sektor je jedním z hlavním segmentů, na který brněnský startup cílí. Mezi zákazníky už má O2, rakouský A1 Telekom nebo japonské NTT.

Startupu Whalebone jsme se krátce po jeho startu v roce 2016 na Lupě věnovali. Firma chrání koncová zařízení připojená do sítě bez toho, aniž by bylo nutné instalovat lokální aplikace. Kontrola bezpečnosti se provádí na síťové úrovni. Whalebone pracuje s DNS údaji, což více rozebíráme v rozhovoru níže. Operátoři a spol. tak mohou zákazníkům nabízet bezpečnostní službu, která je neotravuje a nezpomaluje jim přístroje.

„To má ve výsledku jeden zásadní efekt. Tento typ ochrany si pořídí zhruba desetkrát více lidí, než když musí něco instalovat, registrovat a podobně,“ popisuje firma pro Lupu.

Český startup tímto způsobem chrání několik milionů uživatelů u zhruba dvou stovek zákazníků. V následujících pěti letech se chce dostat k řádově stovkám milionů uživatelů s ročními výnosy sto milionů eur. V brzké době mají být oznámeni další evropští zákazníci z řad operátorů a rozjíždí se celosvětová expanze. Whalebone rovněž uzavřel partnerství s finským F-Secure.

Zakladatelé Whalebone Richard Malovič (CEO) a Robert Šefr (CTO) v rozhovoru pro Lupu popisují některé další detaily jejich společnosti.

Whalebone má první nasazení u větších telekomunikačních hráčů, jako jsou O2 v Česku nebo A1 Telekom v Rakousku. Jaké jsou z těchto nasazení první závěry?

Richard Malovič (RM): Nejdůležitějším zjištěním, respektive spíše potvrzením hypotéz, je to, jak velké procento uživatelů má bezpečnostní incidenty. Pohybuje se to mezi čtyřmi až deseti procenty měsíčně, podle toho, jestli jde o mobil, nebo domácnost. A to vcelku nezávisle na tom, v jaké zemi jste. Vliv má velikost datových tarifů. Pokud je to standardní tarif, kde se uživatel nemusí nějak vědomě přehnaně omezovat, jsme na vyšších číslech. Tato čísla jsou vážně vysoká a konzistentní.

Z technického pohledu jsou tato nasazení dlouhodobým ujištěním, že jsme opravdu služba s maximální spolehlivostí a technickou performance. Podle informací z nejrůznějších výběrových řízení jsme také násobně nejrychlejší v implementaci. Tuto zpětnou vazbu jsme před lety měli pouze od malých ISP a dnes to můžeme sebevědomě říct o největších národních sítích. Navíc dostáváme zpětnou vazbu, že se internet zákazníkům díky nám dokonce zrychlil a ubylo helpdesk incidentů.

Mezi zákazníky máte i NTT. Jakým způsobem děláte obchod a jak se k takto velkým mezinárodním značkám dostáváte?

RM: Největší podíl v pipeline nám dělají doporučení, ať už od stávajících zákazníků, networkingu, nebo agentů, které speciálně za tímto účelem vyhledáváme. Tím, jak jsou naše obchody potenciálně v opravdu velké hodnotě, jsme schopni za kvalitní kontakt dobře zaplatit. Překvapivě velkou část v pipeline nám dělá networkování na nejrůznějších akcích, ať už dříve offline, nebo teď online. Tam vybudujeme první kontakt s někým z dané společnosti a přes něj se dopracujeme až k relevantním lidem.

Richard Malovič, Whalebone
Autor: Whalebone

Richard Malovič, Whalebone

Prodeje softwaru do velkých společností jsou často na dlouhou trať a než dorazí platba, trvá to i řadu kvartálů až let. Jak toto řešíte?

RM: Skutečně, je to zkouška trpělivosti, kdy na plody práce čekáte minimálně měsíce a v hodně situacích i roky. Už dlouho děláme úspěšný mezinárodní high stakes business, ale „sláva“ přichází kvůli cyklům až postupně. To samé platí pro tržby. V kombinaci s tím, že jsme původně vstoupili na neprošlapaný trh, je to vážně výzva.

Co se nám podařilo udržet, i když to mohlo být občas bolestivé, je finanční disciplína. Naše strategie je vždy dopilovat se během osmnácti měsíců k ziskovosti, mít rezervu, a v ten moment se rozhodnout, zda jít pro externí kapitál. V zásadě to tak děláme už potřetí, kdybychom započítali naši účast v inovačním kampusu A1 v Rakousku. Výhodou je, že nám už vykrystalizovaly modely a plus minus víme, co které indikátory, ať už v obchodě, nebo v provozu, udělají. To nám dává nad situací kontrolu. Tohle všechno na druhou stranu znamená i bariéru vstupu pro ostatní a my se rádi díváme na věci z pozitivní strany.

Rozjeli jste spolupráci s finskou kyberbezpečnostní firmou F-Secure. Jaké jsou její detaily?

RM: F-Secure je historicky nejaktivnější ve spolupráci s velkými telekomy, jejich endpoint protection jich má v portfoliu dvě stovky a tyto spolupráce opravdu umí. My jsme do tohoto světa pronikli se síťovou bezpečností, která má jako produkt pro koncového zákazníka jednu výhodu – nemusí se do koncového zařízení instalovat. To má ve výsledku jeden zásadní efekt. Tento typ ochrany si pořídí zhruba desetkrát více lidí, než když musí něco instalovat, registrovat a podobně. Z obchodního hlediska je to pro nás skvělá příležitost rychle adresovat mnohem větší portfolio telekomů. Pro F-Secure je to zase možnost být u další obchodní příležitosti s telekomy, aniž by ji museli bolestivě tunit a verifikovat.

Spolupráce má nejen obchodní, ale i technickou rovinu. Jednak je to integrace produktů na několika úrovních v síti daného telekomu – tedy tak, aby zákazník, pokud má bezpečnostní incident nebo si chce cokoliv nastavit, například nelítal z jednoho rozhraní do jiného. Je to také spolupráce na úrovni threat intelligence, kdy se vzájemně obohacujeme a sjednocujeme tak, aby si třeba endpoint security nevyhodnotila něco jako hrozbu a network security jako bezpečnou záležitost a naopak.

Jak probíhá implementace Whalebonu?

Robert Šefr (RŠ): Na síťové úrovni musí operátor zajistit, že DNS dotazy zákazníků, kteří si službu objednají, budou zaslány na Whalebone resolvery v síti operátora. Následně provážeme přes API naše systémy se self-care portálem operátora a společně provedeme rebranding uživatelského rozhraní.

V případě telekomunikačních operátorů celou akci stíháme do tří měsíců, což je na úrovni spouštění nového produktu velmi rychlá operace a někteří zákazníci bývají tou rychlostí trochu překvapeni. V případě firemních zákazníků nebo menších ISP se doba nasazení měří spíše v hodinách.

Na situace, které by při nasazení nešly vyřešit, jsme zatím nenarazili. Naučili jsme se naší technologií řešit nejrůznější situace a potřeby sítí telekomunikačních operátorů tak, abychom zákazníkům ulehčili práci. Kromě integrace pomáháme zákazníkům řešit i škálovatelnost a vysokou dostupnost tak, abychom je nenutili do našeho vidění světa, ale abychom zapadli do jejich existujících postupů.

Robert Šefr, Whalebone
Autor: Whalebone

Robert Šefr, Whalebone

Jak se zákazníci dívají na to, že posílají data ven?

RŠ: V rámci EU se to řeší standardní zpracovatelskou smlouvou podle GDPR a mimo EU vždy podle příslušné legislativy. V datech nejsou žádné dokumenty, e-maily apod., čistě data o DNS provozu, která jsou zpracovávána výhradně za účelem poskytování a zkvalitňování naší služby bez záměru jejich další monetizace.

Nabízíme navíc možnost nasazení naší Encryption Gateway. To je šifrovací brána, která šifruje osobní data na straně zákazníka, aniž bychom my měli přístup k šifrovacím klíčům. K nám se takto dostanou data již zašifrovaná a nemáme k nim ani teoretický přístup, a přesto poskytujeme všechny naše dostupné služby.

Jak vypadá proces, pomocí kterého data zpracováváte?

RŠ: Nejdříve DNS dotaz zpracuje Whalebone resolver, který vyhodnotí samotnou doménu a nastavení daného zákazníka pro jeho zařízení (každá SIM karta může mít úplně odlišné nastavení) a podle výsledku buď pošle standardní odpověď, nebo zákazníka přesměruje na blokační stránku. Vyhodnocení nepřidává žádné zpoždění, takže zákazník není bezpečnostní technologií obtěžován.

Pokud je dotaz zablokován z důvodu bezpečnosti domény, nabízíme zákazníkovi na blokační stránce možnost pokračovat na cílovou doménu, a upozornění tak ignorovat.

Dále jsou logy případně šifrovány a synchronizovány s cloudovým backendem, odkud jsou zpět poskytovány zákazníkovi formou uživatelského rozhraní, API, reportů a alertů.

Všechny logy jsou dále automaticky zkoumány, pomocí neuronových sítí v nich hledáme souvislosti ukazující na podezřelé chování, hledáme anomálie v čase a některé hrozby identifikujeme podle našich vlastních signatur, abychom je byli schopni obratem blokovat.

Jak pracujete s DNSSEC a DNS-over-HTTPS?

RŠ: DNSSEC podporujeme odjakživa a nehodláme na tom nic měnit. Zákazník si může DNSSEC validaci sám vypnout, ale všichni ji nechávají aktivní i přesto, že to může znamená trochu práce navíc. Obzvlášť v situacích, kdy má online služba s DNSSECem problémy a zákazníci potom kontaktují providera, přestože to není jeho chyba.

DNS-over-HTTPS je velmi zajímavý posun a dělá nám více radosti než vrásek. Souhlasíme s tím, že internetový provoz má být šifrovaný a DNS nemá být výjimka. I přes některé výhrady je již prakticky jisté, že DoH se bude postupně prosazovat a zároveň je důležité, že se všichni velcí hráči shodli na tom, že se DNS nemá centralizovat a tok DNS provozu se zásadně nezmění, pouze se zabezpečí jeho transport.

Ještě je důležité dodat, že resolvery našich zákazníků mají k dispozici dostatek výkonu a nasazení DNS-over-HTTPS nebude představovat žádný zásadní problém. To vše i díky kvalitní implementaci DoH v Knot Resolveru od CZ.NIC.

Kolik používáte threat intelligence zdrojů?

RŠ: Otázky na počet zdrojů a velikost databáze nemáme rádi, protože vzbuzují pocit, že se jedná o podstatný atribut. Jedná se celkově o vyšší miliony domén, které se neustále v reálném čase mění. Za mnohem podstatnější považujeme náš skóring domén, který identifikuje false positives i ve velmi kvalitních zdrojích a naopak dokáže najít zajímavé kusy ve zdrojích s jinak poměrně nízkou kvalitou. Dále se soustředíme na rychlost aktualizací bezpečnostních dat na DNS resolverech. Aktuálních patnáct minut zrychlíme na okamžitou aktualizaci koncem června tohoto roku – protože na každé minutě záleží.

Jak pracujete s false positives a kolik procent jich máte?

RŠ: Zásadní část false positives identifikujeme ještě před tím, než se vůbec dostanou do naší detekce, a to díky možnosti modelování chování domén zpět v čase. To je neuvěřitelně silný nástroj, díky kterému k false positives vůbec nedojde. Určitou šedou zónou, kde může dojít k false positive blokaci, jsou domény s malým objemem provozu a zároveň aktuálně zneužité pro distribuci malwaru nebo hosting phishingu. Počty reportovaných false positive domén od zákazníků jsou v řádu setin promile měsíčně, takže opravdu nízké počty.

Tip Lupa_temata

Whalebone jste rozjížděli na cloudu Azure. Jakou infrastrukturu využíváte nyní?

RŠ: Hlavní evropské datacentrum nyní provozujeme na Exoscale IaaS. Na Azure již běží pouze cloudové resolvery pro několik zákazníků. I ty budeme migrovat pryč, protože jsme nebyli schopni vyřešit na Azure naši potřebu hostovat resolvery na Anycast IP (společná IP adresa pro různé instance DNS resolverů po celém světě). Pro expanzi do světa jsme si vybrali Google Cloud Platform, zejména kvůli podpoře Kubernetes a související automatizací správy této platformy pro microservices.

Autor článku

Reportér serveru Lupa.cz, dříve redaktor deníku E15, týdeníku Euro a webu Connect.cz. O technologiích píše také do zahraničních médií.