Экосистемы ИБ-решений в России: типы и уровни зрелости
Вячеслав Половинко, 25/04/24
Термин "экосистема" активно используется в профессиональном ИБ-сообществе: все чаще звучат призывы двигаться к построению комплексных и полнофункциональных экосистем и решений в области ИБ, а также к их совместимости с иными классами решений. Между тем сама суть термина не определена и понимается многими участниками дискуссий интуитивно.
Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
Потребность в таком агрегирующем термине, как "экосистема" ИБ-решений, очевидна. Логичным будет определить экосистему ИБ-решений как набор программных, программно-аппаратных продуктов (как правило, но не обязательно, мультивендорных) и организационных мер, составляющих единый комплекс (архитектуру) в составе СЗИ и иных классов решений (АСУ ТП, ИТ, физической безопасности и др.), функционирующих в целях достижения общей цели – повышения уровня защищенности защищаемого объекта (-ов), характеризующихся количеством включенных в экосистему продуктов, их типом, а также уровнем зрелости их функциональной совместимости, интеграции, производительности и надежности.
Термин "экосистема" понадобился, чтобы каким-то образом зафиксировать тенденцию, демонстрирующую экономическое, партнерское и технологическое взаимодействие относительно разнородных вендоров на активно развивающемся рынке ИТ, ИБ, АСУ ТП. Предполагается, что данный термин может иметь временный характер, скорее служить "признаком времени", и, возможно, будет не так актуален для развитых зарубежных рынков. Иные рынки, в особенности западные, могут характеризоваться тем, что на них присутствуют вендоры гораздо больших размеров, сформированные за счет длительных периодов поглощений и диверсификации своих продуктов, которые предлагают масштабные комплексные решения под одним брендом. Для российского рынка такое положение дел актуально в гораздо меньшей степени, именно поэтому обсуждаемый термин и разные аспекты его применения (референсные архитектуры, модели, заявления о совместимости, интеграционные мультивендорные решения и др.) присутствуют и активно эксплуатируются производителями в ходе обсуждения своих и смежных продуктов.
Крупные производители СЗИ на российском рынке (например, Positive, Kaspersky) по аналогии с зарубежными коллегами предлагают свои экосистемы в виде моновендорных решений для рынка, но даже они рассматривают и реализуют партнерские решения с другими вендорами СЗИ в попытке построения более емких экосистем ИБ – это связано с высокой динамикой и потенциалом роста рынка ИБ в целом. Построение и формирование экосистемы СЗИ-решений – крайне важный тренд, который позволяет преодолевать возникший технологический разрыв в сегментах ИБ и предлагать комплексные решения.
Рассмотрим экосистемные решения именно в контексте рынка ИБ, во всех случаях будет присутствовать то или иное СЗИ, а дополнительный акцент в примерах экосистем будет сделан в том числе на практику применения однонаправленных шлюзов ("диодов", InfoDiode) в рамках построения экосистемных решений.
Выделим несколько направлений группировки экосистемных решений.
По количеству
- Моновендорные. На них более подробно останавливаться не будем. Они характерны только для доминирующих вендоров ИБ на рынке, которых в настоящее время немного.
- Два вендора. Достаточно частый случай для российского рынка. Кроме того, соответствует общей позиции вендоров – стараться практически полностью закрывать какой-то класс решений с привлечением минимального количества партнеров. Такие решения имеют под собой чисто экономическую основу, позволяют продвигаться вперед максимально быстро с минимальными трудозатратами. Двухвендорные решения имеют и свои минусы, так как со временем все равно тяготеют к классу мультивендорных решений, что требует управления рисками совместимости уже на этапе сотрудничества двух вендоров.
- Мультивендорные. Полнофункциональные решения такого типа сейчас на российском рынке встречаются крайне редко, в основном касаются интеграционных аспектов. Примером такого решения может служить совместное внедрение ИБ-, ИТи АСУ-ТП-решений, одно из которых в силу своего объединяющего значения (например, SIEM) предполагает совместимость всех продуктов с этой системой. Таким образом, вендоры заявляют поддержку интеграции с данной системой своих продуктов (в случае с SIEM адаптируют под нее события безопасности своих систем).
По типу решений
- ИБ – ИБ. Экосистема реализуется, как правило, двумя или более вендорами – производителями СЗИ. Примером может служить применение IDS-решений совместно с однонаправленными шлюзами, интеграция между МСЭ и комплексными решениями по защите (центрами управления, антивирусами, DLP-системами по протоколам ICAP и др). Несмотря на часто встречающиеся конкурентные области, такие экосистемы далеко не редкость на российском рынке.
- ИБ – АСУ ТП (MES, ERP). Два или более вендора СЗИ и средств автоматизации технологических процессов, планирования и учета готовят экосистему для защиты определенных классов систем, сетевых сегментов, определенных типов пользователей, субъектов или объектов. Такие решения, как правило, имеют и отраслевую специфику, то есть учитывают особенность функционирования объекта в той или иной отрасли экономики (ТЭК, транспорт, генерация, добыча, металлургия, ВПК и др). Примером таких экосистем является совместимость конкретных SCADA-, OPC-, MES-, ERP-, Historian-систем с промышленными МСЭ-, IDS-системами, решениями по передаче данных указанных систем через однонаправленные шлюзы в менее доверенные сетевые сегменты.
- ИБ – ИТ. Два или более вендора СЗИ и ИТ-продуктов реализуют решения по взаимной совместимости в целях поддержки безопасного функционирования ИТ-решений и повышения уровня защищенности ИТ-инфраструктуры в целом. Примерами такой экосистемы являются совместные решения по виртуализации с дополнительными наложенными СЗИ, решения для банковского сектора по интеграции специализированных систем с однонаправленными шлюзами, решения по интеграции СКДПУ с элементами ИТ-инфраструктуры корпоративной сети, решения DCAP c конкретными версиями поддерживаемых операционных систем.
По классу решений
- ПО – ПО. Наиболее часто встречающийся вариант формирования экосистемы в силу большего присутствия на российском рынке именно программных СЗИ. Указанные выше примеры в большинстве своем демонстрируют именно такой подход к расширению экосистемы.
- Аппаратные решения – ПО. Вариант совместной реализации, при которой вендоры ИБ и производители аппаратных решений реализуют и предлагают рынку доверенные ПАК, комплексы по физической изоляции сетевого периметра (однонаправленные шлюзы), кастомные платформы для реализации МСЭ в случае, когда производитель аппаратной платформы предоставляет серверную реализацию, а производитель СЗИ (ПО) использует ее для формирования итогового решения, проводит сертификацию и осуществляет дальнейшее внедрение и поддержку.
Вне указанной выше типизации хотелось бы выделить наличие комплексных экосистемных решений, включающих систему организационных мер и нормативных требований, дополненную конкретными СЗИ. Такие решения, как правило, но далеко не всегда, формируются одним вендором и учитывают требования законов, касающихся защиты ОПО, КИИ, а также приказы профильных регуляторов, соответствие отраслевым стандартам. Речь в таких решениях идет о соответствии некоторым лучшим организационно-техническим практикам, международным и отечественным стандартам. Например, в таком типе экосистем речь может идти о предложении производителям СЗИ средств статического, динамического анализа кода, фаззинг-тестирования. Такие решения позволяют конечному вендору СЗИ полноценно реализовать принципы DevSecOps или Secure-by-Design и далее предлагать заказчикам продукты, которые подкреплены поддержкой стандартов и процессов в области ИБ. Прежде всего такие экосистемные решения встречаются в SOAR, SIEM и др.
Экосистемы ИБ-решений имеют различия имеют не только по типам и классам взаимодействующих в них средств и решений, но и характеризуются разным уровнем зрелости.
- Функциональный. На данном уровне подтверждается функциональная совместимость решений, фиксируется возможность совместного применения и отсутствие функциональных ошибок. Этот уровень экосистемы характерен для случая, когда вендор ИБ только выводит продукт на рынок либо информирует рынок о новых доступных сценариях совместимости. Такое информирование необходимо, чтобы специалисты ИБ при планировании проектов, а также проектировании комплексных ИБ-систем и систем защиты могли учитывать существующие тренды в отрасли и потенциальные возможности применения СЗИ-решений в ближайшем будущем.
- Подтверждение производительности и надежности. На данном уровне подтверждаются показатели надежности и производительности решений в составе экосистемы: фиксируются тайминги и детали поддержки конкретных протоколов, например в случае с однонаправленными шлюзами – это поддержка передачи протоколов семейства IEC в энергетике с учетом заданных ограничений передачи сигналов. Такой уровень развития экосистемы решений характерен для случая, когда фиксируется четкая потребность рынка в необходимости конкретных решений, но заказчики требуют достоверных данных о производительности решений и их соответствии параметрам функционирования конечных объектов, на которых предполагается внедрение СЗИ и смежных решений. Такой уровень экосистемы характеризуется тем, что многие решения проверяются уже совместно с экземплярами ПО заказчиков или непосредственно в рамках пилотных зон и проектов заказчиков.
- Референсные архитектуры и модели. На таком уровне зрелости экосистемы решений ИБ фиксируются уже отработанные, функционально и производительно проверенные архитектуры, которые могут быть референсно предложены заказчику в виде апробированного комплекса решений. Причем могут выделяться архитектуры экосистем для разных отраслей экономики, учитывающие конкретную специфику внедрения и применения.
В ряде случаев на данном этапе уже существует несколько примеров успешных внедрений, на которые производители могут ссылаться для демонстрации отраслевого опыта. - Отраслевой опыт реализации. Такой уровень зрелости экосистемы наступает, когда вендоры и их экосистема имеют массовое применение в той или иной отрасли и их архитектуры вполне могут рассматриваться как эталонные для применения и распространения, в том числе в случае, когда такие экосистемы и их архитектуры с минимальными изменениями могут переноситься на предприятия и организации других отраслей экономики (например, из добычи в металлургию, переработку, из финансового сектора в ритейл и т.п.).
Большая часть производителей сегодня в рамках построения экосистем ИБ прошла первый уровень зрелости и находится на втором или третьем уровне, реализуя уже готовые и проверенные архитектуры на предприятиях и в организациях. Лишь небольшая часть – как правило, это характерно скорее для моновендорных экосистем – перешли к четвертому уровню и полноценно тиражируют свои экосистемные решения в рамках одной из отраслей или даже из отрасли в отрасль.
Но наблюдаемая в отношении экосистемных ИБ-решений тенденция очевидна: стимулируемые рынком и требованиями регуляторов производители СЗИ и иных классов решений движутся к формированию устойчивых и проверенных типовых архитектур и экосистем, которые приходят на замену архитектурам, предлагавшимся рынку зарубежными вендорами в период их активного присутствия. Срок такой полноценной замены, без учета элементной базы, ПЛК, серверного оборудования, займет не менее трех лет.