Алексей Лукацкий, 12.03.19
В начале марта в Сан-Франциско прошла ежегодная и крупнейшая в мире конференция и выставка по кибербезопасности – RSA Conference. Проанализировав предложения нескольких сотен компаний, являющихся участниками этого грандиозного мероприятия, я сделал вывод о том, какие функции должны присутствовать сегодня в решении по безопасности, которое будет востребовано потребителем. Получилось семь свойств, на которые надо обращать внимание, желая получить качественное решение, интегрируемое в существующую инфраструктуру и способное учитывать будущее развитие потребителя.
Итак, классическая семерка выглядит следующим образом:
- Использование множества методов обнаружения. Ярким примером такой тенденции являются антивирусы, которые сначала поддерживали всего одну технологию обнаружения вредоносной активности. Позже к ним добавился эвристический анализ, а потом… а потом тупик. Эти решения уперлись в потолок своей эффективности и по сути умерли как класс. Им на смену пришли продукты класса EDR (Endpoint Detection and Response в терминологии Gartner), которые используют сразу несколько методов обнаружения хакеров. Не сработал один, поймал второй. Не поймал второй, зафиксировал атаку третий. Эффективное средство защиты сегодня оперирует не одним, пусть и хорошим, механизмом детектирования вредоносной активности, а сразу несколькими. А иначе средства защиты превращаются в красивую и дорогостоящую игрушку, которую, чтобы крикнуть "Мама", еще надо ухитриться поместить в определенное и только такое положение.
- Intelligence. Некорректно переводимый на русский язык термин “разведка” означает совсем другое - принятие решений на основании постоянно меняющейся информации. Добавление в начало термина Threat (угроза) или Security (безопасность) означает, что мы опираемся на постоянно обновляемую и обогащемую из разных источников информацию об угрозах, контексте, событиях безопасности и т.п. Такая ситуационная осведомленность позволяет нам не опираться только на данные от одного производителя (пусть и отличного, но не всемогущего), а подключать десятки и сотни разных источников, которые в совокупности позволяют детектировать то, что в одиночку можно и не заметить. Threat Intelligence - это один из драйверов современного рынка безопасности. И хотя он тоже не идеален (несмотря не на что, это все-таки реактивная безопасность), но его использование позволяет существенно снизить время необнаружения угроз и выстроить более оперативное реагирование на них.
- Поддержка современных практик ИТ. Ну тут, вроде, как и не требуются отдельные пояснения. Если заказчик внедрил виртуализацию или планирует уйти в облака, если его руководство требует себе мобильное устройство, а вся компания стремится в BYOD, то средство защиты должно поддерживать все эти инициативы. А иначе зачем нужны такие "вериги" на ногах ИТ, которые только мешают, а не способствуют бизнесу?
- Открытый API. Сегодня нет в мире поставщика, который был бы монополистом в области ИБ (как бы этого не хотелось) и который мог бы закрыть своими продуктами все потребности своих заказчиков. Кто-то специализируется на защите сетей, кто-то на защите облаков, кто-то на защите оконечных устройств. А заказчики используют все эти решения у себя и не хотят иметь дело с зоопарком. Это говорит только о том, что средства защиты должны иметь открытые API для взаимодействия либо между собой напрямую, либо через некоторые средства оркестрации или управления, а также для связи с системами централизованного управления, в том числе и событиями безопасности (SIEM).
- Поддержка динамических политик безопасности. В условиях, когда все подключаются ко всем, отовсюду и в любое время, статические правила постепенно уходят в небытие. Нужна адаптивная или контекстно-ориентированная политика, отвечающая на вопросы - кто, что, куда, откуда, как, когда и зачем. Отталкиваясь от этих вопросов политика безопасности становится динамичной, подстраивающейся под требования бизнеса, а не диктующая ему свои требования.
- Облачная реализация. Нехватка персонала, глобализация, желание оптимизировать затраты… Все это заставляет производителей переносить часть функционала своих средств защиты в облака. Аналитика угроз, принятие решение, управление, корреляция событий, оркестрация, разграничение доступа, идентификация и аутентификация… Вот только несколько примеров того, что может быть отдано в облако. Выигрывают от этого все.
- Машинное обучение. Ну тут вроде и комментировать особо нечего. Отчасти под влиянием хайпа, отчасти под влиянием необходимости, но машинное обучение внедряется сегодня во многие решения по безопасности - в контроль поведения сотрудников, в обнаружения атак, в защиту от мошенничества, в идентификацию пользователей, в обнаружение закладок, в обнаружение уязвимостей… Этот перечень можно продолжать, но современные средства защиты без современных технологий, снижающих влияние человеческого фактора и позволяющих выполнять отдельные операции гораздо быстрее человека, - это данность.
Надо заметить, что данные требования предъявляют и многие российские потребители, которые сталкиваются с теми же проблемами и угрозами, что и их коллеги по всему миру. Единственное, что стоит на пути активного внедрения использующих эти функции продуктов в России, – геополитика и вытекающая из нее регуляторика. ФСТЭК, возможно, под влиянием сверху, по сути запрещает большую часть из описанного функционала в своих требованиях, что заставляет российских производителей либо создавать продукты в двух исполнениях (для западного рынка и российского регулятора), либо вовсе не напрягаться, ставя во главу угла заветный сертификат регулятора, который открывает двери ко многим заказчикам, открывая двери туда же и для хакеров. Но это уже тема отдельной заметки.
