Новые технологии или тайные угрозы

Мы долго сетовали на то, что на рынке ИБ нет прорывных технологий. И вот – свершилось! Современные технологии подтвердили свою состоятельность реальными кейсами и заняли достойное место на рынке ИБ. Это значит, что конкуренция на уровне отдельных функций уходит в прошлое. Но масштабы перемен настолько велики, что уместно задуматься, как не стать жертвой «тайных угроз», незаметно приходящих с новыми технологиями. Об этом мы попросили рассказать экспертов BISA.

На трех китах

Илья Борисов, менеджер по ИБ thyssenkrupp Industrial Solutions

То, что мы сейчас наблюдаем в индустрии ИБ, на мой взгляд, похоже на очередной этап классической гонки вооружений: для сохранения паритета одной из сторон уже недостаточно количественного роста средств защиты и технологий. В условиях острого дефицита ресурсов, в том числе сложности привлечения квалифицированных кадров, необходимы новые подходы к обеспечению информационной безопасности. Спрос создал предложение, и на ИБ-рынке мы теперь наблюдаем достаточно интересную ситуацию:

- во-первых, решения все чаще становятся мультивендорными и предлагают пользователю в одном флаконе целый набор интегрированных сервисов, зачастую комбинирующих традиционные и облачные технологии. Словно из конструктора, компании могут собирать ИБ-комбайны, эффективно интегрируемые в действующие у них системы защиты;

- во-вторых, технологии Big Data, Machine Learning и Artificial Intelligence перешли из разряда новинок для гиков в типовой функционал продуктовых линеек, позиционируемый производителями как конкурентное преимущество. Возможность обеспечивать защиту в режиме 24х7 с минимальным участием человека позволяет предприятиям не занимать квалифицированных специалистов рутинной работой, что в долгосрочной перспективе положительно сказывается на финансовых показателях ИТ- и ИБ-служб;

- в-третьих, соперничество на рынке заставляет разработчиков и поставщиков расширять портфели за счет дополнительных услуг, включающих в себя как технологическую, так юридическую и организационную поддержку. Смещение акцента от поставок средств защиты к комплексному решению задач клиентов позволяет производителям строить с ними отношения на долговременной основе, а клиентам – обеспечивать безопасность на основе интеграции ИБ-методов в ключевые бизнес-процессы и их адаптации под модели угроз. Это крайне важно, поскольку ни один продукт не дает всесторонней защиты от широкого спектра угроз, а в условиях не самой лучшей экономической конъюнктуры эффективность решений выходит на первый план.

Отсутствие публичных кейсов, безусловно, замедляет распространение новых технологий и продуктов, но это – естественная ситуация для традиционно довольно закрытой отрасли информационной безопасности. Набивший оскомину принцип Security through obscurity – по-прежнему остается на боевом дежурстве во многих компаниях.

Переход на новые способы ведения бизнеса, диджитализация обуславливают необходимость не только пересмотра практик защиты, но и появления новых компетенций у руководителей ИБ-служб. Глубокое понимание бизнес-задач, финансовых потоков и процессов, обеспечивающих формирование добавленной стоимости продукта, больше не является дополнительным преимуществом на рынке – это обязательное требование к современным менеджерам по информационной безопасности и первый «кит», на котором стоит CISO. Второй «кит» – soft-skills: навыки коммуникаций в команде и за ее пределами, навыки переговоров, проведения презентаций, наконец, эмоциональный интеллект. Третий «кит» – умение эффективно расставлять приоритеты актуальных рисков и угроз, управлять компенсирующими мерами с учетом ограниченности кадровых, финансовых и технологических ресурсов.

Удерживать равновесие на трех китах непросто, но это – часть ремесла, которое по-прежнему очень близко к искусству и востребованность которого в ближайшие годы будет только расти.

Отделяя зерна от плевел

Алексей Плешков, эксперт BISA

Продукты на основе big data, машинное обучение, искусственный интеллект, Интернет вещей... Набор терминов, прочно вошедших в лексикон российских ИБ-специалистов, вызывает трепет у обывателя, но, по сути, ничего нового в ИБ не привносит: маркетинговые термины придумывают лишь для того, чтобы продавать обновленные продукты.

Все так называемые «новинки в области ИБ» – это результат  действия закона больших чисел, пример последовательного применения масштабируемых программно-аппаратных решений к ИБ-задачам. Те же инструменты давно и успешно применяют в смежных областях.

Вчера были в моде облачные технологии и мобильные приложения. Сегодня модны big data и машинное обучение. Выявление террористов, контекстная реклама, привлечение избирателей – это лишь немногие сферы, в которых, как и в ИБ, применяются современные технологии. Завтра им на смену придут чат-боты с искусственным интеллектом и встраиваемые в руку биочипы для идентификации и аутентификации. Послезавтра продавцов магазинов заменят на роботов с искусственным интеллектом...

Основные российские рыночные игроки следуют трендам: то уходят в облака, то устанавливают онлайн-анализаторы трафика, то занимаются неструктурированными данными, динамически меняющимися контекстом и сценариями. А завтра им придется исследовать очередные горизонты, иначе импортные конкуренты займут новые ниши – даже при наличии стратегии импортозамещения.  

Я не верю в маркетинговые посулы, пока сам не «потрогаю» продукт, не проанализирую его характеристики в контексте моих задач. Опыт работы с big data свидетельствует: примеры действительно успешных внедрений можно пересчитать по пальцам. Слишком мало времени прошло с момента появления новомодных продуктов на ИБ-рынке, и нужно тщательно отделять зерна от плевел.

Медицинские инструменты ИБ-технологий

Андрей Коротков, эксперт BISA

На волне общих трендов big data, искусственного интеллекта и адаптивных решений в мире ИБ тоже произошла революция. Появились решения, способные к самостоятельному обучению и выявлению аномалий. И как бы ни подливали скепсиса сторонники старой школы, эти решения работают. Причем лучше, чем человек.

Но новые решения, к сожалению, дают лишь временные результаты: злоумышленники быстро предпримут ответные шаги. Пока ИБ разрабатывает и внедряет что-то в рамках бизнес-процессов, регламентов и пр., злоумышленники просто делают свое дело, ведь у них нет регуляторов, бизнес-показателей и прочих ограничений.

Тиражируемость продукта возможна при его формализации и однотипности решаемых задач. Но задачи в каждом случае – разные, да и среды, в которых они работают, сильно различаются.

Упомянем о закоренелом нежелании ИБ-специалистов раскрывать аспекты своих решений – причины секретности понятны. Есть и еще один момент – поддержание своих имиджа и востребованности. Любой человек хочет слыть знающим и умеющим то, чего не знают и не умеют другие.

Наконец, во многих организациях к ИБ продолжают относится лишь как к престижной «вещи». Зачем она нужна, не очень понятно, да еще и съедает много денег! Незрелость ИБ-культуры компаний порождает массу рисков, а при наличии интеллектуальных игрушек – немалых. Если у вас нет выстроенных процессов, невозможно получать big data, то нечего анализировать и негде искать аномалии. Но игрушку-то хочется! Тогда начинает бурно расти число потенциальных инцидентов, которых нет, и пропущенных атак, которые есть. И это наносит бизнесу гораздо больший урон, чем если бы у него была лишь ИБ-культура.

Новые технологии на рынке ИБ подобны новым медицинским инструментам, позволяющим проводить все более тонкие, виртуозные операции. Однако хирургов, способных эффективно использовать эти инструменты, очень мало.

За технологиями – настоящее

Петр Павлов, эксперт BISA

Думаю, за системами, использующими технологии Big Data, Machine Learning, UBA и пр., – не только будущее, но и настоящее. Появляются способы обхода систем защиты, основанные на нейросетях, чат-боты научились вводить людей в заблуждение. Атаки, растянутые во времени, использующие легитимный функционал приложений, множественные ложные атаки могут привести к ошибочным заключениям ИБ-специалистов и к бизнес-потерям. Значит, защита не должна отставать.

Понятно, ИБ как навесная функция для приложений, оборудования и бизнеса  неэффективна – она должна быть частью бизнес-процессов. Например, система видеонаблюдения позволяет контролировать, кто входит в здание или помещение, но для этого требуется постоянная работа оператора. Но можно добавить искусственное зрение, и постоянное присутствие оператора уже не понадобится. Система сама его оповестит, если войдет неопознанный человек.

Злоумышленники умеют обходить системы защиты, проникать в промышленные контроллеры и пр. Однако использование данных промышленного Интернета вещей позволит отслеживать состояние технологического процесса. Тогда для искажения его картины злоумышленнику придется одновременно изменять данные всех датчиков, что значительно усложнит его задачу. Та же система построит профили процессов для разных сценариев и продуктов, поможет оптимизировать потребление ресурсов и т.п.

Выходит, одна и та же система контролирует технологические параметры и служит для обнаружения кибератак.  Примерно то же относится к людям. Каждый человек имеет свой профиль поведения, выполняет определенные действия обычным для него способом.  На основе этой «обычности» можно отслеживать изменения уровня лояльности сотрудников, вывод ценной информации за периметр компании и пр.

 За технологиями – настоящее и будущее. А то, когда и как их применять, определяет человек.

Верю сейчас или потом

Александр Марков, эксперт BISA

Вопрос о новых ИБ-технологиях можно свести к классическому: «Верите ли вы в технологии так, как верю я?». Да, верю, но во что-то – прямо сейчас, а во что-то – «потом», когда оно дозреет до потребителя. Я не считаю явным прорывом технологии последнего времени: все-таки защита отстает от нападения. Ни одна технология не стала «универсальной таблеткой», хотя и приблизила нас на шажок к идеальному, абсолютно безопасному миру.

Самым серьезным продвижением кажется применение UEBA к традиционным SIEM и DLP. Переход от выяснения того, что плохо, к модели «нормального» дает результаты, которые раньше можно было получить лишь случайно. Кроме злодеев и  разгильдяев в «находках» числятся вещицы из теневой инфраструктуры, и техники big data вполне уместны при расследованиях инцидентов.

Интернет вещей, в который невозможно не верить, не дал ИБ ничего, кроме угроз –внешних и внутренних. Производители «вещей» беспечны, найденные уязвимости порой не закрываются месяцами, а то и вообще никогда.

А в искусственный интеллект я верю «потом». Мы еще не до конца определились, что под этим понимаем и чего от него хотим. Основные направления – от создания небелкового разума до специализированных «думателей». Результаты первого – пока «игрушечные», а в стане вторых – полная каша. Ощущение, что автоматизация идет в стиле «кнопку нажал – мешок на спине».

Поверить в новую технологию можно, осознав, как она работает, и «отыграв» это на отработанном ранее с инструментами предыдущего поколения. Сложнее с верой в реализацию на рынке ИБ: надо пробовать самому, что затратно по времени и ресурсам, или смотреть, как работает у коллег. Но референс получить непросто: тут и корпоративные ограничения, и здоровая паранойя. А новых компетенций, приходящих с технологиями, я пока не наблюдаю, как и изменений в процессах.

Как не стать летчиком-испытателем

Сергей Воронецкий, главный эксперт ИБ-отдела управления службы безопасности RU-CENTER Group, эксперт BISA

Если говорить коротко, то я верю в новые технологии иначе, чем верят в них маркетологи. Могу пояснить немного подробнее. Как показывает история развития технологий вообще, ожидания человеческого общества от какой-либо новой технологии никогда не соответствуют тому месту, которое она занимает в повседневной жизни, когда становится зрелой. Например, телефон был занятной игрушкой для лабораторий, а на АТМ и коммутацию ячеек вообще «телекомщики» возлагали неоправданно высокие надежды.

Потому-то на ранних этапах существования любой технологии уровень достоверности предсказаний о ее будущем – всегда низкий, а какие-то выводы делать рано. Соответственно, вложения в нее будут оставаться весьма рискованными еще лет десять минимум. Однако когда акции компаний, предлагающих на рынке «новые» технологии для ИБ, станут средне- и низкодоходными, но надежными, а возможность зарабатывать на таких технологиях превратится в рутинную, это будет свидетельствовать о том, что они достигли зрелости.

Состоятельность технологии, на мой взгляд, означает, что она соответствует хотя бы одному из следующих критериев:

- без нее нельзя обойтись в критически важных системах, без которых цивилизация впадет в хаос;

- на ней можно стабильно зарабатывать;

- существуют сложившиеся технологические и бизнес-цепочки, обеспечивающие обслуживание цикла жизни данной технологии;

- вложения в эту технологию – не венчурные.

Ни одна из обсуждаемых ныне технологий (Big Data, Machine Learning, Artificial Intelligence, UBA и пр.), насколько я знаю, не подходит ни под один из этих критериев. Всем готовым поспорить и кинуться в продвижение «чего-то новенького и крутого», могу задать только один вопрос: почему это «крутое» еще не работает в продакшне на хостинговых системах, перегруженных вычислениями и трафиком, но стабильно приносящих деньги? Ответ очевиден. Значит, рынку по-прежнему необходимы веские доказательства состоятельности этих технологий в сфере информационной безопасности.

Для бизнеса есть два основных пути получения таких доказательств:

1) тем, кто зарабатывает на новых технологиях, нужно убедиться, что конкурентам удается с их помощью стабильно получать деньги при приемлемой маржинальности;

2) тем, кто с помощью новых продуктов обеспечивает информационную безопасность своих компаний, нужно убедиться в достижении гарантированного уровня защиты при условии приемлемой стоимости владения новинкой.

А специалистам ИБ-отрасли состоятельность технологий можно доказать тремя способами:

1) бизнес демонстрирует высокую заинтересованность в специалистах, владеющих использованием именно этих технологий;

2) лаборатории вендоров предоставляют технологическую или научно-прикладную базу, показывающую, что теперь привычные задачи можно выполнять не хуже, чем прежними способами, но быстрее/удобнее/выгоднее, а кроме того, можно делать что-то, недоступное с помощью старых средств;

3) отрасль в целом накапливает положительный опыт эксплуатации новых технологий.

Большинство ИБ-сотрудников используют эти технологии, формируя на основе описаний вендоров собственные навыки и понимание, которые очень сильно отличаются от понимания авторов таких описаний. Другими словами, обычный «боевой» CISO или ИБ-специалист может что-то заподозрить, смоделировать и взаимодействовать с вендором в случае сомнений, но все равно еще долго будет оставаться «летчиком-испытателем» на новой технике. А ему надо не чужую технику отлаживать, а работать на «истребителе», который каждый день сражается с врагами.

Тэги: 
Оцените материал:
Total votes: 6

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.