Экосистемы кибербезопасности: оптимизация защиты через интеграцию

Экосистемы кибербезопасности: оптимизация защиты через интеграцию

Экосистемы кибербезопасности: оптимизация защиты через интеграцию

Маркетологи представляют экосистемы как «совершенный мир», где все продукты идеально совмещаются между собой, комплексно и надёжно защищая от угроз информационной безопасности. Такая система даёт экономическое преимущество, а значит, выгодна для заказчиков. Так ли это на самом деле? Участники обсуждения в эфире AM Live искали ответ на этот вопрос.

 

 

 

 

  1. Введение
  2. В чём суть экосистемности?
  3. Преимущества экосистем
  4. Открытые и закрытые экосистемы
  5. Переход на экосистемы и импортозамещение
    1. 5.1. С чего начать выстраивание системы защиты?
    2. 5.2. Можно ли посчитать экономическую пользу?
  6. Прогнозы экспертов на год
  7. Выводы

Введение

В современном мире, где технологии стремительно развиваются, а угрозы безопасности становятся всё более изощрёнными, экосистемы ИБ играют ключевую роль в защите информации и ресурсов. Эти комплексные структуры объединяют различные компоненты — от программного обеспечения и аппаратных средств до человеческого фактора — для создания многослойной защиты. 

В условиях глобализации и взаимосвязанности бизнеса понимание принципов работы экосистем безопасности становится не только актуальным, но и необходимым для обеспечения устойчивости организаций в борьбе с киберугрозами.

 

Рисунок 1. Эксперты AM Live

Эксперты AM Live

 

В обсуждении приняли участие:

  • Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, «Лаборатория Касперского».
  • Алексей Дашков, директор центра продуктового менеджмента, R-Vision.
  • Сергей Овчинников, директор по маркетингу, UDV Group.
  • Андрей Сапожников, старший эксперт, Red Security.
  • Владимир Бенгин, директор по продуктовому развитию, ГК «Солар».
  • Павел Коростелёв, руководитель отдела продвижения продуктов, «Код Безопасности».
  • Ева Беляева, руководитель отдела развития, Security Vision.

Ведущим и модератором встречи выступил Илья Шабанов, генеральный директор «АМ Медиа».

 

 

В чём суть экосистемности?

Термин «экосистема» взят из биологии и означает совокупность совместно обитающих организмов и условий их существования, находящихся в закономерной зависимости друг от друга. Как это применимо в сфере кибербезопасности? Очевидно, что все продукты должны взаимодействовать, дополнять друг друга и составлять систему, которая рождает добавленную стоимость.

Павел Коростелёв: 

«После 2022 года появился большой спрос на вендоров, которые нашли простой путь к продажам большого количества продуктов. Экосистемы становятся нужны заказчикам по нескольким причинам: большое количество векторов атак, сложные инфраструктуры крупных компаний. Появляются дополнительные потребности в совместимости и синергии в работе продуктов. Можно выделить несколько уровней зрелости системы: первый — есть несколько продуктов, которые друг другу не мешают, второй — один основной продукт, вокруг которого выстроены дополнительные элементы, повышающие его ценность, третий — Cybersecurity Mesh (система, которая обеспечивает взаимодействие элементов СЗИ)».

 

Павел Коростелёв, «Код Безопасности»

Павел Коростелёв, «Код Безопасности»

 

Сергей Овчинников уточнил, что заказчик может не заниматься интеграцией разрозненных элементов сам, а нанять интегратора. В случае с экосистемой вендор берёт на себя работу интегратора, самостоятельно создавая концепцию и реализовывая комплекс из своих продуктов.

Алексей Дашков считает, что основная задача, которую хочет решить клиент, — получить аналитику и отчёты, сэкономить ресурсы на интеграции и администрировании за счёт продуктов одного вендора, решающих одну главную задачу — обеспечение информационной безопасности. 

Владимир Бенгин: 

«Для каждой задачи есть несколько технологических решений, при этом не у каждой компании на это хватит людей. Поэтому удобнее использовать комплексное решение — экосистему, которую смогут обслуживать два-три человека. Можно закрыть большую задачу, но часто бывает, что в экосистему включают один хороший продукт, а остальные не дотягивают по качеству. В итоге заказчик стоит перед выбором: использовать готовую систему от одного вендора, у которого могут быть проблемы с качеством, или собирать продукты по отдельности, при этом решая вопросы совместимости и настройки».

 

Владимир Бенгин, ГК «Солар»

Владимир Бенгин, ГК «Солар»

 

Андрей Сапожников считает, что ещё одна обязательная функция экосистемы — возможность обучать сотрудников азам кибербезопасности. По статистике, больше всего атак происходит из-за ошибочных действий сотрудников. Без этого никакая экосистема не может гарантировать надёжной защиты.

Ева Беляева добавила, что интеграция продуктов — это не только про технику, но и про экспертизу. В экосистеме люди должны говорить на одном языке, понимать, какие процессы происходят и какие решения подойдут. Также важно, чтобы подходы были одинаковыми, даже если система построена из продуктов разных вендоров.

Ведущий провёл опрос среди зрителей на тему «Что такое экосистема кибербезопасности в вашем понимании?». Больше всего участников выбрали ответ «Монолитная платформа с взаимодополняющими компонентами». За вариант «Служба одного окна, решающая все мои проблемы в ИБ» проголосовали 27 % опрошенных. 19 % респондентов сказали, что хотят узнать ответ в ходе эфира.

 

Рисунок 2. Что такое экосистема кибербезопасности в вашем понимании?

Что такое экосистема кибербезопасности в вашем понимании?

 

Преимущества экосистем

По мнению Ильи Шабанова, в использовании экосистем должно быть экономическое преимущество. Если заказчик берёт полный комплект у одного вендора, то он ожидает, что это будет дешевле при покупке и при эксплуатации. 

 

Илья Шабанов, «АМ Медиа»

Илья Шабанов, «АМ Медиа»

 

Своё мнение во время прямого включения высказал Олег Волков, заместитель начальника департамента безопасности банка «Кубань Кредит»: 

«Главное преимущество экосистемности — это совместимость продуктов. Однако качество оставляет желать лучшего. Чаще всего вендор сосредоточен на каком-то одном продукте, остальные направления могут не так сильно развиваться и по функциональности сильно уступать аналогу от другого производителя. На текущий момент отношение к экосистемам — скептическое. Такой вариант стоит рассматривать, если экосистема продаётся пакетом, стоит значительно дешевле, чем комплекс отдельных продуктов, имеет удобную систему поддержки».

 

Олег Волков, «Кубань Кредит»

Олег Волков, «Кубань Кредит»

 

Андрей Сапожников перечислил преимущества экосистем кибербезопасности: 

  • Комплексный подход. Сейчас угрозы стали более разнообразными и на рынке появляется масса продуктов, которые работают с определённой угрозой. Экосистема управляет всеми продуктами, благодаря чему достигается большая устойчивость к атакам. 
  • Интеграция. Продукты имеют общие протоколы. 
  • Автоматизация. Не нужно много экспертов, чтобы управлять системой. 
  • Сертифицированность, удовлетворение требований регулятора.
  • Качественная и единая техподдержка, выделенный менеджер.

Экосистемность подходит не для всех компаний. Мелким и средним подойдёт и пара отдельных продуктов.

 

Андрей Сапожников, Red Security

Андрей Сапожников, Red Security

 

Во время ещё одного включения своим мнением поделился Александр Лимонов, директор по информационной безопасности «Ле Монлид»:

«Говоря о преимуществах экосистемного подхода, стоит отметить глубокую интегрированность, что позволяет эффективнее реагировать на угрозы. Комплексы защиты обеспечивают безопасность на разных уровнях. Управление проще и удобнее, так как экосистема представляет общую консоль. Новые модули интегрируются в систему быстро и просто. Есть возможность более полного и комплексного видения ситуации, что помогает минимизировать количество ложных срабатываний. Однако реальных экосистем с подобными качествами на рынке пока нет. Чаще всего это — наборы разрозненных средств защиты, интегрированных между собой. Экосистемы безопасности — это прекрасное будущее для ИБ, к которому мы пока не пришли».

 

Александр Лимонов, «Ле Монлид»

Александр Лимонов, «Ле Монлид»

 

Открытые и закрытые экосистемы

Готов ли рынок ИБ к открытым экосистемам, где соединяются продукты от разных вендоров? Эксперты считают, что такого явления, как зависимость заказчика от одного поставщика (vendor lock-in), сейчас в России нет. 

Павел Коростелёв объяснил, что процесс импортозамещения ещё не закончился. Вендоры находятся в обстановке наличия больших возможностей. Пока они не увидят в сотрудничестве больше ценности, чем в конкуренции, роста экосистем на рынке кибербезопасности не будет.

Сергей Овчинников: 

«Не верю в vendor lock-in. Не знаю ни одного вендора, который, разрабатывая продукт, не выдвигал бы требования по взаимодействию с другими системами, с инфраструктурой заказчика. Это скорее стратегическое партнёрство, где вендор старается максимизировать показатель LTV, а для этого необходимо постоянно создавать какую-то ценность для клиента. Со стороны заказчика идёт минимизация полной стоимости владения и возможного ущерба. Получается обоюдовыгодное партнёрство, в которое заказчик идёт осознанно».

 

Сергей Овчинников, UDV Group

Сергей Овчинников, UDV Group

 

Ведущий вывел результаты второго опроса и сравнил их с показателями прошлого года. Готовность покупать все продукты по ИБ у одного вендора снизилась на 10 %.

 

Рисунок 3. Готовы ли вы покупать всю (почти всю) ИБ от одного поставщика? (сравнение с 2023 г.)

Готовы ли вы покупать всю (почти всю) ИБ от одного поставщика? (сравнение с 2023 г.)

 

По мнению Владимира Бенгина, опрос показывает, что заказчики разочаровались в работе с одним вендором и в способности последнего решить проблемы безопасности. Нет того поставщика, который может закрыть все имеющиеся потребности по части ИБ. 

Переход на экосистемы и импортозамещение

Можно ли совместить переход на экосистему с импортозамещением? Ева Беляева говорит, что нужно смотреть на потребности заказчика, предпосылки к переходу (только сертифицированные решения, любые отечественные) и в зависимости от этого определять, каким образом они совмещаются с построением экосистемы. 

Неизбежно возникает вопрос, может ли продукция российского вендора конкурировать с теми зарубежными решениями, которые были у заказчика раньше. Есть часть важной функциональности, к которой наши производители пока пытаются прийти. Процесс подбора решений различается, но в целом сам переход с зарубежных продуктов можно совместить с организацией экосистемы.

 

Ева Беляева, Security Vision

Ева Беляева, Security Vision

 

Андрей Сапожников добавил, что нужно разбираться с запросами заказчиков при переходе на отечественные решения. Иногда выясняется, что большей частью функциональности установленной системы компания не пользуется.

Результаты третьего опроса показали, что для пользователей при выборе экосистемы кибербезопасности неизменно важна широта линейки продуктов и услуг. Репутация поставщика по-прежнему на втором месте, хотя её доля снизилась по сравнению с прошлым годом.

 

Рисунок 4. Что наиболее важно для вас при выборе экосистемы кибербезопасности? (сравнение с 2023 г.)

Что наиболее важно для вас при выборе экосистемы кибербезопасности? (сравнение с 2023 г.)

 

С чего начать выстраивание системы защиты?

Павел Коростелёв считает, что главное — формулировка задачи. Нужно защитить удалённый доступ — набор решений будет одним; надо повысить эффективность работы аналитиков — выбираем другой подход. 

Алексей Дашков: 

«Смысл небольших локальных экосистем — решение конкретных задач комплексом разных продуктов. Есть решения, в которых есть вся встроенная функциональность, но она не подойдёт крупным предприятиям. Для работы со сложными и большими задачами необходимо использовать качественные SOAR и SIEM».

 

Алексей Дашков, R-Vision

Алексей Дашков, R-Vision

 

Можно ли посчитать экономическую пользу?

Павел Коростелёв: 

«Экосистема даёт улучшение метрик обнаружения, реагирования и локализации, более эффективные настройки. Можно подсчитать убытки, связанные с простоем сервиса, но риски, связанные с реализацией системы ИБ, — нельзя»

Ведущий Илья Шабанов предполагает, что явная видимая экономия должна выражаться в человеко-часах, высвобожденных благодаря автоматизации. Для этого, считает Павел Коростелёв, необходим стандартный набор метрик, которые будут поддерживаться всеми компаниями и рассчитываться одинаково. Есть несколько метрик, на которые должно повлиять внедрение экосистемы: 

  • среднее время решения инцидента, связанное с элементами управления и защиты;
  • скорость обнаружения и классификации инцидента;
  • количество заявок, которые можно обработать в инфраструктуре на единицу времени.

Евгения Лагутина уверена, что все расчёты в итоге всё равно сводятся к человеко-часам, а Сергей Овчинников полагает, что целесообразнее идти от возможного ущерба и модели рисков.

 

Евгения Лагутина, «Лаборатория Касперского»

Евгения Лагутина, «Лаборатория Касперского»

 

Четвёртый опрос показал отношение зрителей к экосистемам по итогам проведённого эфира. Заинтересовались и хотят изучать новые возможности 53 % голосовавших. А вот 19 % считают, что спикерам не удалось доказать ценность экосистем кибербезопасности.

 

Рисунок 5. Что вы думаете об экосистемах кибербезопасности после эфира? 

Что вы думаете об экосистемах кибербезопасности после эфира

 

Прогнозы экспертов на год

Все участники эфира поделились своими мыслями о том, как они видят развитие экосистем в России в течение следующего года.

Ева Беляева: 

«Со временем будет появляться всё больше композитных вендорских решений. Очевиден уход от узкоспециализированных СЗИ к системам защиты, которые решают проблемы комплексно».

Павел Коростелёв: 

«Мы увидим несколько платформ, на базе которых продукты интегрируются между собой, обеспечивая эффект экосистемности».

Владимир Бенгин: 

«Появится синергия между двумя крупнейшими вендорами, тем самым рынок приблизится к открытой экосистеме».

Андрей Сапожников: 

«В следующем году увидим новые продукты у вендоров, их консолидацию, технологическое сотрудничество, внедрение новых технологий в продукты».

Сергей Овчинников: 

«Состоится развитие тенденции к созданию более комплексных продуктов, а также дальнейшая взаимная интеграция вендоров».

Алексей Дашков: 

«Конкуренция растёт, крупные игроки станут сильнее, у них появится больше решений».

Евгения Лагутина: 

«Появятся более тесно взаимосвязанные компоненты в платформах, улучшатся сами платформы».

Илья Шабанов прогнозирует развитие экосистем сверху вниз, где в роли «головы» — компоненты управления, оркестровки и аналитики.

Выводы

Экосистемы кибербезопасности позволяют эффективно реагировать на угрозы, используя интеграцию технологий, процессов и людей. Создание и поддержание такой экосистемы требует постоянного анализа рисков, обновления технологий и обучения персонала. В условиях динамично меняющегося ландшафта угроз те организации, которые инвестируют в развитие своих экосистем безопасности, получают конкурентное преимущество и уверенность в завтрашнем дне. Только комплексный подход к безопасности позволит справиться с вызовами, которые ставит перед нами цифровая эпоха.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru