23.07.2015

Можно ли без своего исследовательского центра угроз с ними бороться?

Навеяло тут после одной из встреч. Информационную безопасность, если не сильно вдаваться в детализацию, двигает три силы - страх, compliance или экономика. Они могут детализироваться. Например, страх может быть поделен на страшилки из СМИ и реально произошедшие инциденты, а compliance - на требования регуляторов и требования аудита. Но сейчас это не так важно - по-крупному таких драйверов три.

С compliance все вроде понятно. Есть требования регуляторов и есть организационные и технические меры, их реализующие. Это, пожалуй, самый популярный драйвер ИБ в России и многие игроки (вот пример) активно эксплуатируют данную тематику в своих материалах. Вторая тема, экономическая, только-только начинает набирать обороты. У потребителей меняется картина рисков - старые методы уже не срабатывают или приходиться тратить больше усилий на доказывание важности выполнения требований регуляторов и риски получения штрафов в 10-20 тысяч рублей. Экономика и финансы - это то, что интересно в любые времена. Тем более, что эта тема интересна именно руководству, которому, положа руку на сердце, все равно, выполняет его организация 21-й приказ ФСТЭК или положение Банка России 382-П. Поэтому экономика, как обоснование необходимости вкладываться в ИБ, набирает обороты (вот еще пример).

Но сейчас я бы хотел поговорить о страхе, как третьем важном драйвере продвижения ИБ заказчику. Но не о том, как рассказы об угрозах помогают запугивать потребителя и под этим соусом продавать ему решения по безопасности. Это как раз умеют делать все. Вопрос в другом. Откуда продавцы ИБ берут знание об угрозах, а если быть еще точнее, можно ли называть себя компетентным игроком в области ИБ, не имея собственной экспертизы и собственного исследовательского центра в области угроз безопасности?

Когда компания продает антивирус или систему предотвращения вторжений, очевидно, что она должна оснащать свои решения актуальной или постоянно пополняемой базой угроз (в виде сигнатур, или шаблонов обнаружения аномальной активности). Это, как бы, и не обсуждается. Но должен ли разработчик, например, МСЭ, обладать знанием об угрозах? Если речь о пакетном фильтре, то, может быть и нет. Но если речь идет о прикладном МСЭ или NGFW такое знание уже является обязательным. Обязательным оно является и для разработчиков сканеров безопасности и WAF. Во всех этих примерах критически важно знать, с чем бороться, и оснащать этим знанием свои продукты. Причем делать это нужно в непрерывном режиме, а для этого и нужна выделенная структура, которую и можно назвать центром исследований в области угроз, который работает круглосуточно; злоумышленники-то не спят, да и часовых поясов в России явно больше одного, чтобы всех заставлять работать по московскому или какому-то еще времени.

Откуда можно получить знание об угрозах? Вариантов два. Первый - долгий, но и самый эффективный. Копать самостоятельно, собрав специалистов, которые и будут заниматься такого рода исследованиями. К слову сказать, в таком исследовательском подразделении Cisco - Cisco Talos, 600 (шестьсот) человек. По таком пути идут также Лаборатория Касперского или Positive Technologies.

Вариант второй - простой и быстрый, но и более рискованный. Речь идет о покупке чужих знаний. Например, можно покупать чужие сигнатуры для IDS, как делают некоторые отечественные "разработчики" систем обнаружения вторжений. Можно покупать чужие фиды с информацией об угрозах. Это простой способ войти в новый для себя сегмент. Правда, что делать, если компания, продающая фиды или сигнатуры, поглощается другим игроком? Этот игрок может не захотеть (или не иметь возможность) больше продавать свой продукт компании, которая на нем строила свои решения. И как в такой ситуации быть заказчикам?

К чему этот разговор? К тому, что угроз сегодня становится не только все больше (пример в виде отчета Cisco и в виде озвученной презентации), но они становятся и все изощреннее. А это требует немного иного подхода к их изучению и оснащению этим знанием своих продуктов. Эпизодических действий уже недостаточно. Покупки чужих знаний тоже. Достаточно вспомнить выступление руководителя 2-го Управления ФСТЭК Виталия Лютикова на последнем PHD. Он тогда сказал, что из десяти производителей сертифицированных в России средств защиты информации у половина до сих пор остается неустраненная уязвимость Heartbleed. И в качестве причины неустранения называется либо нехватка средств на устранение, либо отсутствие компетенции, позволяющей устранить эту дыру. То есть компетенция взять чужой продукт и навесить на него бляху "сделано в России" была, а обеспечивать должный уровень защищенности "своего" продукта - нет. С чужим знанием об угрозах ситуация аналогичная.

Какие сегменты рынка ИБ в обязательном порядке подразумевают наличие собственного исследовательского центра? Я бы выделил следующие:

  • NGFW и WAF/DBF/DAF
  • IDS/IPS (СОВ/СОА)
  • сканеры безопасности и средства эмуляции атак
  • антивирусы и другие средства борьбы с вредоносным ПО (antimalware, breach detection systems, песочницы и т.п.)
  • контентная фильтрация (антиспам и фильтрация URL)
  • Threat Intelligence.

Разработчикам, особенно тех решений, который требуют непрерывного обновления знаниями о новых угрозах, стоит, как мне кажется, озаботиться данным вопросом.

5 коммент.:

Сергей Борисов комментирует...

Не совсем корректно доказана невозможность использования сторонних исследовательских центров.
Замечание Виталия Лютикова никак этому не способствуют.

Очевидно, что каждому вендору держать огромный исследовательский отдел будет экономически невыгодно. Особенно российским вендорам, у которых объемы продаж не сравнимы с Cisco.

Варианты с покупкой результатов исследований, а так-же со смешанным вариантом (часть своих исследователей и часть покупных данных) тоже должны работать с небольшой потерей эффективности.
А вообще в плане импортнонезависимости, ждем ГосСОПКА. В рамках неё российские компании смогут обмениваться данными об угрозах и тем самым улучшать аналитику.

Алексей Лукацкий комментирует...

Вот в СОПКУ я не очень верю, уж извини. А вопрос покупки чужих знаний безусловно возможен. Если ты понимаешь, что покупаешь и как из этого сделать свой уникальный продукт. И если оцениваешь риски.

Александр Бодрик комментирует...

Можно покупать у других исследовательских центров - iDefense, iSIGHT Partners, но тут будут классические проблемы раннего нефтегаза - неритмичность поставок нефти (информации) на переработку (разработку продуктов), зависимость от исследовательского центра (поставщика ресурсов) и т.п.

Кстати, зачем развивать исследовательский центр локальным вендорам? Их бизнес это хорошие отношения с заинтересованными сторонами. Например, в ВПК похожая ситуация - покупают не что лучшее а что А) дают купить Б) продают лояльные поставщики.

Алексей Лукацкий комментирует...

Если вендор называет себя лидером или ведущим, то надо соответствовать

mike комментирует...

Леш а соответствовать чему ?

У Циски был и есть свой исследовательский центр.
И циско за пару лет перед покупкой Sourcefire перестала даже участвовать в NSS тестах.
Причину мы все знаем - результаты были крайне средними.
Чем помогал такой центр ? Или маркетинговые вбросы типа Global IPS и прочая шняга?
Теперь сорсфайр - можно потрещать про исследовательский центр и что все должны соответствовать да ?

И кстати это не отменяет покупку образцов у того же телуса или Core и других. :)
Как то ты стареешь ... начал совсем шнягу писать .... :)