28.6.17

Впечатления от посещения Gartner Security & Risk Management Summit

Между посещениями двух музеев (шпионского и криптологического) у меня было 4 дня, которые я посвятил Gartner Security & Risk Management Summit, прошедшего в National Harbor (курорт недалеко от Вашингтона).


Я первый раз участвовал в мероприятии Gartner (если не рассматривать закрытое мероприятие в Москве в мае этого года) и поэтому мне было интересно сравнить с той же RSAC. И надо сказать, что сравнивать эти мероприятия невозможно :-) Они разные. От слова совсем. На RSAC гораздо больше докладов и спектр покрываемых тем существенно шире, чем у Gartner. На RSAC говорят про все - про атаки, хакеров, культуру, человеческий фактор, измерения, технологии, криптографию и т.п. Даже отдельные саммиты проводят - по программам-вымогателям, по рискам, по облакам, по женщинам в ИБ. Но при этом все доклады независимы друг от друга. Они очень достойны, но не связаны общей концепцией (кроме ИБ и какого-либо направления).

У Gartner все подчинено общей концепции и говорят только о том, что исследует Gartner. Ничего за пределами интересов компании-организатора. Много про технологии, риски, бизнес, и почти ничего про атаки, криптографию, хакеров и т.п. По сути речь идет о классической аудитории CISO, которым не надо погружаться в глубокую технику, а интересует обзор технологий с практикой их применения (Gartner собирает эту практику и потом анонимно предоставляет в выступлениях и исследованиях). Если на RSAC выходит CISO какого-нибудь HSBC и говорит, мы внедрили то-то и то-то, то Gartner говорит, многие наши заказчики внедрили вот это и столкнулись с такими-то проблемами. То есть вы слушаете аккумулированный и просеянный через сито аналитика опыт. В этом большой плюс Gartner.


Еще одним отличием двух мероприятий является то, что на RSAC вы только слушаете. После докладов вы предоставлены сами себе и максимум на что вы можете рассчитывать - приглашение на какой-либо reception или party, где вы сможете пообщаться с коллегами, но не о работе (это же party - надо веселиться). У Gartner, наоборот, очень сильная коммуникативная составляющая. 


Во-первых, ваш бейдж метится цветом, исходя из вашей отрасли (технологии, инвесторы, финансы, ритейл и т.п.) и вы можете не только вычленять в толпе "ваших" коллег, но и на завтраках и обедах садиться за столы с ними, где и можете общаться, обмениваться опытом и т.п. Это было очень ценно.


Во-вторых, вы можете забронировать возможность пообщаться с аналитиками Gartner на интересующие вас темы. На сайте (или в приложении) вам предоставляется возможность выбора темы и вам предлагается набор аналитиков, которые готовы вам помочь разобраться в интересующем вопросе. Даже указан язык, на котором вы можете пообщаться с Gartner.


Как участнику вам предоставляется возможность дважды пообщаться с консультантами Gartner - это входит в стоимость участия. То есть вы не только слушаете доклады, но и можете узнать что-то вас заинтересовавшее от Gartner. Но... все хорошие (хотя в Gartner, наверное, нет плохих :-) аналитики обычно заняты задолго до начала мероприятия. Я очень поздно зарегистрировался и интересные мне темы уже были расписаны :-( Вообще я никогда не думал, что в Gartner столько людей занимается ИБ. И почти все они вице-президенты или директора :-)


И хотя цена на американский саммит Gartner выше на треть, чем на RSAC (у мероприятий в других регионах - Великобритания, Австралия, Япония и др. цена ниже и сравнима с RSAC, но и программа менее насыщенная), именно возможность общения с коллегами или с Gartner того стоит. У нас часто высказывается мнения, что на российские ИБ-тусовки надо ходить ради кулуаров, а контент отстойный, так как представляется спонсорами. Вот саммит Gartner - это не только кулуары, но и контент, в котором нет рекламы (ну разве что самих исследований, которые можно купить за деньги или стать клиентом и получать в рамках подписки).

Фрагмент презентации про уровни зрелости защиты от вредоносного кода
Наиболее полный эффект от участия в саммите достигается в связке: прослушать доклад - прочитать исследование - пообщаться с консультантами. Без 1-2 элементов это уже не так оправданно, но все равно интересно. Хотя можно рассматривать прослушивание докладов как краткое изложение дорогостоящих (по несколько тысяч долларов) исследований Гартнера. Нет денег на корпоративную подписку - езжай на саммит :-) Это, конечно, шутка, но как известно, в каждой шутке...

Как и на любом мероприятии есть свои VIP-участники, у которых больше возможностей по общению с Gartner, приглашению на вендорские мероприятия и т.д.


Кстати, о вендорах. Помимо конференционной части саммит сопровождается трехдневной выставкой, на которой было представлено около 200 стендов (этакая мини-RSA). Компании как именитые, так и стартапы; преимущественно американские. Из наших я видел только Лабораторию Касперского и ERPscan.


Вендоры читают свои доклады в небольших загончиках на самой выставке, но за отдельную плату им предоставляется возможность выступаить в больших залах. Но организаторы сделали интересную фишку. Все доклады вендоров сокращены до 30 минут и даны в одно и тоже время (до и после обеда), не пересекаясь с выступлениями аналитиков Gartner. Хочешь слушай производителей, не хочешь - займись делами (проверь почту, пообщайся с аналитиками Gartner, сделай звонки по работе или сходи на выставку).


Кстати, заметил существенный разрыв в качестве докладов между вендорами и Gartner. Первые читают как для чайников (регулярно хотелось крикнуть "лопата"), а вторые рассчитывают на более продвинутую аудиторию. Зато party у вендоров удались :-) Рассказывать там ничего не надо было - наливай, да пей. Ну и участвуй в розыгрыше призов. Самый крутой был на вечеринке Cisco - разыгрывали "Харлей" :-)


Во время пленарного выступления, когда в зал собирается несколько тысяч человек и это занимает определенное время, чтобы люди не теряли время зря им крутятся различные интересные факты (как из жизни ИТ и ИБ, так и из области общих знаний).


При этом Gartner не скрывает своих ошибок и признает, что иногда делает неверные предсказания, открыто публикуя эти сведения. Они не боятся "лажать" :-)


Пленарки особенно не запомнились. Разве что выступление бывшего директор ЦРУ Джона Бреннана, который говорил о... да о том же, о чем говорят высокие чины с трибуны перед ИБ-аудиторий. Про важность ИБ, про угрозу от России, про важность обмена информацией, про сложность обеспечения ИБ на современном этапе и т.п. Ровно о том же говорил Майк Роджерс (директор АНБ) на RSAC, о том же и там же (на RSAC) говорила генпрокурор США или министр обороны США. Об этом же говорят и наши высокопоставленные чиновники/регуляторы на том же PHDays или Инфофоруме. Разница только в том, что ни разу не видел директора ФСБ, ГРУ, ФСТЭК, МинОбороны, СВР, МВД или Генпрокураторы на отечественных мероприятиях по ИБ. А за те редкие визиты в США, что у меня бывают, я видел чуть ли не всю верхушку американского силового блока. Там не только не зазорно выходить и общаться с аудиторией, но и понятно, зачем это нужно делать. У нас же... Ну вы и сами знаете отношение большинства регуляторов к рядовым безопасникам (за редким исключением).


Еще одной фишкой стали стойки PEERinsights, где можно поделиться собственным опытом тестирования и эксплуатации какого-либо продукта по ИБ. По итогам вы получаете приз, а ваша оценка составляют основу пользовательского рейтинга, который может отличаться от классического магического квадрата. Например, именно по этому рейтингу среди лидеров рынка SIEM клиентами Gartner были названы LogRhytm, LogPoint и Splunk (на самом деле максимальные 5 баллов получили Exabeam и Graylog, но у них было всего по 1-2 отзыва, в отличие от LogRhytm с 197 отзывами или Splunk с 91-м отзывом).


Очень неплохо сделано мобильное приложение - и с точки зрения программы и с точки зрения социальной составляющей. Есть игра с набором баллов за различные действия на саммите, список участников, возможность связаться с ними и т.п.

Делиться впечатлениями от самих докладов, пожалуй, не буду - слишком много пришлось бы писать. Те, несколько десятков докладов, что я посетил, оставили только положительные впечатления (кроме доклада Альперовича из CrowdStrike) - время было потрачено не зря. Пожалуй, единственное, что меня разочаровало, - отсутствие серьезной ориентаций на ИБ как бизнес-функцию. Почти ничего не говорили про роль ИБ в бизнесе (с примерами, а не с общими словами), про измерение ИБ (про конкретные примеры, а не общие размышления о важности этого процесса) и т.п. Отчасти, как мне показалось, это связано с тем, что аудитория к этому просто не готова, как ни странно. Один из аналитиков Gartner, рассказывая про метрики, сказал, что самый частый вопрос от их клиентов по этой теме: "А у вас есть список метрик, которые я могу показать руководству?!" :-) Это говорит о многом. Поэтому, видно, программа формировалась исходя из тех тем, которые интересны аудитории, а она еще оказалось не готова (что для меня было сюрпризом) к разговору с бизнесом на равных. Мне показалось, что даже в России эта тема чаще поднимается, чем на RSAC или на Gartner. Кстати, пользуясь случаем, могу сказать, что в конце июля этому (бизнесу и ИБ) будет посвящено отдельное мероприятие в Сочи "Код ИБ. ПРОФИ".

Еще несколько наблюдений:
  • Кормят прекрасно - гораздо лучше RSAC, на которой предоставляли только завтраки (и то не очень и сидеть надо было на полу), а все остальные надо было добывать самому в близлежащих забегаловках.
  • При регистрации на сайте запрещают использовать слово Gartner в пароле. Якобы это сделано для безопасности. А вот пароль на Wi-Fi почему-то состоит всего из одного слова и это слово... gartner :-)
  • По домену e-mail распознают вендоров и блокируют им участие в некоторых мероприятиях конкурентов :-)
ЗЫ. Из всех Security Summit'ов, который проводит Gartner, этот самый крупный и представительный. Поэтому если вы будете планировать посещение и для вас основное - это контент и общение, то американский саммит подходит для этого лучше всего. Если, конечно, вы не хотите посетить Лондон, Токио или страну кенгуру.