Кибербезопасность как экосистема

На бытовом уровне мы уже привыкли к экосистемам продуктов и услуг. Когда есть одна точка доступа ко всем сервисам и они связаны друг с другом, это удобно. Если такими возможностями с удовольствием пользуются обычные люди, то почему бы не перенести их на решения для бизнеса? Рассмотрим на примере кибербезопасности.

Современный рынок ИБ предлагает многочисленные продукты от разных разработчиков. Большой выбор — это хорошо с точки зрения конкуренции и повышения общего уровня качества. Но на определённом этапе чрезмерное разнообразие создаёт трудности для заказчика. Например, продукты сложно интегрировать между собой, а управлять ими приходится из разных консолей, что отнимает ресурсы команд ИБ и мешает привести политики безопасности к единообразию. Как правило, компании не хотят разбираться, они просто хотят получить надёжное решение, которое защитит их от всего и прямо сейчас. Разберёмся, какие преимущества даёт компаниям экосистемный подход к кибербезопасности.

Поговорка «Время — деньги» крайне актуальна и в среде ИБ, особенно если речь идёт о противодействии сложным атакам. Среднее время обнаружения и реагирования (Mean Time to Detect и Mean Time to Respond) — ключевые показатели, по которым оценивается эффективность ИБ-команд. Затянувшийся киберинцидент может обойтись компании в круглую сумму. По данным «Лаборатории Касперского», в 2021 году только в 22% случаев компании реагировали на атаку в течение нескольких часов. Чаще компаниям требовались дни или даже месяцы.

Возможность централизованно управлять всей системой синхронизированных друг с другом ИБ-инструментов позволяет своевременно обнаруживать атаки и минимизировать их последствия. Важное значение имеет наличие у ИБ-сотрудников самой актуальной информации об угрозах. За это в экосистеме отвечают продукты класса Threat Intelligence. Они открывают специалистам доступ к массиву информации об актуальных угрозах со всего мира. Агрегированный опыт и знания помогают ИБ-специалистам сокращать время на обнаружение, расследование и реагирование на атаку, а значит, спасать компанию от потенциальных потерь.

Логика развития рынка ИБ сегодня так или иначе ведёт его к экосистемности. В России появляются продукты класса XDR (Extended Detection and Response) — расширенные системы обнаружения и реагирования на киберугрозы. Они воплощают экосистемный подход. Это моновендорная кросс-продуктовая концепция, построенная на взаимодействии комплекса защитных решений. XDR основан на расширении технологий EDR (Endpoint Detection and Response), а те, в свою очередь, базируются на классических технологиях защиты конечных точек — EPP (Endpoint Protection Platform). Этот надёжный фундамент дополняется продуктами, которые могут расширять функционал системы. О том, для каких компаний особенно актуален XDR, рассказываем здесь.

Солидный XDR сегодня — это не только EDR, но и защита почтового и веб-трафика, глубокий анализ сетевого трафика, мониторинг и корреляция событий ИБ, сильный Threat Intelligence. В состав XDR также может входить модуль для повышения цифровой грамотности сотрудников. Таким образом, зрелые и развитые отделы информационной безопасности получают всё необходимое, чтобы перекрывать возможные точки проникновения злоумышленников в инфраструктуру компании, эффективно проводить расследования и своевременно реагировать на обнаруженные инциденты.

XDR обычно позиционируется как кибербезопасность «под ключ», поэтому в лучшем исполнении решение в том числе помогает организациям соответствовать требованиям регуляторов, чтобы даже на это не уходило драгоценное время ИБ-специалистов.

Концепция XDR появилась в процессе эволюции как продуктов информационной безопасности, так и потребностей рынка. Сегодня заказчикам необходима не просто унификация ИБ-инструментов от одного производителя, но и получение от этой унификации каких-то дополнительных преимуществ — например, в виде кросс-продуктовых сценариев, автоматизации процессов, экономии ресурсов и снижения издержек. О том, как выбрать XDR, можно прочитать здесь.

При выборе подхода к построению ИБ-системы важно учитывать собственные ресурсы компании. Хорошие специалисты всегда в дефиците. Несмотря на большой интерес к профессии, спрос на IT-шников в целом и на безопасников в частности растёт ещё стремительнее, чем предложение. По прогнозам Минтруда, до 2024 года в российских компаниях ежегодно не будет хватать около 18,5 тысяч специалистов по информационной безопасности.

Отсюда две проблемы: во-первых, качество текущей работы. Когда все сотрудники перегружены, возрастает риск ошибок и выгорания. Даже высокая квалификация не всегда может спасти от сбоев в режиме постоянного перегруза рутинными задачами по сбору, хранению и анализу данных, проведению различных действий на этапах расследования и реагирования. Во-вторых, при такой нагрузке у ИБ-отдела не остаётся времени и сил на стратегическую работу, аналитику угроз, расследования инцидентов, общее развитие и совершенствование системы безопасности. Долгосрочно это тоже чревато проблемами: система может оказаться неприспособленной к новым угрозам, и риск пропустить атаку со временем возрастает.

Например, при расследовании инцидента специалистам необходимо определить начальный вектор атаки, все вредоносные программы, техники и тактики, использованные злоумышленниками, нанесённый ущерб. Без применения средств автоматизации этот процесс может оказаться крайне трудозатратным. Эти операции можно и нужно автоматизировать, но важно сделать это грамотно. Если использовать ряд отдельных инструментов, это увеличивает количество ручных операций и ожидаемо приводит к неэффективному использованию, перегрузке ИБ-служб и дополнительным затратам.

Современные ИБ-экосистемы предлагают готовые наборы синхронизированных продуктов, необходимых для всего цикла обработки инцидентов и позволяющих максимально автоматизировать трудоёмкие задачи. Такая продуманная автоматизация позволяет не только сэкономить дорогостоящее рабочее время аналитиков, но и снизить их загрузку, чтобы они могли сосредоточиться на противодействии действительно сложным инцидентам и совершенствовании системы безопасности.

В этом году на сложный ландшафт угроз наложилась нестабильность самого рынка ИБ. Россию покидают западные вендоры, в результате отзыва лицензий/ подписки на их решения у бизнеса перестают работать обновления баз, в отдельных продуктах ИБ быстро теряется качество детектирования (ухудшается с каждым днём), решения начинают пропускать вредоносные объекты, разрешают подключения на нелегитимные и опасные URL-адреса, пропускают рекламный и вредоносный спам, не распознают крупные атаки.

Перед бизнесом стоят вопросы срочного и при этом безболезненного перехода на новые продукты, которые гарантированно будут работать на российском рынке, вне зависимости от любых внешних обстоятельств. Решение класса XDR с синхронизированными продуктами из единой экосистемы от отечественного поставщика — это возможность решить сразу две актуальные в 2022 году задачи: оперативно провести комплексное ИБ-замещение и повысить её эффективность перед лицом новых угроз.

При этом одна из особенностей XDR заключается в том, что несмотря на общую моновендорную концепцию в систему можно интегрировать решения от других производителей. Такой тип XDR называется гибридным. Компания может, не теряя все предыдущие инвестиции в ИБ, перестроиться на XDR без потери накопленного опыта и имеющихся решений и спокойно развиваться под защитой нового основного поставщика.

Экономить время компаний и их ИБ-команд поможет «режим одного окна». Если компания пользуется защитными решениями нескольких поставщиков, то, когда возникает проблема, она оказывается в ситуации корпоративного пинг-понга. Драгоценное время уходит на то, чтобы разобраться, на стороне какого вендора находится первопричина. В процессе они перекидывают друг другу заказчика, что не способствует решению проблемы. Если же компания выбирает продукты одного поставщика для всех требующих защиты элементов инфраструктуры, любой вопрос решается проще и быстрее.

Конечно, экосистемность и моновендорность — это не панацея от всех киберугроз. Споры о том, что лучше — один поставщик или несколько, ведутся уже давно. На каждый аргумент одной стороны уже существует многоуровневая аргументация — с другой. Но все они, по сути, упираются в качество исполнения. Когда каждый отдельный продукт на протяжении многих лет подтверждает своё высокое качество, безукоризненно исполняет свою роль на своём этапе защиты и бесшовно интегрируется с другими решениями, то и вся система становится гибкой и удобной в управлении, работает, как слаженный оркестр.

Подробнее о том, как работает экосистемный подход в линейке решений для бизнеса Kaspersky Symphony и что представляет собой Kaspersky Symphony XDR, можно по ссылке.