Кибербезопасность как экосистема

На бытовом уровне мы уже привыкли к экосистемам продуктов и услуг. Когда есть одна точка доступа ко всем сервисам и они связаны друг с другом, это удобно. Если такими возможностями с удовольствием пользуются обычные люди, то почему бы не перенести их на решения для бизнеса? Рассмотрим на примере кибербезопасности.

Кибербезопасность как экосистема

Современный рынок ИБ предлагает многочисленные продукты от разных разработчиков. Большой выбор — это хорошо с точки зрения конкуренции и повышения общего уровня качества. Но на определённом этапе чрезмерное разнообразие создаёт трудности для заказчика. Например, продукты сложно интегрировать между собой, а управлять ими приходится из разных консолей, что отнимает ресурсы команд ИБ и мешает привести политики безопасности к единообразию. Как правило, компании не хотят разбираться, они просто хотят получить надёжное решение, которое защитит их от всего и прямо сейчас. Разберёмся, какие преимущества даёт компаниям экосистемный подход к кибербезопасности.

Управление временем

Поговорка «Время — деньги» крайне актуальна и в среде ИБ, особенно если речь идёт о противодействии сложным атакам. Среднее время обнаружения и реагирования (Mean Time to Detect и Mean Time to Respond) — ключевые показатели, по которым оценивается эффективность ИБ-команд. Затянувшийся киберинцидент может обойтись компании в круглую сумму. По данным «Лаборатории Касперского», в 2021 году только в 22% случаев компании реагировали на атаку в течение нескольких часов. Чаще компаниям требовались дни или даже месяцы.

Кибербезопасность как экосистема

Возможность централизованно управлять всей системой синхронизированных друг с другом ИБ-инструментов позволяет своевременно обнаруживать атаки и минимизировать их последствия. Важное значение имеет наличие у ИБ-сотрудников самой актуальной информации об угрозах. За это в экосистеме отвечают продукты класса Threat Intelligence. Они открывают специалистам доступ к массиву информации об актуальных угрозах со всего мира. Агрегированный опыт и знания помогают ИБ-специалистам сокращать время на обнаружение, расследование и реагирование на атаку, а значит, спасать компанию от потенциальных потерь.

С каждым годом количество и разнообразие киберугроз только растёт. Например, эксперты «Лаборатории Касперского» в 2021 году обнаруживали ежедневно более 380 тысяч новых вредоносных файлов в день. Этот показатель растёт с каждым годом. Ещё одно статистическое подтверждение: в 2021 году количество атак на корпоративные сети выросло на 50%, а в 44% всех инцидентов в 2021-м атакующая сторона использовала неизвестные ранее инструменты.

Кибербезопасность под ключ

Логика развития рынка ИБ сегодня так или иначе ведёт его к экосистемности. В России появляются продукты класса XDR (Extended Detection and Response) — расширенные системы обнаружения и реагирования на киберугрозы. Они воплощают экосистемный подход. Это моновендорная кросс-продуктовая концепция, построенная на взаимодействии комплекса защитных решений. XDR основан на расширении технологий EDR (Endpoint Detection and Response), а те, в свою очередь, базируются на классических технологиях защиты конечных точек — EPP (Endpoint Protection Platform). Этот надёжный фундамент дополняется продуктами, которые могут расширять функционал системы. О том, для каких компаний особенно актуален XDR, рассказываем здесь.

Солидный XDR сегодня — это не только EDR, но и защита почтового и веб-трафика, глубокий анализ сетевого трафика, мониторинг и корреляция событий ИБ, сильный Threat Intelligence. В состав XDR также может входить модуль для повышения цифровой грамотности сотрудников. Таким образом, зрелые и развитые отделы информационной безопасности получают всё необходимое, чтобы перекрывать возможные точки проникновения злоумышленников в инфраструктуру компании, эффективно проводить расследования и своевременно реагировать на обнаруженные инциденты.

Кибербезопасность как экосистема

XDR обычно позиционируется как кибербезопасность «под ключ», поэтому в лучшем исполнении решение в том числе помогает организациям соответствовать требованиям регуляторов, чтобы даже на это не уходило драгоценное время ИБ-специалистов.

Концепция XDR появилась в процессе эволюции как продуктов информационной безопасности, так и потребностей рынка. Сегодня заказчикам необходима не просто унификация ИБ-инструментов от одного производителя, но и получение от этой унификации каких-то дополнительных преимуществ — например, в виде кросс-продуктовых сценариев, автоматизации процессов, экономии ресурсов и снижения издержек. О том, как выбрать XDR, можно прочитать здесь.

Спасение от выгорания

При выборе подхода к построению ИБ-системы важно учитывать собственные ресурсы компании. Хорошие специалисты всегда в дефиците. Несмотря на большой интерес к профессии, спрос на IT-шников в целом и на безопасников в частности растёт ещё стремительнее, чем предложение. По прогнозам Минтруда, до 2024 года в российских компаниях ежегодно не будет хватать около 18,5 тысяч специалистов по информационной безопасности.

Отсюда две проблемы: во-первых, качество текущей работы. Когда все сотрудники перегружены, возрастает риск ошибок и выгорания. Даже высокая квалификация не всегда может спасти от сбоев в режиме постоянного перегруза рутинными задачами по сбору, хранению и анализу данных, проведению различных действий на этапах расследования и реагирования. Во-вторых, при такой нагрузке у ИБ-отдела не остаётся времени и сил на стратегическую работу, аналитику угроз, расследования инцидентов, общее развитие и совершенствование системы безопасности. Долгосрочно это тоже чревато проблемами: система может оказаться неприспособленной к новым угрозам, и риск пропустить атаку со временем возрастает.

Например, при расследовании инцидента специалистам необходимо определить начальный вектор атаки, все вредоносные программы, техники и тактики, использованные злоумышленниками, нанесённый ущерб. Без применения средств автоматизации этот процесс может оказаться крайне трудозатратным. Эти операции можно и нужно автоматизировать, но важно сделать это грамотно. Если использовать ряд отдельных инструментов, это увеличивает количество ручных операций и ожидаемо приводит к неэффективному использованию, перегрузке ИБ-служб и дополнительным затратам.

Кибербезопасность как экосистема

Современные ИБ-экосистемы предлагают готовые наборы синхронизированных продуктов, необходимых для всего цикла обработки инцидентов и позволяющих максимально автоматизировать трудоёмкие задачи. Такая продуманная автоматизация позволяет не только сэкономить дорогостоящее рабочее время аналитиков, но и снизить их загрузку, чтобы они могли сосредоточиться на противодействии действительно сложным инцидентам и совершенствовании системы безопасности.

Стабильность вендора

В этом году на сложный ландшафт угроз наложилась нестабильность самого рынка ИБ. Россию покидают западные вендоры, в результате отзыва лицензий/ подписки на их решения у бизнеса перестают работать обновления баз, в отдельных продуктах ИБ быстро теряется качество детектирования (ухудшается с каждым днём), решения начинают пропускать вредоносные объекты, разрешают подключения на нелегитимные и опасные URL-адреса, пропускают рекламный и вредоносный спам, не распознают крупные атаки.

Перед бизнесом стоят вопросы срочного и при этом безболезненного перехода на новые продукты, которые гарантированно будут работать на российском рынке, вне зависимости от любых внешних обстоятельств. Решение класса XDR с синхронизированными продуктами из единой экосистемы от отечественного поставщика — это возможность решить сразу две актуальные в 2022 году задачи: оперативно провести комплексное ИБ-замещение и повысить её эффективность перед лицом новых угроз.

Кибербезопасность как экосистема

При этом одна из особенностей XDR заключается в том, что несмотря на общую моновендорную концепцию в систему можно интегрировать решения от других производителей. Такой тип XDR называется гибридным. Компания может, не теряя все предыдущие инвестиции в ИБ, перестроиться на XDR без потери накопленного опыта и имеющихся решений и спокойно развиваться под защитой нового основного поставщика.

Чёткая ответственность за результат

Экономить время компаний и их ИБ-команд поможет «режим одного окна». Если компания пользуется защитными решениями нескольких поставщиков, то, когда возникает проблема, она оказывается в ситуации корпоративного пинг-понга. Драгоценное время уходит на то, чтобы разобраться, на стороне какого вендора находится первопричина. В процессе они перекидывают друг другу заказчика, что не способствует решению проблемы. Если же компания выбирает продукты одного поставщика для всех требующих защиты элементов инфраструктуры, любой вопрос решается проще и быстрее.

Кибербезопасность как экосистема

Конечно, экосистемность и моновендорность — это не панацея от всех киберугроз. Споры о том, что лучше — один поставщик или несколько, ведутся уже давно. На каждый аргумент одной стороны уже существует многоуровневая аргументация — с другой. Но все они, по сути, упираются в качество исполнения. Когда каждый отдельный продукт на протяжении многих лет подтверждает своё высокое качество, безукоризненно исполняет свою роль на своём этапе защиты и бесшовно интегрируется с другими решениями, то и вся система становится гибкой и удобной в управлении, работает, как слаженный оркестр.

Подробнее о том, как работает экосистемный подход в линейке решений для бизнеса Kaspersky Symphony и что представляет собой Kaspersky Symphony XDR, можно по ссылке.

2