Леди Гага, мода и поИБрякушки

Леди Гага, мода и поИБрякушки
Если посмотреть на бизнес-прессу в последнее время, то мы увидим, что тема кибербезопасности в разных ее проявлениях становится некоторым мейнстримом - ее даже на главные страницы "Коммерсанта", "Ведомостей", "РБК" выносят. С одной стороны это хорошо, а с другой очень напоминает мир моды с его непостоянством и регулярной сменой заглавных тем сезона.

В 2010-м году Франк Фернандес и Никола Формикетти создали для Леди Гага платье, целиком состоящее из мясных стейков. Это платье создало новое течение в моде, обыгрывающее ее скоротечность. И "мясное платье" - не единичный пример, который можно было бы посчитать случайностью. Анна Чонг создает создает платья из пармской ветчины, бекона и салями. Эми Гудхарт творит шапки и сумки из хлеба, а также брюки из вафель, Миа Гизандер сшила платье из капусты, а Уэсли Нолт прославился платьем из листьев артишока.

Леди Гага и ее мясное платье
Информационная безопасности в последнее время становится очень сильно похожей на мир моды. Если отвлечься и посмотреть ретроспективу событий последнего времени, то мы увидим, что сейчас, например, модна тема Security Operations Center и Threat Intelligence, год назад в фаворе была тема SIEM, еще раньше все говорили о сканерах исходных кодов, WAF и защите АСУ ТП. NGFW стали модными года 3-4 назад. До этого на вершине "Олимпа безопасности" главенствовали DLP-решения. Могу предположить, что в ближайшем времени станет модной тема UEBA, GRC и Security Analytics/Intelligence. Кстати, проследить за "модой" в ИБ можно по конференции RSA, задающим тон всей мировой отрасли кибербезопасности (я вот тут , тут , тут , тут  и тут это уже делал).

И это именно мода, а не реальная потребность. Что, раньше не нужны были SOCи и SIEMы? Или не надо было анализировать исходники программного обеспечения? Или промышленные сети не подвергались атакам? А защита приложений? Она тоже стала актуальной совсем недавно или угрозы на прикладном уровне стали возникать задолго до ажиотажа вокруг темы NGFW? Наша отрасль очень подвержена модным течениям. И дело тут не только в законодательстве, задающем некий толчок развитию того или иного направления в области ИБ.

Тенденции законодательства по ИБ в России
Мы (я имею ввиду специалистов по ИБ и в среде заказчиков и в среде производителей) слишком зависимы от внешнего мнения. Вот сказали на RSA Conference, что тема работа с людьми будет очень важной и многие компании стали внезапно предлагать услуги по повышению осведомленности и внедрению культуры ИБ. А раньше они где были? Раньше не было такой потребности и человек не был самым слабым звеном? Вот стали на выставке RSA активно выставляться решения в области аналитики и визуализации ИБ и многие внезапно прозрели - нам же нужны такие же решения. А вендоры свои уже не первой свежести первый год известные продукты вдруг причислили к категории Security Analytics, Security Intelligence, Beyond SIEM. Зачем? Почему? Это уже дело десятое. И именно это следование тому, что говорит кто-то, а не тому, что реально нужно, и есть признак того, что наша отрасль схожа с модной индустрией.

Пару недель назад я в шутку написал заметку о том, что делать, когда у вас "все есть". Оказалось, что она многим понравилась и приведенные в ней таблицы - это именно то, чего не хватало. И вновь возникает вопрос - зачем? Почему нельзя поступить просто и так, как написано в учебниках - провести моделирование угроз и анализ рисков, определиться с тем, от чего надо защищаться (с учетом среднесрочной и, возможно, долгосрочной перспективы), составить список защитных мер и их альтернатив (компенсирующих мер) и начать их реализовывать? Это сложно? Это несолидно? Или это просто не модно?

На секции по SIEM на PHDays мы ровно об этом и говорили . Многие заказчики просто не знают, зачем им SIEM, что они хотят с помощью этого решения искать, что является нормальным, а что аномальным. В итоге деньги тратятся впустую и должного эффекта от приобретенного решения не проявляется. И так по многим направлениям, которые активно продвигаются на Западе или в России, но к которым не готовы сами заказчики. Их вынуждают/принуждают приобретать решения, чтобы не быть "не модным", "не в струе", "не учитывающим тенденций".

"IPS вышли из моды", "без облачной ИБ вам не обойтись", "песочница - это то, что "носят" в этом сезоне". Знакомо, да? Но нет никаких объяснений, почему IPS вышли из моды и почему песочница - это то, что вам не хватает. Что будет если вы не купите песочницу или SIEM? Никто этого не объясняет. На вас смотрят как нашкодившего малыша, который не ведает, что творит.

Чем же все-таки отличается модное средство защиты от немодного? Да по сути ничем. Оно тоже может вам помочь решить какие-либо проблемы ИБ. Только вот обычно за него надо платить больше или гораздо больше, чем за не менее эффективное, но при этом не распиаренное решение. А часто модная поИБрякушка вам попросту не нужна или вы до нее не созрели. Кстати, обратите внимание, фраза "не созрели" - это манипуляция. Примерно такая же как "ты не понимаешь модных тенденций". В обоих случаях не хочется казаться ретроградом или незрелым, а этого только и надо продавцу модных изделий, в том числе и в отрасли ИБ.

И выход из этой ситуации очень прост - не надо смотреть на моду и читать про тренды. Это как средняя температура по больнице или как ISO 27001, который представляет собой сборник мировых рекордов, а не набор повседневных рекомендаций. Исходите из своих потребностей и не ведитесь на рекламу средств защиты, пока сами не столкнетесь и не поймете, что они вам действительно нужны.

ЗЫ. И хорошо еще, что средства защиты еще не стали арт-объектом, как то же платье Леди Гага, размещенное в венском музее современного искусства.

ЗЗЫ. Написал и ужаснулся - это ж тогда и мой блог с рекомендациями "лучших собаководов" и "ассоциации стоматологов" перестанут читать :-) На мой блог все вышеописанное не распространяется :-) Я объективен как никто :-)

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас