Я тут разбирал свою «стену плача», то есть ящик, в котором сложены все мои многочисленные грамоты (даже с 1-го класса школы), дипломы, доски и другие награды. Наткнулся на нефритовую планкетку, которую я получил в Cisco в 2008 году как первый Security Champion (формально нас было четверо), позже выполнявший в течение несколько лет функцию rCISO в российском офисе компании. Параллельно я занимался развитием продуктового бизнеса ИБ, а после и сервисов, включая SOCи. И вот что я хочу вам сказать, раскрою секрет, спустя три года после прекращения компанией своей работы в России. Срок давности уже прошел (шутка) и можно не бояться последствий.
Так вот, великая тайна большинства CISO заключается в том, что хотя в кибербезопасности и любят романтизировать противостояние атакующих и защитников, реальность такова, что большая часть времени у среднестатистической команды ИБ уходит не на обнаружение и реагирование на сложные атаки со стороны государственных или продвинутых APT -групп. Все прозаичнее. Рутина — так можно назвать то, чем ежедневно занимается ИБ:
- Менеджер по продажам отправил клиентские данные в собственное облачное хранилище, чтобы поработать с ними из дома.
- Сотрудник финансового департамента не прошел тест на фишинг.
- Разработчик случайно сделал корзину S3 публичной.
- Маркетолог кликнул на вредоносную ссылку, а специалист поддержки доверился мошенническому письму.
- Бухгалтер случайно отправила зарплатную ведомость партнерам за счет функции автоподстановки e-mail в Outlook.
Знакомо?
Основная часть работы ИБ-команды — автоматизация достаточно простых и местами банальных процессов, включая управление уязвимостями и обновлениями, работа с пользователями, а также ведение организационно-распорядительной документации и выполнение местами дурацких требований регуляторов. А вот многие вендора стараются создавать современные инструменты кибербезопасности слишком ориентированными на защиту от сложных атак, но при этом не соответствующими повседневным потребностям служб кибербезопасности. Обычно этим страдают стартапы, которые считают, что они одни знают, как победить Cisco, Check Point, Palo Alto, Fortinet и т.п., которые забронзовели и не понимают потребностей рынка.
Поверьте, они все прекрасно понимают, только им нужно делать кассу, а не удовлетворять слишком продвинутых заказчиков.
В реальности же самыми полезными инструментами являются те, которые:
- Просты в освоении.
- Легко тестируются перед покупкой.
- Разворачиваются без сложностей.
- Интуитивно управляются, сопровождаются и обновляются.
- Быстро демонстрируют пользу бизнесу.
Вы думаете зарубежные продукты ИБ настолько популярны потому, что они помогают ловить сложные атаки и северокорейских хакеров ? Ни хрена. Они просто делают все вышеописанное. Да, возможно они пропускают крутых хакеров, но это и не было целью их создания! Главное — удобство и простота, что и является залогом массовых продаж. В этом и заключается секрет иностранных вендоров, зарабатывающих миллиарды.
Но часто представления вендоров об ИБ не совпадают с реальностью. Даже самые мощные решения, набитые экспертизой по самое «не балуйся», теряют свою ценность, если они сложны в установке, настройке и использовании. Например, причина большинства утечек информации — ошибки конфигурации, которые можно было бы предотвратить, если бы вендора, да и команды ИБ тоже, глубже понимали процессы разработки внутри своих компаний и бизнес-процессы большинства организаций. Вместо того чтобы строить безопасность на страхе перед “продвинутыми злоумышленниками”, важно сосредоточиться на здравом смысле и реальных и гораздо более часто встречающихся угрозах и проблемах.
Для крупных предприятий и зрелых ИБ-команд “легкость использования” означает также, что инструмент должен масштабироваться и без проблем интегрироваться в существующую инфраструктуру. Многие решения не выдерживают теста временем, так как оказываются несовместимыми с другими продуктами или требуют непредсказуемых затрат при масштабировании. Хорошо, когда вы строите инфраструктуру с нуля и можете ее заранее спроектировать под решения ИБ. Но можете ли вы похвастаться этим?
Еще один важный аспект — простота обучения. Если инструментом будет пользоваться команда из десятков специалистов, он должен быть интуитивно понятным и быстро осваиваемым, чтобы обеспечивать эффективную работу не только отдельных сотрудников, но и всей команды. И желательно без продвинутой поддержки со стороны вендора. В противном случае продукт перестает быть массовым, а клиенты слишком зависимыми от производителя.
И вот появляется дилемма! К умным или красивым, бабки или экспертиза…
Вендору делать продукт, который ориентирован на массового потребителя, которому надо бороться с 90% угроз и хакеров, или на организации, сталкивающиеся с оставшимися 10% APT-угроз и продвинутых хакеров? Есть те, кто выбирает первое, а есть те, кто второе. Тут нет какого-то универсального ответа. Все зависит от стратегии производителя. Когда она совпадает с видением заказчика, наступает бинго! Ну а когда нет, то увы… Либо заказчик страдает от слишком умного и неудобного продукта, либо наоборот, ему надо сильно допиливать продукт или пользоваться самописными скриптами и инструментами, дополняющими продукт для масс-маркета.
Вот такой вот секрет Полишинеля!
Кстати, когда CISO на стороне заказчика уходит в вендора на роль директора по продуктам или иную схожую роль (а это бывает нередко), то там тоже может наступить рассинхрон его видения со стратегией новой компании. И тогда либо CISO наломает дров и производитель пойдет по неверному пути, либо CISO помучается-помучается и уйдет искать себе нового работодателя.
Может ли быть победитель в этой борьбе добра и зла, умного и красивого, экспертного дорогого и массового, но дешевого? Да. Как мне кажется, шанс есть у тех вендоров, кто начинал с экспертизы, а потом стал упаковывать ее в удобный к применению продукт. А вот обратная история срабатывает не всегда, ибо решение, начавшееся с удовлетворения массовой потребности, вряд ли сможет быть оснащенным хорошей экспертизой. Исключения бывают, но редко. Это надо сразу закладывать в архитектуру.
Заметка Какой ИБ-продукт нужен рынку?! была впервые опубликована на Бизнес без опасности .
