Игорь Сметанев, R-Vision - об экосистемном подходе к кибербезопасности
Игорь Сметанев, коммерческий директор компании R-Vision, в интервью TAdviser рассказал об особенностях экосистемного подхода, который предполагает разработку и развитие ИБ-вендором продуктов различных классов и тесно взаимосвязанных между собой.
Развитие продуктовых экосистем — это тенденция последних лет. Расскажите, присутствует ли этот тренд в сфере информационной безопасности и как он развивается?
Игорь Сметанев: Однозначно, данная тенденция затронула и нашу отрасль, но в ней есть свои особенности. Если говорить о вендорах с точки зрения продуктовой стратегии, то на протяжении длительного времени на российском рынке информационной безопасности присутствовали только 2 категории: компании, которые фокусируются на развитии одного-двух продуктов, и те, кто формируют продуктовый портфель, развивая сразу несколько продуктов. По прошествии времени, на базе второго типа начала формироваться новая, стратегически более зрелая категория – вендоры с экосистемным подходом. Этот подход предполагает разработку и развитие ИБ-вендором продуктов различных классов и тесно взаимосвязанных между собой. При этом отличительной особенностью экосистемы является наличие большого количества единых встроенных интеграционных механизмов, конфигураций, ролевых моделей и других функций, присущих всем продуктам экосистемы. По такому сценарию начали развиваться лидирующие компании российского ИБ-рынка – Kaspersky, Positive Technologies и R-Vision.
Почему R-Vision решила развивать экосистемный подход?
Игорь Сметанев: Переход R-Vision к экосистемному подходу в какой-то степени стал логическим продолжением нашей многолетней работы. В самом начале своего пути мы разрабатывали системы для выстраивания процессов по ISO 27000, то есть в соответствии с международными стандартами ИБ. А затем стали создавать уже отдельные продукты различных классов, опираясь прежде всего на потребности рынка, лучшие практики и практические кейсы кибербезопасности, с которыми сталкивалась команда наших экспертов при построении SOC. Развивая на протяжении нескольких лет наш продуктовый портфель и добавляя в него новые технологии, мы в результате пришли к тому, что все продукты R-Vision заняли свою определенную нишу на рынке. Но помимо этого, они также еще и отлично дополняли друг друга при работе «в связке» у Заказчика. И что самое важное – Заказчик получал от этого дополнительные преимущества. Именно так и появилась идея построить нашу уникальную по набору технологий и функционалу экосистему.
На сегодняшний день она состоит из 5-ти взаимосвязанных и управляемых продуктов кибербезопасности: R-Vision SOAR, R-Vision SGRC, R-Vision TIP, R-Vision SENSE, R-Vision TDP, а также 2-х комплексов киберзащиты на базе этих продуктов: R-Vision КИИ и R-Vision CERS. Все решения, которые входят в нашу экосистему, подобраны таким образом, чтобы обеспечить полноценное управление ИБ у Заказчиков с возможностью фокуса на процессах, наиболее критичных для каждой отдельной организации. Таким образом, вне зависимости от уровня зрелости ИБ и целей Заказчика, экосистема R-Vision позволяет выстроить SOC той зрелости процессов, технологий и команды, который необходим организации в данный момент. Чтобы затем этот, построенный с помощью экосистемы, SOC развивался вместе с Заказчиком и рос поэтапно.
В чем преимущество такого подхода?
Игорь Сметанев: Построение действительно эффективной системы информационной безопасности – это комплексная и многогранная задача, включающая в себя как множество точечных прикладных задач, так и построение глобальных процессов. Экосистема R-Vision позволяет одновременно реализовать оба этих пункта. Если про решение конкретных задач мы неоднократно рассказывали в наших материалах, то сейчас хотелось бы поговорить о процессах.
В рамках экосистемы вендор с точностью до малейших деталей знает, как интегрировать различные классы продуктов между собой. Таким образом, тщательно продуманная архитектура и глубокая аналитика формируют рабочие механизмы, которые в совокупности с экспертизой вендора трансформируются в полноценные ИБ-процессы. К тому же экосистемный подход приносит Заказчику еще и ряд дополнительных преимуществ, которых сложно достичь, используя продукты нескольких вендоров. К таким преимуществам относятся: предоставление всесторонней защиты на разных этапах, распространение продуктовой экспертизы вендора на стыке продуктов и, конечно, усиление синергии от использования большего числа решений кибербезопасности. Также отмечу, что «экосистемная интеграция» предъявляет меньшие требования к ИТ-инфраструктуре, что упрощает и ускоряет внедрение необходимого Заказчику функционала. Но и не стоит забывать о финансовой стороне вопроса: пакетные предложения на совокупность функциональности от одного вендора зачастую выгоднее, чем приобретение отдельных продуктов разных производителей.
Разве приобретать все продукты экосистемы вендора не обойдется дороже, чем пользоваться какими-то отдельными решениями, которые нужны в данный момент?
Игорь Сметанев: У Заказчиков обычно нет необходимости в максимальной функциональности экосистемы сразу. В большинстве случаев компания приобретает все необходимые модули, но начинает с их минимальных комплектаций, и только потом, вместе с ростом потребностей и ресурсов Заказчика, начинает постепенно развивать и наращивать функционал используемых модулей. Причем один может использоваться по максимуму, а другой, так и оставаться на базовом уровне возможностей. Важно отметить, что не все экосистемные вендоры могут похвастаться подобной гибкостью. Но для нас это, конечно, плюс и одно из наших преимуществ.
Если говорить в целом про моновендорную концепцию, то есть про приобретение продуктов исключительно у одного вендора, то Заказчикам, в первую очередь, необходимо оценивать реальный результат, который получает бизнес от использования этих продуктов. Если все неприемлемые риски предотвращены, ИБ-процессы отстроены и работают, как слаженный единый механизм, то на мой взгляд, не совсем целесообразно рушить эффективно работающую экосистему и искать альтернативного поставщика решений исключительно для диверсификации. В любом случае, не стоит забывать, что на российском рынке пока нет ни одного игрока с полным перечнем всех необходимых технологий в портфеле. Поэтому недостающие продукты все равно придется приобретать у других разработчиков.
Какой должна быть оптимальная модель использования экосистемы Заказчиком, чтобы эффективно построить и управлять процессами информационной безопасности?
Игорь Сметанев: Оптимальная модель – это когда Заказчик смотрит на задачу развития системно, возможно, даже поэтапно. То есть, конечная цель – это централизованное и полноценное управление кибербезопасностью, а не несколько выстроенных ИБ-процессов. В этом случае поэтапное развитие экосистемы у Заказчика – самый правильный путь, который учитывает не только желания, но и возможности для дальнейшего развития организации с точки зрения готовности команды, процессов и наличия бюджетов. Чтобы у компании были ресурсы для своевременного построения базовых процессов, необходимых для ИБ, например, инвентаризации или управления уязвимостями, а потом и реализации верхнеуровневых задач, таких как раннее обнаружение угроз и стратегическое управление ИБ. Например, на базе минимальной функциональности для выявления и реагирования на инциденты можно построить облегченную версию SOC, которая покроет наиболее критические сегменты инфраструктуры, и тем самым решит первоочередные задачи обеспечения кибербезопасности. А когда компания нарастит штат, усилит компетенции сотрудников и осознает необходимость в усовершенствовании ИБ-процессов, можно будет начать дальнейшее расширение функциональности экосистемы для более полного управления процессами кибербезопасности, например, заняться ранним обнаружением угроз.
Вы бы могли привести пример успешного применения экосистемного подхода у ваших заказчиков?
Игорь Сметанев: Один из самых показательных кейсов – это трансформация минимального SOC одного из наших Заказчиков в полноценный централизованный комплекс управления информационной безопасностью за счет экосистемы R-Vision. На старте проекта Заказчика интересовали процессы детектирования и реагирования базового уровня зрелости с последующим расследованием и анализом инцидентов.
Процесс трансформации SOC Заказчика мы начали с инвентаризации активов организации для детального понимания всей инфраструктуры, которую необходимо защищать. А далее, для более качественного детекта, применили не только стандартные технологии SIEM, но и предоставили более глубокую аналитику за счёт UEBA, Deception и обнаружения следов зловредных активностей, индикаторов компрометации в инфраструктуре. Весь процесс реагирования построили с использованием технологий SOAR.
Следующим шагом стало развитие процесса обогащения, а также выстраивание верхнеуровневого управления информационной безопасностью на базе риск-ориентированного подхода. Это позволило Заказчику не только установить приоритеты по внедрению тех или иным мер защиты, но и с помощью функциональности аудитов определить реальный уровень защищенности в организации на данный момент.
При этом на всех этапах реализации проекта мы проводили обучение команды Заказчика, которая на базе полученных знаний теперь сможет дальше развивать собственный SOC и, используя технологии Threat Intelligence, создавать собственную базу аналитики. В будущем Заказчик сможет использовать централизованный SOC для всех дочерних предприятий, применяя возможности экосистемы вплоть до конечных хостов и видя картину по всем предприятиям в одном окне.
В результате организация получила SOC, соответствующий лучшим мировым практикам, с предельно понятным планом дальнейшего развития в каждом из направлений – люди, технологии, процессы.
Расскажите, пожалуйста, подробнее, на чем базируется риск-ориентированный подход в ИБ?
Игорь Сметанев: Выстраивая процессы централизованного управления кибербезопасностью, Заказчик может принимать решения по реализации защитных мер интуитивно, исходя из общих соображений, например, опираясь на опыт других компаний – то есть без анализа экономической целесообразности и эффективности применяемых мер для своей организации. А может применить риск-ориентированную модель, иными словами более основательный подход, при котором решения о реализации мер защиты и совершенствовании процессов ИБ принимаются на основе оценки рисков. К этим рискам относят: утечку конфиденциальной информации, нарушение доступности критичных систем, наступление ИБ-инцидентов и тд. Чтобы оценить риски, надо посмотреть на ситуацию с учётом всех актуальных для организации нарушителей, а также слабых мест как инфраструктуры, так и организационных моментов с точки зрения ИБ (например, низкая осведомлённость персонала в вопросах киберзащиты).
В дальнейшем качественно выстроенный процесс риск-менеджмента позволяет Заказчику самостоятельно определять необходимый набор мер для снижения неприемлемых рисков. Кроме того, это помогает сэкономить бюджет, не тратя его впустую на защиту непрофильных направлений, систем или бизнес-процессов, а также обосновать выделение дополнительных ресурсов на защиту важных направлений деятельности организации.
Несмотря на то, что экосистема – это комплексное решение, мы, как вендор, подходим к решению задач Заказчика максимально индивидуально. Выстраивание процессов информационной безопасности в организации с помощью экосистемы R-Vision мы предлагаем начать со сбора инвентаризационной информации. Этот подход позволяет ИБ-специалистам впоследствии обогащать карточку инцидента ИТ-ландшафтом произошедшего события безопасности с учётом всех взаимосвязей ИТ-активов организации. Мы также предоставляем Заказчику инструменты для сбора другой необходимой для защиты информации: о самой компании и особенностях ее инфраструктуры, включая уязвимости, о потенциальных злоумышленниках и наиболее актуальных угрозах во «внешнем» мире, а также какие инструменты, тактики и техники могут применяться хакерами против организации.
Как будет развиваться дальше рынок ИБ, в частности каким вы видите развитие экосистемного подхода?
Игорь Сметанев: В первую очередь, развитие экосистем можно прогнозировать путем увеличения количества технологий, используемых вендорами в своей экосистеме, для решения еще большего количества задач Заказчика. Также возможна дальнейшая централизация экосистемы для управления большим набором функций. Параллельно с этим, скорее всего, будут и дальше развиваться professional services от вендоров или их партнеров на базе экосистемы. Но обязательным условием этого направления является наличие сильной команды с должным уровнем опыта и экспертизы.
Еще отмечу, что без обширной сети технологических партнерств производителям будет сложно решить полный комплекс задач Заказчика, поэтому еще одними важными вектором развития мне видится тесное технологическое взаимодействие вендоров между собой.