Режим Work-from-home, а точнее, work-from-anywhere внес корректировки в планы ИТ в первый же год пандемии COVID-19. Сейчас, спустя почти два года, большинство компаний уже реализовали проекты по организации таких базовых вещей, как грамотно выстроенный удаленный доступ или PAM решения, и фокус сместился на дальнейшее развитие ИБ в новом ландшафте угроз.
В России, как и во всем цифровом мире, набирают популярность решения, сопряженные с защитой гибридных инфраструктур. Проникновение облачных сервисов медленно, но верно растет в нашей стране, и вместе с ним — узкое горлышко точек анализа трафика и теневое ИТ. В контексте анализа циркуляции данных в облачных сервисах наибольший интерес сейчас направлен, пожалуй, на CASB решения, которые выполняют анализ обмена данными с SaaS/FaaS ресурсами, базовый контроль утечек данных и теневое ИТ.
Более глобальный тренд развития ИБ в гибридном формате ИТ — SASE методология. SASE включает в себя комплексное видение защиты трафика в разных пользовательских сценариях, при этом уводя от централизованного подхода с анализом данных на корпоративных шлюзах, убирая таким образом узкие места и потенциальные точки отказа сервисов ИБ. SASE включает в себя защиту трафика пользователь-Интернет, пользователь-облако, облако-облако и т.д. Реализации различными вендорами механически отличаются и зависят от базовых решений, уже существующих в портфеле. Но по функционалу ИБ зафиксирован основной набор, входящий в большинство реализаций: это SWG, CASB, Cloud Sandbox, IPS, DPI, L7 FWaaS, DLP, и главное — включение компонент Network-as-s-Service. В данном подходе ИБ уже выходит в коллаборацию с ИТ, а точнее с сетевыми функциям. Качество реализации функций ИБ неотделимо от качества реализации инфраструктуры, поэтому эти функции должны рассматриваться в коллаборации. Методология SASE — яркий пример такого сотрудничества: оптимизация маршрутизации, SD-WAN, гарантии и мониторинг сетевых сервисов соседствуют здесь с перечисленными функциями ИБ. Таким образом достигается оптимальность в работе сервиса и эффективно отрабатывается защита разных сценариев работы пользователей с информацией.
Фокусный вариант реализации SASE, безусловно, сервисный, когда фильтрация трафика происходит на уровне ЦОД вендора с множеством точек присутствия, в том числе в RU-сегменте. Но в целом концепция раскрывает разные варианты реализации однородности политик ИБ для разных сценариев работы пользователей с данными — как из офисов и филиалов, так и с мобильных устройств.
Еще один глобальный бизнес-тренд, который повлиял на цифровой контекст в последние годы — коллаборации. Рынок обогащается маркетплейсами, цифровые площадки расширяют предлагаемые услуги партнерскими сервисами, создавая таким образом дополнительную ценность для потребителя. Коллаборации проникают во многие сферы ИТ и это изменяет цифровой ландшафт, открывая больше каналов взаимодействия во вне и принося новые риски ИБ.
Такая цифровая трансформация требует более системного подхода к ИБ. Отсюда получают развитие практики DevSecOps, есть ощутимый прирост по проектам тестирования на проникновение и анализу защищенности. Это говорит об определенной зрелости ИБ-рынка. Компании приходят к пониманию, что просто «накрывая» конечный продукт «зонтом» из средств защиты они не получают желаемого уровня защищенности, и при этом превращают ИБ в гигантские статьи расходов для бизнеса. Куда более эффективно встраивать ИБ непосредственно в цифровые процессы и не менее важно повышать осведомленность сотрудников в вопросах ИБ. Человек по ту сторону монитора был, есть и будет наиболее уязвимой точкой цифрового мира.
Проекты по ИБ — это уже не просто внедрение и настройка средств защиты для выполнения их основных функций, а гораздо более качественная их интеграция со смежной инфраструктурой и процессами, системное повышение эффективности. Например, привычные NGFW шлюзы и другие сетевые и ИБ средства могут внедрятся с интеграцией процессов управления ими в DevOps среду. Это так называемый NetOps подход, т.е. вариант автоматизации управления сетевыми устройствами, при котором часть процессов приземляется в CI/CD инструменты. Таким образом повышается скорость выполнения задач уровня администрирования сетевого парка, а также качество их выполнения за счет снижения влияния человеческого фактора. Кроме того, значительно снижается эксплуатационная нагрузка на сетевых администраторов и соответственно операционные расходы.
Ввиду растущей неоднородности ИТ-ландшафта и роста прямых рисков для бизнеса от успешных кибератак, все большую ценность приобретает направление Security Operations — практик, посвященных мониторингу и быстрому обнаружению, оценке, реагированию и предотвращению угроз и инцидентов кибербезопасности, одним из ключевых элементов которых является непосредственно центр мониторинга событий или SOC. И если вариантов приземления функций SOC на сервис-провайдере или на собственных мощностях российский рынок сейчас предоставляет много, то вопрос их эффективного наполнения полезной информацией и анализируемыми событиями — все еще один из наиболее болезненных при внедрении ситуационного центра. Без проведения оценки и анализа рисков, причем это должен быть цикличный процесс, актуализации знаний о контролируемой инфраструктуре, актуальных угрозах, допустимой стоимости применяемых контрмер, выстроить эффективный и масштабируемый процесс управления инцидентами практически невозможно. Расширением ценностного предложения для Security Operations практик может стать коллаборация их с сервисами повышения защищённости по модели подписки (MSS) и страховыми гарантийными обязательствами на случай успешных кибератак.
Пандемия заставила рынок адаптироваться под новую реальность и тем самым послужила ощутимым драйвером для проникновения цифровизации даже в традиционно менее инновационные направления бизнеса. Толчок к росту получило и направление информационной безопасности, внедрив более зрелые подходы и повысив требования к качеству организации ИБ как комплексного и непрерывного процесса.