Режим Work-from-home, а точнее work-from-anywhere, внес корректировки в планы ИТ в первый же год пандемии COVID-19. Сейчас, спустя почти два года, большинство компаний уже реализовало проекты по организации таких базовых вещей, как грамотно выстроенный удаленный доступ или PAM-решения, и фокус сместился на дальнейшее развитие ИБ в новом ландшафте угроз.
В России, как и во всем цифровом мире, набирают популярность решения, сопряженные с защитой гибридных инфраструктур. Проникновение облачных сервисов медленно, но верно растет в нашей стране, и вместе с ним — узкое горлышко точек анализа трафика и теневое ИТ. В контексте анализа циркуляции данных в облачных сервисах наибольший интерес сейчас направлен, пожалуй, на CASB-решения, которые выполняют анализ обмена данными с SaaS/FaaS-ресурсами, базовый контроль утечек данных и теневого ИТ.
Более глобальный тренд развития ИБ в гибридном формате ИТ — SASE-методология, SASE включает комплексное видение защиты трафика в разных пользовательских сценариях, при этом уводя от централизованного подхода с анализом данных на корпоративных шлюзах, убирая таким образом узкие места и потенциальные точки отказа сервисов ИБ. SASE предусматривает защиту трафика «пользователь-Интернет», «пользователь-облако», «облако-облако» и т. д. Реализации, выполненные различными вендорами, механически различаются и зависят от базовых решений, уже существующих в портфеле. Но по функционалу ИБ зафиксирован основной набор, входящий в большинство реализаций: это SWG, CASB, Cloud Sandbox, IPS, DPI, L7 FWaaS, DLP, и главное — включение компонента Network-as-s-Service. В данном подходе ИБ уже начинает коллаборацию с ИТ, а точнее с сетевыми функциям. Качество реализации функций ИБ неотделимо от качества реализации инфраструктуры, поэтому такие функции должны рассматриваться в коллаборации. Методология SASE — яркий пример такого сотрудничества: оптимизация маршрутизации, SD-WAN, гарантии и мониторинг сетевых сервисов соседствуют здесь с перечисленными функциями ИБ. Таким образом достигается оптимальность в работе сервиса, и эффективно отрабатывается защита разных сценариев работы пользователей с информацией.
Фокусный вариант реализации SASE, безусловно, сервисный, когда фильтрация трафика происходит на уровне ЦОДа вендора с множеством точек присутствия, в том числе в RU-сегменте. Но в целом концепция раскрывает разные варианты реализации однородности политик ИБ для разных сценариев работы пользователей с данными — как из офисов и филиалов, так и с мобильных устройств.
Еще один глобальный бизнес-тренд, который повлиял на цифровой контекст в последние годы, — коллаборации. Рынок обогащается маркетплейсами, цифровые площадки расширяют предлагаемые услуги партнерскими сервисами, создавая таким образом дополнительную ценность для потребителя. Коллаборации проникают во многие сферы ИТ, и это изменяет цифровой ландшафт, открывая больше каналов для внешнего взаимодействия и принося новые риски ИБ.
Такая цифровая трансформация требует более системного подхода к ИБ. Отсюда получают развитие практики DevSecOps, есть ощутимый прирост по проектам тестирования по проникновению и анализу защищенности. Это говорит об определенной зрелости ИБ-рынка. Компании приходят к пониманию, что, просто «накрывая» конечный продукт «зонтом» из средств защиты, они не получают желаемого уровня защищенности, и при этом превращают ИБ в гигантские статьи расходов для бизнеса. Куда более эффективно встраивать ИБ непосредственно в цифровые процессы и не менее важно повышать осведомленность сотрудников в вопросах ИБ. Человек по ту сторону монитора был, есть и будет наиболее уязвимой точкой цифрового мира.
Проекты по ИБ — это уже не просто внедрение и настройка средств защиты для выполнения их основных функций, а гораздо более качественная их интеграция со смежной инфраструктурой и процессами, системное повышение эффективности. Например, привычные NGFW-шлюзы и другие сетевые и ИБ-средства могут внедрятся с интеграцией процессов управления ими в DevOps-среду. Это так называемый NetOps-подход, то есть вариант автоматизации управления сетевыми устройствами, при котором часть процессов «приземляется» в CI/CD-инструменты. Соответственно, повышается скорость выполнения задач уровня администрирования сетевого парка, а также качество их выполнения за счет снижения влияния человеческого фактора. Кроме того, значительно сокращается эксплуатационная нагрузка на сетевых администраторов, а значит, и операционные расходы.
Ввиду увеличивающейся неоднородности ИТ-ландшафта и роста прямых рисков для бизнеса от успешных кибератак, все большую ценность приобретает направление Security Operations — практик, посвященных мониторингу и быстрому обнаружению, оценке, реагированию и предотвращению угроз и инцидентов кибербезопасности, одним из ключевых элементов которых является непосредственно центр мониторинга событий, или SOC. И если вариантов приземления функций SOC на сервис-провайдере или на собственных мощностях сегодня много на российском рынке, то вопрос их эффективного наполнения полезной информацией и анализируемыми событиями остается одним из наиболее болезненных при внедрении ситуационного центра. Без проведения оценки и анализа рисков (причем это должен быть цикличный процесс), актуализации знаний о контролируемой инфраструктуре, актуальных угрозах, допустимой стоимости применяемых контрмер, выстроить эффективный и масштабируемый процесс управления инцидентами практически невозможно. Расширением ценностного предложения для практик Security Operations может стать их коллаборация с сервисами повышения защищенности по модели подписки (MSS) и страховыми гарантийными обязательствами на случай успешных кибератак.
Пандемия заставила рынок адаптироваться к новой реальности и тем самым послужила ощутимым драйвером для проникновения цифровизации даже в традиционно менее инновационные направления бизнеса. Толчок к росту получило и направление информационной безопасности, внедрив более зрелые подходы и повысив требования к качеству организации ИБ как комплексного и непрерывного процесса.