15 марта, 2018, BIS Journal №1(28)/2018

Аналитика особого назначения


Палей Лев

эксперт по информационной безопасности

Как узнать, куда движется рынок средств защиты?

Сейчас на слуху UEBA (User and Entity Behavior Analitics, если кратко — пользовательская аналитика) — транскрипция на русском, при плохом произношении, неблагозвучная, но слышно про нее из каждого «утюга» на каждом профильном мероприятии. По аналогии с раскрученной UEBA предлагаю назвать процесс анализа поведения компаний-производителей решений информационной безопасности — Vendor Behavior Analitics (VBA). К чему это?

Одна из сторон деятельности ИБ — выбор подходящего средства защиты, а в случае с распределенными, централизованно управляемыми компаниями ещё и архитектурно-экономическое моделирование будущей комплексной системы обеспечения ИБ. По сути этот процесс анализа можно обозвать анализом рынка, но с учётом геополитической ситуации, критериев становится на порядок больше. Как минимум: функциональность решения, цена, страна-производитель (теперь идет как повышающий приоритет для выбираемого решения, а при решении задач обеспечения соответствия, как определяющий), соответствие задачам (насколько маркетинговый анонс соответствует текущей постановке задачи), надежность решения/качество.

РАЗУМНОСТЬ ВЛОЖЕНИЙ

Выбор можно осуществлять на основе известной управленческой методики под названием «домик качества», но вот «задел на будущее» сложнее. Как определить, что именно тот вендор, будет развиваться и поставлять нужные компании функции? Простого ответа нет, но согласитесь, полезно понимать куда идёт рынок. Основная идея прозрачна — для того, чтобы определить перспективное решение, необходимо понимать основные угрозы, как актуальные на текущий момент для вашей компании, так и возможные будущие. Один из способов определения будущих угроз — проведение оценки набирающих популярность на мировом рынке направлений, потому как если и учится, то у столпов. И здесь ориентировку на популярность, с учетом базового понимания механизма принятия решений самими компаниями-производителями, коротко можно объяснить разумностью вложений. Схематично получается так:

Любая глобальная компания (примеры будут ниже), которая в значительной степени зависит от продажи решений для информационной безопасности ориентируется на потребности своего рынка.
От того насколько широко покрытие рынка (в мировом масштабе) продуктами, варьируется количество запросов на потребности от заказчиков, а значит и степень проработки сценариев использования.
Сценарии зависят от локальных потребностей, обусловленных законодательством, менталитетом и другими критериями.
На основе известных сценариев, данных об их количестве формируются инициативы по расширению, модернизации продуктовой линейки. Инициативы проходят процесс обоснования, прорабатываются и оцениваются с учетом актуальных угроз и перспективной прибыли получаемой компанией-производителем.

ПОЧЕМУ НЕ ИСПОЛЬЗОВАТЬ «AS IS»?

Наличие и объем такой информации дает пищу для последующей аналитики и принятия решения о выборе направлений развития. Почему не использовать уже проведенную другими работу на благо своей компании по принципу «как есть»? Во-первых, как говорил известный «сериальный» доктор — «все врут» (или немного приукрашивают). Поэтому прямой звонок в маркетингово-продажный отдел не приведёт к успеху. Во-вторых, для приземления чужого опыта нужно понять, в чем разница между исходными данными. И вот тут уже «полный VBA» — нужно просеять известные действия, отделить свидетельства здоровья компании от активностей, направленных на создание/адаптацию решений для предотвращения новых угроз, попробовать понять логику принятия решений.

БАЗОВЫЕ ПРИМЕРЫ

Попробую выделить основные направления развития компаний-производителей и подкрепить их известной информацией:

Разделение бизнеса ИТ и ИБ. Яркий пример — продажа 21.06.2016 компанией Dell инвестиционной фирме Francisco Partners и хедж-фондом Elliott Management Corporation своего подразделения Dell Software Group, которое занималось и информационной безопасностью, в частности, развивая решения ранее приобретенных Qwest и SonicWALL. Более показательные и известные примеры: 7.09.2017 Intel продала компанию McAfee инвестиционному фонду TPG Capital за сумму меньшую, чем компания была приобретена ранее. HPE в свою очередь 1-го сентября объявила о слиянии c британской компанией Micro Focus своего подразделения по разработке ПО (как и в случае Dell внутри подразделения прорабатывались решения по ИБ). Что характерно для обоих случаев, ИБ-ориентированный бизнес был приобретён в конце 2000-х годов, произведены попытки интеграции новых подразделений в существующую организационную структуру компаний. Во всех случаях в результате попытки унификации операционных процессов привели к закрытию ряда продуктовых направлений, в частности Intel сделала шаг в сторону от устоявшейся стратегии McAfee по развитию собственной продуктовой экосистемы, закрыв направления, не представленные в Gartner (McAfee Email Gateway и Vulnerability Management).
Западный тренд «все в облако». Ещё раз упомяну McAfee, которая в ноябре 2017 закрыла сделку по приобретению одного из лидеров решений класса CASB, компании SkyHigh. Компания Landesk в 2016-м году прикупила ещё одного облачного игрока — Appsense. Вкупе с движением Microsoft в сторону предоставления облачных сервисов и уходом изрядной части функциональности решений по выявлению уязвимостей известных производителей (Quails, Nexus и пр.) в облако, одноименный тренд становится очевидным.
Поведенческая аналитика, искусственный интеллект, наращивание сервисной составляющей и карты интеграций. На первый взгляд пункт смешивает все мыслимое и несвязанное. Но эти понятия всегда означают системную проработку вопросов реагирования на инциденты ИБ и говорят либо о разработке SOC-связанного продукта, либо о подготовке к оказанию «SOChных» услуг. К примеру, Juniper в августе приобрела Cyphort, ещё одного производителя решений класса «Sandbox» (или по-простому — песочниц), став таким образом в один ряд с Fortinet (который в июне 2016-го года приобрёл AccelOps), уже обладавшим таким решением в своей линейке продуктов, и Palo Alto (купившей LightCyber, специализирующейся на поведенческой аналитике в марте 2017-го). Помня про IBM, которая продвигает идею искусственного интеллекта (в том числе и в информационной безопасности) на базе IBM Watson, нельзя забыть про приобретение этой же компанией в 2016-м году Resilient System известной своей платформой управления инцидентами и предоставляемыми сервисами. Ещё один гигант, смотрящий в сторону искусственного интеллекта, ориентированного на информационную безопасность, — Microsoft, в июне 2017-го поглотившая стартап Hexadite.

ПАРА АНАЛОГИЙ

И это только самые известные примеры. Из выделенных направлений уже можно делать выводы, которые, конечно могут быть субъективными и частично спорными. И чтобы логическая цепочка была более полной, предлагаю рассмотреть ещё один общий тренд (более технический) — абстрагирование от аппаратного уровня при создании ряда решений обеспечения ИБ. Как пример можно привести набирающую популярность аббревиатуру SDN (Software Defined Networking), которая напрямую не относится к защите информации, но зачастую упоминается в связке с процессами автоматизации применения политик безопасности при создании управляемых сетей (особенно активно этим понятием пользуется VMWare при продвижении своего решения NSX). Здесь самой близкой ИБ аналогией являются устройства класса NGFW, которые изначально позиционировались как комбайны предоставляющие из коробки разные сервисы (IPS, FW, Web-filter), включаемые «под заказ» потребителя, после оплаты определенной расширяющей лицензии. Первыми компаниями, предлагающими такие комбайны, стали уже упомянутые Palo Alto Networks и Check Point, а сейчас классических устройств почти не осталось — даже адепт надежного подхода компания Cisco отказалась от развития линейки ASA в принятой ранее модели и уходит на аналогичную модульную платформу Firepower (разработанную по итогам слияния с Sourcefire). Чем похожи SDN и NGFW? Уходом от восприятия «устройство-задача», переносом модульности на программный уровень и ослаблением привязки к аппаратной составляющей.

НИША ДЛЯ СПЕЦАНАЛИТИКИ

И если здесь вспомнить про тренд отделения софтверных бизнесов от аппаратных (п.1), прослеживается связь и сходство. П.2 говорит об устойчивом перемещении аналитической части ИБ в облако, а также популяризации сервисов обеспечения защиты облачных приложений. П.3 говорит о рождении пока не настолько понятной, но усиленно развивающейся ниши искусственноинтеллектуальной-поведенческой аналитики, практически всегда сопровождающейся развитой экосистемой взаимноинтегрированных продуктов (IBM, Microfocus/HPE, McAfee, Fortinet), либо имеющих в основе платформы обработки больших данных (SIEM), либо ориентированных на интеграцию с широким спектром систем такого класса.

ЛОГИЧЕСКАЯ ЦЕПОЧКА

Прослеживается интересная цепочка, в которой постепенное движение от аппаратной составляющей и программного обеспечения к полному абстрагированию от решений, платформ и функций выглядит следующим образом:

Под каждую задачу самостоятельная аппаратная и программная платформа, отсутствие интеграции;
Интеграция смежных решений, создание собственных экосистем компаниями;
Активное использование и продвижение открытых стандартов, API — обязательный компонент, открытость для внешних экосистем;
Работа с большими данными, управление компонентами систем защиты других производителей, разделения на нишевых и глобальных игроков, абстрагирование от парадигмы развития одна-задача-одна-коробка;
Ориентировка на автоматизацию первичной аналитики, отделение программных платформ от аппаратных составляющих, «fly-to-the-sky», рождение искусственного интеллекта.

ПОЛЕЗНА ЛИ VBA?

Можно представить следующий пункт в таком виде: сервис, предоставляемый искусственным интеллектом на базе облачной платформы. Если не считать такую аналитику просто развлечением и футуристическими фантазиями, учитывая все вышеописанное, чем может быть полезна VBA компании? Предлагаю посмотреть с нескольких точек зрения:

В разрезе архитектурной составляющей и планирования расходов: не имеет смысла закупать или расширять продуктовую линейку, снятую или готовящуюся к снятию с продаж. Стоит синхронизировать планы с общими направлениями развития.
Если вы интегратор или ИТ-ориентированная компания: многое из перечисленного выше — ваш хлеб, а значит, громкое внедрение или инновационный продукт, учитывающий общие тенденции развития, могут повысить вашу капитализацию.
Если у вашей компании высокая зрелость процессов ИТ и ИБ, вы задумываетесь о выполнении KPI, оптимизации затрат и трудоресурсов в долгосрочной перспективе.

Как бы ни была надумана сама аббревиатура, основание под ней крепкое — с помощью даже такой базовой аналитики можно получить представление как о направлениях развития гигантов индустрии, так и об актуальных угрозах, на нейтрализацию которых ориентирована основная часть заказчиков таких решений

***

Простые выводы, которые можно сделать по опубликованным данным, приводят к мыслям о реальной динамике применения изменений, ведь то, что находится на вершине айсберга, не позволяет представить ни объем, ни основные составляющие двигателей прогресса.