Александр Бондаренко, R-Vision: Об эволюции, моде, хайпе и вечных ценностях кибербезопасности

Александр Бондаренко: Первой компанией, в которую я устроился в 2004 году, была небезызвестная компания StarForce, которая занималась защитой компьютерных игр и других программ от нелегального копирования. Следующим местом стала Лаборатория Касперского, а потом не менее известная компания «ЛЕТА». В 2011 году я совместно с бизнес-партнерами основал компанию R-Vision, где я уже более 12 лет занимаю пост генерального директора. Получается, что в ИБ я уже почти 20 лет. Так что можно сказать, что многие изменения отрасли произошли на моих глазах.

Александр Бондаренко: Скажу, пожалуй, банальную вещь: ИБ-отрасль изменилась радикально. Можно даже сказать, что в ней произошла своего рода революция. Когда-то это была довольно закрытая сфера, о которой не так чтобы очень много было известно, а российских компаний, серьезно занимающихся созданием технологий безопасности, можно было пересчитать по пальцам двух рук.

Кибербезопасность в большей степени была связана с безопасностью кода: взломом ПО или написанием вредоносных программ, если говорить о темной стороне. При этом хакеры вообще воспринимались, скорее, как мифические персонажи из фильмов и книг.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 298.7 т

Если говорить о сегодняшнем дне, то отрасль сильно эволюционировала во всех направлениях. Во-первых, появилось множество коммерческих компаний, в том числе стартапов, которые создают различные решения в области информационной безопасности. И если 20 лет назад, посетив одну из немногочисленных конференций ИБ, можно было увидеть в большинстве своем только стенды дистрибьюторов и интеграторов, на которых вам бы рекламировали какие-то зарубежные продукты или консалтинговые услуги, то сейчас львиной долей экспонентов на конференциях являются разработчики, представляющие свои собственные продукты. Я считаю, что это яркий маркер изменений, происходящих на рынке информационной безопасности сегодня. Да, текущего количества ИБ-компаний все еще, по моему мнению, недостаточно, чтобы тягаться с Западом, но все же в России, в отличие от многих других стран, есть возможность обеспечивать технологический суверенитет в ИБ. И это здорово.

Во-вторых, в настоящее время в отрасли происходит ряд других значимых изменений: создается огромное количество профессионального контента, появилось множество действительно высококлассных специалистов. Кроме того, все больше молодежи отдает предпочтение профессии ИБ. Кибербезопасность воспринимается как важная составляющая комплексной безопасности любой серьезной компании и в целом страны. А это значительно поднимает престиж сферы ИБ.

В-третьих, в отрасли появилось очень много прикладного опыта. Это видно по тем проектам и продуктам, которые презентуют на крупных отраслевых конференциях. Накоплен серьезный опыт, что называется, и в нападении, и в защите. Проходят киберучения, расширяется практика различных CTF-соревнований, увеличивается количество учебных учреждений, в которых готовят ИБ-специалистов. Термин "бумажная безопасность" все еще с нами, но все больше уходит в историю. И мне есть с чем сравнить. Помимо России, наша компания имеет клиентов и в других странах. Мы также активно анализируем рынки ИБ в странах Ближнего Востока и Юго-восточной Азии. И надо сказать, что в результате этой работы отчетливо видно превосходство российской ИБ-отрасли с точки зрения зрелости и опыта по сравнению с многими другими странами.

Александр Бондаренко: Достаточно ярким трендом, меняющим отрасль, является фокус на снижение последствий от возможных кибератак. Все уже смирились с тем, что предотвратить атаки практически невозможно, и стали вкладывать усилия в "прокачку" возможностей по оперативному выявлению и купированию атак и их последствий. По этой причине и развивается тематика SOC-ов, растет спрос услуг MSSP-провайдеров и потребность в автоматизации кибербезопасности.

Второй сильный и долгосрочный тренд – переход от автономных систем защиты к интегрированным комплексам от одного или нескольких производителей. Следовательно, появляются запросы на наличие функционального API у продуктов, а также на широкие возможности по интеграции решения с другими продуктами широко распространенных производителей. Кроме этого, возникает потребность и на практику DevSecOps, которая предполагает собственную разработку определенных инструментов и систем, решающих специфические задачи конкретной компании.

Третьим важным трендом я бы назвал запрос на "машинную экспертизу". Речь идет про замену человека определенными алгоритмами, начиная от простых плейбуков и заканчивая сложными системами, построенными на принципах машинного обучения. Знаний в кибербезопасности становится все больше, а это значит, что их "хранение" в головах конкретных экспертов становится все менее эффективным, поскольку это плохо масштабируется. Таким образом, в будущем обработка и применение знаний и данных будет неизбежно сопровождаться машинными алгоритмами наравне с реальными людьми.

Александр Бондаренко: Он, безусловно, есть, но надо сказать, что "хайп", на самом деле, как правило, лишь предвестник каких-то трендов, которые могут в перспективе стать мейнстримом. Несколько лет назад, например, очень активно муссировалась тема с не очень звучным для русского уха названием UEBA (User and Entity Behavior Analytics). Проходили специализированные митапы и конференции, на которых серьезно обсуждалась практика применения систем данного класса, хотя самих решений в то время было крайне мало, а реальных примеров использования еще меньше. Хайп закончился, но потребность все же закрепилась, и уже сейчас мы констатируем рост серьезной заинтересованности в использовании подобных решений для выявления сложных атак, которые не детектируются классическими системами мониторинга логов.

Есть и другой пример: еще буквально 1,5-2 года назад и в России, и за рубежом было много «хайпа» вокруг термина XDR (Extended Detection and Response), что, по сути, отражает все ту же потребность в комплексных интегрированных решениях. Сейчас мы видим, что шум вокруг этих решений снизился, но выльется ли их применение в стабильную потребность, пока не понятно. Быть может, это станет примером пустого "хайпа". Время покажет.

Из всего этого, пожалуй, можно сделать один основной вывод: не стоит гнаться за модными увлечениями и хвататься за все, о чем только начинают говорить. Действительно стоящие темы выдерживают проверку временем и, если после разговоров вы видите все больше примеров успешного применения той или иной технологии, то это однозначно заслуживает вашего внимания.

Александр Бондаренко: Хороший вопрос. С одной стороны, да, сейчас все говорят об этом. И даже те разработчики, у которых есть пара-тройка слабоинтегрированных между собой продуктов, заявляют, что они тоже создают экосистему решений. На это сейчас есть спрос, об этом все говорят, а значит, будут и те, кто просто будет "хайповать" на теме, не имея ничего за словами. С другой стороны, на рынке существует серьезный тренд (еще один в список тех, что я уже назвал), направленный на так называемую "консолидацию" решений. Многих заказчиков уже больше не устраивает история с зоопарком различных ИБ-продуктов, хочется иметь более управляемые и тесно интегрированные системы, способные решать комплексные задачи. Да и с точки зрения обслуживания работа с продуктами десятка производителей создает дополнительные издержки, как финансовые, так и кадровые, от которых многим хочется избавиться. Так что в этом смысле это не "хайп", а четкая потребность, на которую производители стараются дать ответ в виде комплексного портфеля продуктов. Той самой "экосистемы вендора".

При этом важно понимать, что заказчик хочет не саму экосистему, он хочет оптимальное решение своих задач. И только производитель, способный предоставить комплексный портфель технологий, тесно интегрированных и, образующих ту самую экосистему, может максимально эффективно решить эту задачу клиента. Таких производителей на российском рынке не так уж и много. Мы оцениваем, что по итогу действительно стоящих «экосистем» будет в пределах 3-5 штук. Все остальные предложения, возможно, будут лишь называться таковыми.

Александр Бондаренко: Безусловно, есть. Тут есть опасность уйти в крайности. Закупка всех технологий от одного "экосистемного" производителя решает определенные проблемы с точки зрения снижения издержек, но создает другие риски, такие как "вендор лок" (vendor lock), то есть зависимость от конкретного производителя, его планов и ресурсов. Кроме того, старая добрая идея эшелонированной защиты по-прежнему актуальна.

Таким образом, наиболее разумной и менее рискованной стратегией будет использование технологий нескольких производителей, то есть применение для защиты инфраструктуры продуктов разных экосистем. Это позволит не только создавать разные рубежи обороны, но и держать производителей в тонусе, то есть заставит их по-прежнему конкурировать за результат у клиента.

Александр Бондаренко: Мне кажется, что опыт прошедших лет показывает: все повторяется просто на новом уровне или в каком-то другом контексте. Важно отметить, что "старые" вопросы и потребности никуда не делись. Мы по-прежнему защищаем конечные узлы, пусть даже сейчас они все больше виртуализируются, превращаются в контейнеры, усложняя ландшафт, но не теряя актуальности. Вновь болезненно актуальным становится вопрос обновления и устранения уязвимостей программного обеспечения. И если раньше многие довольствовались просто сканером, то теперь есть потребность в полноценных системах управления уязвимостями (VM), которые автоматизируют весь процесс от обнаружения до проверки устранения. В текущих российских реалиях это накладывается еще и на процессы глобальной перестройки многих инфраструктур в связи отказом в поддержке и поставке новых технологий западными производителями. Это значит, что нас ждет массовый переход на системы, созданные на базе Linux, российские разработки и "опенсорс".

Помимо этого, активно развиваются решения в области мониторинга безопасности. И речь не только и не столько о системах сбора и анализа логов, хотя и в них по-прежнему есть огромная потребность, и необходимый уровень зрелости еще не достигнут. Но также и применение данных киберразведки, машинного обучения, технологий имитации инфраструктуры (Deception).

Резюмируя, я бы не ждал в ближайшие годы каких-то радикальных изменений "правил игры" в отрасли, скорее развитие и повышение зрелости в тех областях, которые уже сейчас очевидны и, что называется, "болят" у всех.

Александр Бондаренко: Я не сторонник апокалипсических сценариев о технологическом "железном занавесе". Думаю, что мы продолжим идти в русле глобальных мировых трендов, но все же с более выраженной локальной спецификой. Речь и об изменении стека ИТ, о чем я уже говорил ранее, и история про ориентацию на облака. Многие иностранные ИБ-решения изначально несут в себе концепцию работы "из облака" как наиболее востребованную на западном рынке. Я не думаю, что в ближайшей перспективе в России это будет как-то востребовано. Крупные компании продолжат строить "гибридную" безопасность, когда наиболее критичные системы и элементы управления будут находится под собственным контролем и только менее критичные функции, процессы и данные будут передаваться в какие-то внешние облака. А на нашем рынке именно крупные компании во многом определяют то, куда развивается отрасль, в силу того, что они являются держателями бюджета.

Александр Бондаренко: Мы планируем и дальше расширять линейку наших технологий, планомерно выстраивая ту самую комплексную ИБ-экосистему. В этом году мы дополним R-Vision EVO - нашу экосистему технологий для эволюции SOC – новыми технологиями R-Vision SIEM и R-Vision VM. Эти решения - не из самых "хайповых" сфер ИБ. Но, тем не менее, они однозначно будут востребованы на рынке, поскольку мы видим много проблем, с которыми по-прежнему сталкиваются заказчики, а также понимаем, как подход R-Vision к их решению может помочь всем, кто выстраивает комплексный подход к обеспечению кибербезопасности организации.

Сейчас мы актуализируем свою стратегию на ближайшие 3 года, также есть дальнейшие планы по тому, где наш опыт и экспертиза могут быть ценны отрасли и нашим клиентам. Обо всем этом мы планируем рассказать на нашей конференции R-Evolution Conf, которая пройдет 28 сентября в Москве. Пользуясь случаем хочу пригласить ваших читателей на это мероприятие, которое пройдет как в офлайн, так и онлайн формате.