11.5.17

Обзор московского семинара Gartner по ИБ (часть 1)

Между майскими праздниками тихо и без помпы прошло одно из тех редких в Москве мероприятий, которые стоят того, чтобы утверждать, что рынок ИБ-мероприятий еще не до конца потерян и у него есть перспектива; разумеется при соблюдении ряда условий, одним из которых является правильный контент и докладчик. В Москве прошла непубличное мероприятие Gartner, на котором Антон Чувакин выступал с двумя связанными темами:
  • cybersecurity advanced analytics (почему название на английском, я напишу чуть ниже)
  • особенности построения SOCов.


Первая тема официально звучала как "Последнее слово техники в сфере Аналитики Безопасности", а по-английски - "State of the Art of Security Analytics". Вообще фраза "последнее слово" на русском имеет несколько смыслов (от криминального до ритуального) и этот казус хорошо отражает вообще проблему с терминологией в ИБ. Об этом Антон говорил в обоих презентациях, специально огорившись, что переводить на русский "security analytics", "big data", "machine learning", UEBA, SOC, "operations", "management", "threat intelligence", "orchestration", "engineering", "workflow" он не будет, так как получится полный бред. В этом плане английские емкие термины гораздо лучше, чем громоздкие русские переводы.

--- лирическое отступление 1 ---

Использование английских терминов и подготовка презентаций целиком на английском языке для русскоязычной аудитории - это две большие разницы. Первое я допускаю и сам регулярно использую. Второе считаю неверным, если не сказать больше.

--- конец лирического отступления 1 ---

Ключевая идея первого доклада Антона заключалась (в моем понимании и изложении), что сегодня дискретных правил (шаблонов/сигнатур) и базового матстата для работы систем ИБ уже явно недостаточно и нужно то, что называется security analytics. При этом мы не должны ограничиваться только событиями ИБ, которые нам отдают МСЭ, IDS, антивирусы и т.п., а брать все, что будет полезно для принятия решений - данные из HR, СЭБ, видеонаблюдение и т.п. Ровно то, о чем я говорил в прошлом сентябре на "Коде ИБ" в Челябинске.


Соответственно все эти данные уже не могут быть обработаны как раньше и для обнаружения необнаруживаемого (я про это говорил на Коде ИБ в Нижнем Новгороде, а потом стал эту тему активно использовать) нужны "продвинутые" средства аналитики.

--- лирическое отступление 2 ---

Gartner у российских безопасников часто ассоциируется с магическими квадратами, что не есть верно. У Gartner есть замечательный сервис GTP, который позволяет приобщиться к мировой аналитике (по ИБ в данном контексте) и получить обезличенные данные об опыте применения тех или иных технологий или, даже, продуктов. В этом, на мой взгляд, и есть сила Gartner, который аккумулирует у себя мировой опыт (преимущественно по крупным заказчикам), которым он и делится в своих материалах и консультациях.

--- конец лирического отступления 2 ---

При этом Антон сделал несколько важных замечаний относительно технологий аналитики ИБ:

  • Эффективность технологий ИБ-аналитики зависит в первую очередь не от алгоритмов, а от данных, которые на них подаются. Gartner пока не нашел доказательств, что один алгоритм анализа неструктурированной информации дает лучший эффект, чем другой.
  • Эффективность технологий ИБ-аналитики может меняться от компании к компании - у одних взлетает, у других - нет.
  • Для работы технологий ИБ-аналикити, которые якобы "сокращают" число дорогих специалистов по ИБ, часто может понадобиться еще более дорогой специалист по прикладной математике (сдуть пыль что-ли со своего диплома по примату?..), которых на рынке просто нет (какую бы зарплату им не предлагали). Нужно комбинировать (воспитывать) аналитиков ИБ и аналитиков данных.
  • Если подождать пару-тройку лет, то многие методы с приставкой "advanced" войдут в традиционные продукты, те же SIEMы. Но тут стоит добавить, что до России с ее курсом на изоляционизм и вышибание иностранных игроков с рынка (а большинство технологий к нам все-таки приходит оттуда) этот прогноз может и не сбыться вовсе.


  •  Gartner советует присмотреться к 4-м направлениям технологий ИБ-аналитики, от которых может быть толк (с учетом всего вышесказанного):
    • UEBA (user entity behavior analytics) - анализ поведения пользователей и иных сущностей
    • CASB (cloud access security broker) - контроль происходящего в чужих облачных средах
    • EDR (endpoint detection & response) - защита ПК следующего поколения
    • NTA (network traffic analytics) - анализ сетевого трафика на предмет аномалий (это эволюция NBAD) и т.п.


  • Многие продукты по ИБ-аналитике сегодня не работают без сопутствующих услуг, что плохо и Gartner считает, что они гораздо хуже, чем продукт, который работает хуже, но из коробки. Причин тут несколько - и высокая цена, и зависимость от вендора, и неоправданные ожидания, и чувство ложной защищенности.
Но в целом Антон, подводя итоги своей первой презентации, полный вариант которой будет читаться на ближайшем Gartner Security & Risk Management Summit в США, сказал, что пока клиенты мало понимают, как работает аналитика ИБ (да и сами вендоры не всегда это понимают) и берут ее для улучшения своего текущего положения в ИБ, надеясь на нее как некую "кремлевскую таблетку".

Во второй части я расскажу про следующий доклад Антона Чувакина про SOCи...