Как будут развиваться российские ИБ-экосистемы
Российский рынок ИБ растет благодаря массовому импортозамещению зарубежных продуктов на отечественные аналоги. Однако, это может привести к формированию «зоопарка» ИБ-решений, который создаст лишь иллюзию защищенности, не способствуя реальному улучшению киберустойчивости бизнеса. В такой ситуации логично задуматься о целесообразности использования экосистемы взаимосвязанных ИБ-решений от одного крупного вендора, которая сможет заменить сразу несколько устаревших СЗИ, особенно на этапе кардинальной перестройки инфраструктуры, например, при реализации проекта по импортозамещению. О том, какие экосистемы представлены на российском рынке, и о направлениях их развития можно прочитать в этой статье.
Главные итоги 2023 года
Рост числа и опасности кибератак, усложнение ИТ-ландшафта, дефицит кадров, интенсивное импортозамещение и растущие законодательные требования остаются основными драйверами развития отечественной отрасли кибербезопасности в 2024 г. В сложившейся ситуации существенно растет рынок ИБ в России: по данным аналитиков, по итогам 2023 г. он может вырасти на 15-20% по сравнению с 2022 г. до ₽244–254 млрд. Напомним, что в 2022 г. российский рынок ИБ вырос на 10% год к году.
Столь значительный рост обусловлен, в значительной мере, импортозамещением решений от западных вендоров, которые ушли из РФ в 2022 г., оставив отечественные компании без защиты в момент роста числа кибератак. Очевидно, что зрелые российские производители постарались использовать образовавшееся окно возможностей для расширения бизнеса. Одновременно как грибы после дождя появлялись ИБ-стартапы — по некоторым данным, только за 6 первых месяцев 2023 г. их число удвоилось по сравнению с 2022 г.
Таким образом, на российском рынке ИБ сформировалось несколько интересных тенденций:
- Появление и развитие нишевых ИБ-игроков и стартапов в области кибербезопасности, которые справедливо пользуются текущими условиями и предлагают решения, ранее выпускавшиеся только зарубежными вендорами.
- Поглощение крупными игроками небольших производителей, в результате чего происходит консолидация отечественного рынка вокруг ИБ-гигантов и возникает риск его монополизации.
- Технологические партнерства и объединения различных вендоров, которые взаимно усиливают свои позиции за счет подтверждения технологической совместимости своих продуктов, их эффективного взаимодействия и формирования новых предложений для заказчиков.
- Формирование крупными российскими игроками собственных ИБ-экосистем за счет расширения функционала своей линейки решений и реализации эффективного кросс-продуктового взаимодействия для достижения синергетического эффекта.
Курс на консолидацию средств защиты
Зарубежные аналитические отчеты говорят о растущей потребности в консолидации средств защиты. Так, опрос Gartner еще в 2022 г. показал, что 75% компаний стремились к консолидации решений от ИБ-вендоров, при этом 65% организаций используют такую консолидацию для снижения киберрисков.
В зарубежных компаниях эксплуатируется несколько десятков различных ИБ-решений, а для реагирования на киберинциденты используется почти два десятка инструментов, что усложняет процессы ИБ и приводит к парадоксальному результату: большое количество СЗИ дает лишь иллюзию защищенности, не способствуя реальному улучшению киберустойчивости бизнеса. И в небольших внутрикорпоративных группах по реагированию на инциденты ИБ, и в крупных SOC-центрах необходимость использования «зоопарка» ИБ-инструментов в момент активной фазы опасной кибератаки приводит к замедлению реагирования, излишней нагрузке на операторов и аналитиков, ошибкам и просчетам. Логичным выходом из сложившейся ситуации становится принятие решения о консолидации вендоров и продуктов. Однако оно не лишено как достоинств, так и недостатков.
Достоинства:
- Повышение видимости и контролируемости инфраструктуры за счет взаимного дополнения функционала консолидированных решений.
- Устранение несовместимости СЗИ от разных производителей, особенно в endpoint-решениях.
- Простота взаимной интеграции, предустановленные настройки для интеграции.
- Снижение числа ложноположительных срабатываний, преднастроенная корреляция событий и возможности по активному реагированию на инциденты силами решений от одного вендора в единой консоли.
- Снижение нагрузки на ИБ-специалистов и требований к кандидатам благодаря сужению стека ИБ-технологий и отказу от использования узкоспециализированных, редких или устаревших решений.
- Снижения уровня киберриска атак на цепочки поставок благодаря уменьшению количества вендоров, от которых зависит инфраструктура компании.
- Упрощение технического администрирования решений за счет управления целостными и взаимосвязанными настройками в единой консоли управления и оптимизации получения технической поддержки от вендора.
- Упрощение юридического и финансового администрирования решений благодаря снижению количества контрагентов и контактных лиц.
- Снижение совокупной стоимости владения и затрат на поддержку и обновление решений, получение специальных предложений на сопутствующие продукты и услуги от вендора.
Недостатки:
- Отсутствие поддержки специфических сетевых протоколов, типов данных, бизнес-приложений, сценариев работы, которые поддерживаются узкоспециализированными решениями.
- Высокая зависимость выстраиваемой ИБ-архитектуры от качества интеграций между решениями.
- Создание единой точки отказа и привязка к поставщику (vendor lock-in), вызывающие зависимость безопасности всей инфраструктуры от надежности одного вендора.
- Риск постепенной монополизации рынка и поглощения ИБ-гигантами небольших стартапов с прорывными идеями.
В целом, если рассматривать зарубежный рынок ИБ как точку, к которой в среднесрочной перспективе, возможно, придет и российская кибербезопасность, то тенденция на взаимную интеграцию ИБ-решений в отечественных реалиях достаточно логична и закономерна. При этом интеграция разных решений от различных вендоров становится технически все более тривиальной — это либо импорт/экспорт данных, либо API-взаимодействие, либо интеграция на уровне облачного провайдера ИБ-услуг.
Однако, такая интеграция не решает вопросов упрощения администрирования и снижения общей стоимости лицензий, а эффективность выстроенной системы кибербезопасности будет зависеть от качества интеграции различных решений, работоспособности и своевременного обновления продуктов вендорами, целостности и логической связанности политики безопасности, применяемой ко всем СЗИ в компании. Таким образом, общая надежность всей выстроенной системы управления ИБ будет зависеть от каждого из интегрированных решений: стоит одному решению дать сбой или получить некорректное обновление от вендора, как кибербезопасность всей ИТ-инфраструктуры будет нарушена.
Преимущества экосистемы ИБ-решений от одного вендора
В подобной ситуации многие компании приходят к решению о целесообразности использования экосистемы взаимосвязанных ИБ-решений от одного крупного вендора, которая сможет заменить сразу несколько устаревших СЗИ, особенно на этапе кардинальной перестройки инфраструктуры, например, при реализации проекта по импортозамещению. Кроме того, все более широкое использование российскими компаниями облачных инфраструктур и активный переход на сервисную модель потребления способствует развитию соответствующих предложений игроками ИБ-рынка, которые все чаще предлагают облачные СЗИ и сервисы по подписке. Далее мы рассмотрим основные составляющие современных ИБ-экосистем, а также приведем несколько отечественных и зарубежных примеров.
В соответствии с фреймворком NIST Cybersecurity Framework версии 2.0, основные функции кибербезопасности сгруппированы по следующим направлениям: управление ИБ (управление киберрисками, реализация стратегии ИБ, управление политиками, процессами и ресурсами ИБ), идентификация (выявление рисков, определение актуального состояния ИБ), защита (использование защитных мер для снижения уровня рисков), обнаружение (выявление кибератак и инцидентов), реагирование (управление киберинцидентами), восстановление (оперативное восстановление бизнес-процессов после инцидента). Экосистема ИБ-продуктов представляет собой набор взаимосвязанных средств защиты от одного вендора, объединенных единой консолью управления и комплексной политикой (или группой политик), реализующей выполнение нескольких вышеперечисленных направлений кибербезопасности. Кроме того, в экосистему включают облачные ИБ-решения и услуги, которые предоставляются вендорами по подписке.
Далее приведем экосистемы и входящие в них продукты и сервисы от некоторых зарубежных и российских вендоров.
Cisco
- Пакет Breach Protection Suite: Cisco XDR, Secure Email Threat Defense, Secure Endpoint, Secure Network Analytics.
- Пакет Cloud Protection Suite: Multicloud Defense (защита облачных инфраструктур), управление уязвимостями, Secure Workload (ZTNA, микросегментирование сетей), управление поверхностью атак, безопасность облачных приложений.
- Пакет User Protection Suite: Secure Access (облачное SSE-решение), Cisco Duo (мультифакторная аутентификация, проверка соответствия устройств требованиям безопасности), Secure Email Threat Defense (защита электронной почты), Secure Endpoint (EDR-решение).
Fortinet
- Пакет Network Security: облачные и on-prem NGFW, IPS, фильтрация URL, безопасность DNS, потоковый антивирус, управление поверхностью атак, консоль управления сетевыми устройствами Fortinet.
- Пакет Secure Access Service Edge (SASE): SD-WAN, ZTNA, SWG, CASB, IAM, PAM, DLP.
- Пакет Application Security: защита от DDoS, WAF, балансировка нагрузки, DAST, Cloud Security Posture Management, Cloud Workload Protection.
- Пакет Security Operations: SIEM, UEBA, SOAR, EDR, NDR, система Digital Risk Protection, Deception-платформа, песочница, Secure Email Gateway.
Palo Alto Networks
- Платформа Network Security: Cloud Delivered Security Services (Advanced Threat Prevention, фильтрация URL, безопасность DNS, DLP, IoT Security), Next-Generation Firewalls (облачные и on-prem NGFW, SD-WAN, консоль управления Panorama), Secure Access Service Edge.
- Платформа Cloud-Native Application Protection: Prisma Cloud (безопасность CI/CD пайплайнов, Software Composition Analysis, безопасность Infrastructure as Code), Cloud Security Posture Management, Cloud Workload Protection, безопасность Web-приложений и API-взаимодействий, защита облачных приложений, управление облачными активами.
- Платформа Security Operations: Cortex XSIAM, Cortex XDR, Cortex XSOAR, Cortex Xpanse (управление поверхностью атак).
«Лаборатория Касперского»
Kaspersky Endpoint Security, Kaspersky Symphony Security, Kaspersky EDR, Kaspersky Symphony EDR, Kaspersky Symphony XDR, Kaspersky Sandbox, Kaspersky MDM, Kaspersky Anti Targeted Attack (KATA), Kaspersky Cloud Sandbox, Kaspersky Secure Mail Gateway, Kaspersky Web Traffic Security, Kaspersky Security for Internet Gateway, Kaspersky SD-WAN, Kaspersky Unified Monitoring and Analysis Platform (KUMA), Kaspersky DDoS Protection, Kaspersky Application Security Assessment (тестирование приложений), Kaspersky Industrial CyberSecurity (KICS) для сетей и устройств АСУТП, Kaspersky CyberTrace (платформа TIP), решения для ИБ-обучения (Kaspersky Gamified Assessment Tool, Kaspersky Automated Security Awareness Platform), Kaspersky Fraud Prevention.
Positive Technologies
PT XDR, PT Sandbox, PT Multiscanner, PT NGFW, PT Network Attack Discovery, MaxPatrol SIEM, MaxPatrol VM, PT BlackBox (решение для динамического анализа исходного кода), PT Application Inspector (анализатор исходного кода), PT Application Firewall, PT ISIM (решение для мониторинга безопасности сетей АСУТП), PT ICS (XDR для OT-инфраструктур), PT Cybersecurity Intelligence (платформа TIP), метапродукт MaxPatrol O2.
BI.ZONE
BI.ZONE EDR, BI.ZONE Secure SD-WAN (включая NGFW, IDS/IPS, NTA, VPN-шлюз), BI.ZONE Cloud Email Security & Protection, BI.ZONE Secure DNS, BI.ZONE TDR (Threat Detection and Response - услуга по управлению киберинцидентами), BI.ZONE ThreatVision (платформа TIP), BI.ZONE IRP, BI.ZONE Compliance Platform (платформа SGRC), BI.ZONE SSDLC (управление процессом разработки ПО, поиск уязвимостей, анализатор исходного кода), BI.ZONE Cloud DDoS Protection, BI.ZONE WAF, BI.ZONE Brand Protection, BI.ZONE AntiFraud, BI.ZONE Security Fitness (платформа ИБ-обучения), BI.ZONE Mobile Security (защита смартфонов на iOS и Android).
Security Vision
- Направление Security Orchestration Tools: Security Vision SOAR и NG SOAR (расширенное управление инцидентами), Security Vision SIEM, Security Vision VS (сканер уязвимостей), Security Vision AM (управление активами), Security Vision VM (управление уязвимостями).
- Направление Governance, Risk Management and Compliance: Security Vision КИИ (управление соответствием ФЗ-187), модули взаимодействия с ГосСОПКА и FinCERT, Security Vision Risk Management / Operational Risk Management (управление киберрисками, операционными рисками), Security Vision Compliance Management (управление соответствием нормативным требованиям), Security Vision Business Continuity Planning (управление непрерывностью процессов).
- Направление Security Data Analysis: Security Vision TIP, Security Vision UEBA (поведенческий анализ), Security Vision Anomaly Detection and Machine Learning (поиск аномалий с применением методов машинного обучения).
«МегаФон»
МегаФон MDM, МегаФон NGFW (IDS/IPS, VPN-шлюз), сервис "Защита корпоративной почты", сервис "Интернет под контролем", сервис "Запрет развлекательного контента", сервис "Защита от DDoS-атак", сервис "Сканер уязвимостей", сервис "Управление уязвимостями", сервис "Платформа киберразведки", сервис "Голосовой Антифрод", Антивзлом (защита мобильных устройств), МегаФон WAF, МегаФон DLP, МегаФон SIEM, МегаФон SOC (SIEM, IRP, услуга по управлению киберинцидентами), Мобильный ID (система аутентификации), МегаФон Security Awareness (платформа ИБ-обучения), ПАК "Информационный периметр" (защищенная сотовая связь).
R-Vision
R-Vision Endpoint, R-Vision SOAR, R-Vision UEBA, R-Vision SIEM, R-Vision TIP, R-Vision SGRC, R-Vision VM (управление уязвимостями), R-Vision TDP (Deception-платформа).
ГК «Солар»
Solar Next Generation Firewall (NGFW), Solar webProxy (SWG), Solar inRights (управление учетными записями и доступом), Solar SafeInspect (PAM), Solar appScreener (обеспечение безопасности разработки приложений, сканер исходного кода), Solar Dozor (DLP), Solar addVisor (система мониторинга персонала), Solar DAG (Защита неструктурированных данных), центр противодействия кибератакам Solar JSOC (мониторинг и анализ инцидентов, экстренное реагирование на инциденты, сервисы ГосСОПКА, мониторинг АСУ ТП, защита конечных точек EDR, анализ сетевого трафика NTA, управление процессами реагирования на киберинциденты IRP, мониторинг внешних цифровых угрозSolar AURA, пентест, анализ защищенности, аssumed breach, Red Teaming, построение SOC), Solar MSS(сервис WAF, сервис Anti-DDoS, ГОСТ VPN, сервис Unified Threat Management, сервис Secure Email Gateway, сервис Sandbox, сервис Vulnerability Management, Security Awareness).
UserGate (экосистема UserGate SUMMA)
NGFW (IDS/IPS, VPN-шлюз, SWG, ZTNA, SSL-инспекция, потоковый антивирус, защита email), UserGate Management Center (единая консоль управления), UserGate Log Analyzer (SIEM, IRP), UserGate Client (EDR, Network Access Control, VPN-клиент, проверка соответствия устройств правилам безопасности).
Что входит в экосистему
В заключение отметим, что большинство вендоров, предлагающих экосистемы своих продуктов и сервисов, — это маститые ветераны рынка ИБ, которые планомерно расширяли линейку своих продуктов либо за счет внутренней разработки, либо за счет покупки небольших игроков (это характерно пока что, скорее, для зарубежных производителей).
В экосистему вендором включаются как классические решения для обеспечения сетевой и хостовой безопасности, песочницы, анализаторы трафика, системы управления уязвимостями, так и решения для обеспечения безопасности облачных инфраструктур, удаленной работы, технологий контейнеризации, IoT-устройств и OT-инфраструктур, а также платформы управления и реагирования на киберинциденты, выявления аномалий, управления аналитикой киберугроз и решения, дополненные технологиями машинного обучения и искусственного интеллекта.
Кроме того, в портфеле вендоров присутствуют не только сами продукты из экосистемы, но и сопутствующие услуги по ИБ: внедрение, консалтинг, аудит, услуги коммерческих SOC, MSSP-сервисы и предоставление СЗИ по подписке (модель Security-as-a-Service), пен-тесты, Threat Hunting, расследование киберинцидентов, форензика.