Спецпроекты

На страницу обзора
Алексей Дашков, R-Vision: Эффективно защищать инфраструктуру все сложнее при классическом подходе к ИБ  

В последнее время слово «экосистема» чрезвычайно популярно. Что это – дань моде или необходимость? Какова роль экосистемных продуктов в кибербезопасности? Об этом CNews поговорил с Алексеем Дашковым, директором Центра продуктового менеджмента R-Vision.

Алексей ДашковR-Vision

CNews: Экосистемный подход – один из главных трендов кибербезопасности в последние годы? С чем связана такая востребованность и почему он «выстрелил» именно сейчас, а не раньше?

Алексей Дашков: Действительно, сегодня мы можем наблюдать усиление тренда на экосистемный подход, основанный на использовании экспертизы и тесно интегрированных технологий одного вендора.

Развитию экосистем в отрасли информационной безопасности способствуют как внутренние, так и внешние факторы. Если говорить о внутреннем факторе, то здесь речь идет о новом и вполне закономерном этапе эволюции ИБ-рынка. Технологии непрерывно развиваются и достигли уже того уровня зрелости, который предполагает возможность их глубокой интеграции между собой для решения более сложных и комплексных задач кибербезопасности. Следовательно, теперь разработчики могут объединять различные классы своих продуктов в определенный технологический стек, чтобы предоставить клиентам максимальную функциональность и эффект от их использования.

Алексей Дашков, R-Vision: Технологии непрерывно развиваются и достигли уже того уровня зрелости, который предполагает возможность их глубокой интеграции между собой в рамках экосистемы для решения более сложных и комплексных задач кибербезопасности

К внешнему фактору относятся все нарастающие киберугрозы и меняющиеся вместе с этим требования бизнеса: на текущий момент компании нуждаются в действительно эффективной защите своих инфраструктур, которую становится все сложнее достичь при классическом подходе к ИБ. Поэтому рынок планомерно движется в сторону создания экосистем, и все больше российских вендоров стремятся выстроить их вокруг собственных продуктов и услуг.

Ключевые поставщики ИБ-рынка, кто уже реализовал собственные экосистемы, продолжают развивать и дополнять их новыми технологиями, что дает Заказчикам еще больше возможностей для построения действительно эффективной защиты ИТ-инфраструктуры.

CNews: В чем преимущество экосистем перед классическими методами выстраивания защиты?

Алексей Дашков: Классический метод построения ИБ в организациях предполагает, что каждый из продуктов на своем этапе защиты выполняет конкретную функцию и решает отдельно взятые задачи. Где-то их функционал может пересекаться, но когда встает вопрос о работе этих продуктов в связке, то компании могут столкнуться с рядом трудностей, например, со сложностью поддержки совместимости используемых решений, а также с необходимостью устранения других проблем, возникающих на стыке технологий от разных производителей.

Экосистемы – это нечто большее, чем набор отдельных продуктов, и даже больше, чем интеграция. В данном случае все технологии вендора глубоко взаимосвязаны между собой и объединены в рамках единого решения, что создает дополнительный синергетический эффект от их использования. Это позволяет Заказчику подойти к вопросам кибербезопасности комплексно и решать задачи на стыке технологий и продуктов, чего крайне сложно добиться при интеграции продуктов нескольких производителей. Поскольку такие задачи обычно остаются за пределами зон ответственности вендоров и, как показывает практика, ложатся на плечи инженеров заказчика.

CNews: При этом существует мнение, что использование заказчиком технологий только одного конкретного поставщика влечет за собой риск «стать зависимым» от этого вендора, так ли это?

Алексей Дашков: На российском ИБ-рынке сложно найти игроков с полным перечнем всех необходимых технологий в портфеле: одни специализируются на разработке средств защиты сетевого периметра, а другие внедряют антивирусную защиту. Поэтому недостающие продукты все равно придется приобретать у других разработчиков, соответственно, так или иначе поставщиков в организации будет несколько.

Также важно иметь в виду, что при создании SOC у заказчиков в большинстве случаев каждый отдельный разработчик стремится сразу предложить клиенту максимальную функциональность своего продукта. Однако, без учета специфики решений остальных вендоров, такой мультивендорный подход осложняет последовательное выстраивание ИБ процессов в организации. Кроме того, от заказчика он также требует значительно больших затрат на внедрение разнородных продуктов в уже сложившуюся ИТ-архитектуру. В свою очередь, применение технологий одного вендора в рамках экосистемного подхода дает возможность исключить сложности, возникающие при использовании продуктов разных разработчиков. Например, трудности, связанные с тем же различием в уровне развития технологий, невозможностью настройки и синхронизации интеграционных механизмов между продуктами, разрозненным процессом обновлений, лицензирования и др.

Поэтому одной из причин развития нашего продуктового портфеля в сторону экосистемы технологий как раз и стало желание снизить ограничения от использования технологий различных вендоров для наших клиентов. Однако отметим, что один из важнейших принципов, реализуемых в нашей экосистеме R-Vision EVO – это открытость для сторонних продуктов, то есть возможность интеграции наших технологий c решениями от других поставщиков кибербезопасности.

CNews: Расскажите подробнее о вашей экосистеме R-Vision EVO, ее технологиях, возможно принципах работы?

Алексей Дашков: Создание R‑Vision EVO является логическим продолжением нашей многолетней работы по разработке продуктов для построения и усовершенствования SOC. Наша экосистема объединила в себе технологии, компоненты и накопленную экспертизу R‑Vision, чтобы предоставить организациям возможность построения эффективного Центра мониторинга и его поэтапного развития.

На сегодняшний день в состав экосистемы входят следующие технологии: R‑Vision SOAR, R-Vision TDP, R‑Vision Endpoint, R‑Vision SGRC, R‑Vision UEBA, R‑Vision TIP, R‑Vision LM и R-Vision SAM.

Технологии, входящие в состав экосистемы R-Vision EVO

За счет интеграции и тесной взаимосвязи внутри экосистемы технологии обогащают друг друга дополнительными функциональными возможностями по аналитике, детектированию, реагированию, расследованию и комплексному управлению ИБ. При этом еще раз отмечу, что наша экосистема является открытой, и помимо того, что она дополняется собственными технологиями R-Vision, пользователи экосистемы также имеют возможность интеграции продуктов других вендоров.

При этом важным преимуществом построения SOC на базе экосистемы R-Vision EVO является гибкость применяемого нами подхода и возможность планомерного наращивания функционала по мере роста потребностей организации. Стоит также отметить, что при внедрении экосистемы Заказчики также получают долгосрочный план развития SOC и построения эффективной ИБ-защиты.

CNews: В конце сентября состоялась R-EVOlution Conf, где вы представили технологии R-Vision SIEM и R-Vision VM. Расскажите, пожалуйста, поподробнее об этих технологиях. Почему вы создали именно их и как видите развитие вашей экосистемы в дальнейшем?

Алексей Дашков: Да, действительно, в конце сентября мы провели первую собственную конференцию R-EVOlution Conf. Несмотря на то, что для нас это был первый опыт, мероприятие получилось масштабным – в нем приняли участие более 500 человек. Одним из ключевых событий конференции стал анонс двух новых технологий, которыми мы дополнили экосистему R-Vision EVO: R-Vision SIEM и R-Vision VM.

R‑Vision SIEM представляет собой технологию для централизованного управления потоками событиями в корпоративных системах и дает возможность своевременно выявлять инциденты и оптимизировать использование ресурсов компании за счет комплексного подхода к обработке событий безопасности.

В то же время R-Vision VM – это технология для комплексного управления процессом выявления, приоритизации и контроля устранения уязвимостей, которая позволяет быстро и просто автоматизировать данный процесс, а также обеспечить организации должный уровень защиты от постоянно нарастающего уровня угроз ИБ.

Несмотря на то, что продукты данных классов на рынке не новые, мы по-прежнему видим, что многие проблемы заказчиков так и не решаются существующими на рынке решениями. Поэтому мы разработали собственные продукты, которые помогут компаниям решить важные задачи и обеспечить комплексный подход к кибербезопасности.

Если говорить о глобальных планах, то дальнейшее направление развития нашей экосистемы – это управление всеми технологиями, входящими в ее состав, с помощью единой консоли.

CNews: Подскажите, почему планируется объединение всех технологий в единой консоли?

Алексей Дашков: Мы позиционируем экосистему не как маркетинговый ход, а, скорее, как стратегическую цель, которая стоит перед нашей компанией. Собирая обратную связь от Заказчиков и понимая запросы рынка, мы ставим перед собой задачу обеспечить пользователям R-Vision EVO максимальный комфорт и удобство при работе с нашими технологиями. И именно централизованное управление технологиями экосистемы через единую консоль является идеальным решением, полностью отвечающим потребностям клиентов.

При этом отмечу, что главное в экосистеме– сами технологии, их функциональные возможности и, конечно, количество решаемых ИБ задач. Поэтому единая консоль – это, скорее приятный бонус для Заказчиков, но и очевидно, за этим будущее экосистем ИБ.

CNews: Не могу не задать вопрос, который скорее всего интересует многих заказчиков: по какому принципу происходит обновление и лицензирование технологий R-Vision EVO? И поддерживает ли экосистема интеграцию с решениями кибербезопасности других поставщиков?

Алексей Дашков: Наша экосистема лицензируется бандлами, то есть набором функциональности технологий в рамках одной лицензии, что позволяет постепенно наращивать требуемый функционал технологий, входящих в ее состав. При выходе новых версий продуктов мы предоставляем заказчикам дистрибутив с инструкцией по обновлению. Все данные и настройки, естественно, сохраняются.

При этом, если говорить про возможности интеграции, то да, конечно, R-Vision EVO поддерживает различные механизмы, позволяющие взаимодействовать с внешними приложениями и средствами защиты других поставщиков, а также обеспечивающие обмен данными между ними. К примеру, технология SOAR в рамках реагирования на инциденты ИБ может управлять существующими средствами защиты, а TI поддерживает поиск индикаторов компрометации в популярных SIEM системах. Технология VM интегрируется с внешними сканерами уязвимостей, а SAM получает дополнительные сведения по активам из систем разных классов – CMDB, AV, ITSM и тд. Весь список доступных интеграций мы представляем по запросу клиентов.

CNews: А с точки зрения технических особенностей, какие требования к инфраструктуре предъявляет экосистемная интеграция и какие способы развертывания экосистемы R-Vision EVO?

Алексей Дашков: Требований, которые предъявляет экосистемный подход к инфраструктуре, значительно меньше, чем внедрение разрозненных программных продуктов по-отдельности. Поэтому, безусловно, для компаний это упрощает и ускоряет развертывание необходимого им функционала. Вместе с тем зависимости от нагрузки на тот или иной компонент может требоваться большее или меньшее количество ресурсов. Поэтому по запросу Заказчиков мы предоставляем расчет всех требований с учетом особенностей их ИТ-инфраструктуры. При этом в зависимости от их потребностей и желания R-Vision EVO также может быть развернута в виртуальной среде.

Наша экосистема поддерживает работу с основными видами отечественных и зарубежных операционных систем, а также с СУБД, на базе которых обеспечивается функционирование ее компонентов. Кроме того, возможности экосистемы позволяют импортировать и консолидировать данные, содержащихся во внешних БД, и использовать их для решения различных ИБ-задач и автоматизации процессов.

CNews: Если говорить о стоимости, то приобрести экосистему R-Vision EVO будет выгоднее для заказчиков, чем продукты по отдельности?

Алексей Дашков: Вопросы стоимости всегда актуальны – мы однозначно можем подтвердить то, что приобретение экосистемы, куда входят все необходимые Заказчику технологии для обеспечения комплексной и эффективной ИБ-защиты, существенно выгоднее. Во-первых, все вопросы, связанные с эксплуатацией и развитием технологий экосистемы, решаются на стороне одного вендора и разработчик может предложить компаниям более выгодные условия по обслуживанию или приобретению новых компонентов. Также за счет гибкости нашей политики лицензирования у Заказчика есть возможность расширять функционал экосистемы постепенно.

CNews: Вы упомянули о возможности постепенного наращивания функциональности экосистемы. Правильно понимаю, что это происходит в ситуации, при которой Заказчикам нужны не все, а только часть функциональных возможностей R-Vision EVO. Какие при этом из компонентов экосистемы являются обязательными?

Алексей Дашков: Какие компоненты являются обязательными к внедрению, а какие нет, в большей степени зависит от нужд каждой отдельной организации и ее стратегических целей по обеспечению ИБ. При этом мы, как разработчик экосистемы, понимаем, что любой из компонентов R-Vision EVO играет важную роль в процессе комплексной защиты организации. Таким образом, чем больше технологий будет применяться, тем качественнее будет выстроена защита, которая, как я уже говорил, достигается за счет синергетического эффекта от их использования.

И действительно, если Заказчикам на текущий момент не нужна максимальная функциональность R-Vision EVO, то они могут приобрести и использовать все необходимые технологии только в том объеме, который нужен на данном этапе и соответствует текущему уровню зрелости организации.Тем самым экосистема может развиваться поэтапно, что позволяет учитывать возможности Заказчика с точки зрения готовности команды, процессов и наличия бюджетов.

Такой подход в том числе позволяет организациям легко и безболезненно масштабироваться в будущем: поэтапно наращивать и расширять функционал SOC, дополняя его новыми технологиями по мере роста бизнеса и его потребностей. Причем в том числе возможна ситуация, когда одна технология может использоваться по максимуму, а другая, так и оставаться на базовом уровне возможностей.

CNews: Каким вы видите развитие тренда экосистем в дальнейшем и какие еще тенденции в сфере кибербезопасности будут актуальные в ближайшие годы? Какое будущее ждет российские SOC, и насколько велика роль экосистемного подхода в этом будущем?

Алексей Дашков: Как было сказано выше, один из трендов – управление экосистемой из единой консоли. Кроме этого, можно смело предполагать, что в будущем экосистемы технологий будут превалировать над применением разрозненных технологий от всего многообразия вендоров. Вероятно, мы также сможем наблюдать укрупнение самих экосистем, которые будут развиваться по разным моделям, но при этом количество игроков на ИБ рынке может уменьшиться. Также могу однозначно сказать, что мере развития технологий вендоров ситуационные центры организаций будут также эволюционировать.

erid:Kra23xsFgРекламодатель: ООО «Р-Вижн»ИНН/ОГРН: ИНН 7723390901 / ОГРН 1157746429961Сайт: http://rvision.pro