Обзор RSA Conference от того, кто там так и не побывал

Мероприятия

Недавно закончилась RSA Conference, которая для меня всегда была источником новых идей и мерилом того, куда развивается мировой рынок ИБ. Я традиционно посещал эту конференцию и даже в прошлом году участвовал в ней, правда, из COVID-19, в виртуальном формате. В этом году у меня тоже было такое намерение, но, увы, война [в Йемене] смешала все карты и все мои попытки хоть как-то зарегистрироваться в ней оказались обречены на неудачу. Сначала международные платежные системы обрубили возможность оплачивать россиянам кредитками, а на мою просьбу выставить мне счет, чтобы я сделал банковский перевод, организаторы вообще не ответили; как и на вопрос, нет ли у них запрета на участие россиян. И хотя ряд коллег предложили свою помощь с оплатой участия (за что им большое спасибо), рыпаться уже было поздно — даже в онлайн-формате на RSAC быстро разбирают места на интересные практические занятия и мастер-классы, которые проводятся по разным ИБ-темам, а просто заплатить 500 долларов за возможность послушать просто доклады, которые через 2 месяца выложат в открытый доступ (я надеюсь), я посчитал неразумным.

Однако я все равно следил за ключевыми событиями конференции RSA и хотел бы тезисно зафиксировать их. Есть версия, что российский рынок ИБ начал развиваться по своим законам и его уже сложно сопоставлять с мировым, как я это делал все прошедшие годы. Да, у нас всегда было некоторое технологическое запаздывание, но все равно, можно было уверенно говорить, что все представленные на RSAC решения и инновации, появятся у нас в стране с опозданием в года 2-3. Сейчас у меня уже такой уверенности нет, но определенная надежда на это остается. А значит фиксация ключевых тенденций RSAC имеет смысл; в том числе и для российских разработчиков, которые смотрят не только на локальный рынок, но и оценивают свой экспортный потенциал, который невозможен без учета мировых тенденций.

Итак, что же можно отметить относительно новых тенденций в ИБ? Тезисно я бы отметил следующее:

  1. Облака! Это, пожалуй, ключевой тренд RSA Conference. Да, и в прошлые годы на конференции/выставке было представлено немало облачных решений, но в этом году это прям стало мейнстримом. CDR, CSPM, CIEM, CWPS, CNAPP, SSPM, SASE и куча других аббревиатур, начинающихся с буквы C — Cloud.

    Вы в курсе, что значат все эти аббревиатуры?

    В облака мигрируют все привычные нам on-premise технологии ИБ, позволяющие обнаруживать, предотвращать и реагирования на угрозы ИБ. У нас, надо признать, это практически отсутствующий сегмент рынка; у нас просто нет своих решений по облачной ИБ. Есть какие-то зачатки у Яндекса, но не более того. Традиционные вендора пытаются импортозаместить то, что наиболее востребовано потребителем, а это NGFW. На конференции IT IS Conf, организованной УЦСБ 16 июня, я вел секцию, где спросил у участников, каких российских решений по ИБ им не хватает. Предсказуемо, но ответ был — NGFW. То, что появилось в мире в начале 2000-х годов у российских производителей до сих пор отсутствует. И даже требований у регуляторов нет к этим решениям. Правда, винить в отсутствии инноваций российских вендоров сложно — они тупо зарабатывают деньги и это нормально.

    Инновации нужны там, где реализованы базовые потребности (пусть Маслоу и отказался сам от своей пирамиды), а у нас сейчас даже в базовых есть лакуны

  2. xDR стал еще большим мейнстримом, чем несколько лет назад. Теперь вместо x подставляют уже не только E — Endpoint, N — Network, C — Cloud и M — Managed, но и D — Data, и даже IT (Identity Threat). Мне кажется нам не хватает еще DCXDR для ЦОДов, а также IDR (от I — Industrial) и MoDR (от Mo — Mobile). У нас, кстати, этих решений тоже почти нет; разве что отдельные решения от Касперского, Позитива и Бизона.
  3. Zero Trust. Этот термин заиграл новыми красками с начала марта, когда иностранные компании стали приостанавливать свою деятельность или уходить с нашего рынка. Но у иностранцев он вполне себе понятен и приземлен. Этот сегмент продолжает активно расти, что и понятно, сегментация сети позволяет решать многие задачи ИБ и локализовывать большое число разных инцидентов ИБ. У нас Zero Trust, в условиях отсутствия достаточного числа сетевых вендоров и вендоров решений по внутренней сетевой ИБ, тоже почти не развит.
  4. X-as-a-Code. Еще один тренд, достаточно быстро ворвашийся на небосклон мирового рынка ИБ (да, у нас его вообще нет). Detection-as-a-Code, Compliance-as-a-Code, Forensics-as-a-Code, Governance-as-a-Code и т.п. Попытка перенять DevOps-практики из мира непрерывной и динамичной разработки и внедрить их в достаточно статический мир ИБ достаточно интересны, но опять же не для России. Нам до этого еще как до звезды в массе своей.
  5. Россия — я не заметил большого числа упоминаний России как врага. Возможно, это связано с тем, что пока я видел только различные новости и заметки про выставку, а не конференцию, на которой традиционно и обвиняли русских во всех смертных кибер-грехах. Возможно, позже, когда выложат материалы с конференции, ситуация поменяется. Хотя и в прошлом году про ”русскую” атрибуцию почти не говорили, стараясь обсуждать что-то более практическое (исключая Альперовича, который и в этом году не мог удержаться, чтобы не обвинять свою бывшую Родину).
  6. Шифровальщики. Это уже даже не мейнстрим. По большому счету, сегодня это не такая уж и нерешаемая проблема. Да, нет серебряной пули в виде отдельного продукта, но он и не нужен и скорее даже невозможен. Множество технологий, которые обнаруживают и блокируют различные техники и тактики злоумышленников, плюс технологии резервного копирования. Что в них нового? Ничего. Знай себе, используй, и будет тебе счастье. То, что многие пытаются решить проблему с помощью одного антивируса или даже EDR, не означает, что рынку нужны какие-то новые технологии. Надо научиться пользоваться тем, что есть.
  7. В отличие от прошлого года, новостной фон вокруг RSA Conference обошелся почти без упоминания промышленной ИБ. А вот тренд на снижение упоминаний DLP и вообще защиты данных (всякие DCAP и т.п.) продолжается уже не первый год. Также не превозносится и тема машинного обучения в ИБ. Да, про его использование говорят многие, но хвалебных дифирамбов уже никто не поет — просто используют в отдельных сценариях.
  8. Зато немало говорили про ASM (attack surface management); особенно на фоне покупки IBM такого вендора как Randori. Иногда вместо аббревиатуры ASM можно было услышать AVM (asset vulnerability management), но как по мне, так это почти одно и тоже. Также в тройку лидеров, помимо ИБ облаков, я бы отнес тему управления доступом и идентификационной информацией, а также расширения для SOCов (UEBA, TIP, SOAR, которые сегодня все чаще называют неотъемлемой частью современной SIEM  или SIEM следующего поколения; для кого как). Вообще автоматизация была в фаворе у вендоров, представленных на RSAC, — приоритизация угроз, оценка активов, снижение числа фолсов, расследование инцидентов, мониторинг Даркнета и т.п.

В целом, никаких прорывов в этом году не было. Вендора продолжают окучивать ранее инициированные темы — облака, XDR, Zero Trust, SOC и т.п., а заказчики продолжают их покупать, не забывая про неувядающую классику, — обучение, редтимы, NGFW, киберучения и т.п. Жаль, что российские заказчики, в массе своей, не увидят этих технологий в обозримом будущем, довольствуясь VPNами, межсетевыми экранами, DLP-решениями, SIEMами и всем тем, чем радуют многие из наших разработчиков, закрывающих базовые потребности российских заказчиков и не имеющих полноценного  R&D в своем штате.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Егор

    Надо работать, по- настоящему работать, а не шильдики переклеивать, что нужно — не стесняться заимствовать у противника (а «страны запада») нам не друзья, и даже не партнёры, но, прежде всего — заменять «общечеловеческий» маргарин в головах молодежи и подрастающего поколения — настоящим, а не «советского образца» патриотизмом. Китайский путь нам в помощь.

    Ответить
    1. Алексей Лукацкий автор

      Звучит красиво — но почему-то не работает особо в масштабах страны

      Ответить
  2. Андрей

    Как мне кажется X-as-a-Code у нас выполняется при сертификации по требованиям безопасности информации и при внесении изменений в сертифицированное средство (уверен что не на таком высоком уровне как зарубежом, но все же)

    Ответить
    1. Алексей Лукацкий автор

      Ээээ, не совсем понял. Где там это выполняется?

      Ответить
      1. Андрей

        Имел ввиду различные испытания, которому подвергается код ПО: статический анализ, динамический анализ и т.п.

        Ответить
        1. Алексей Лукацкий автор

          Ну это не совсем все-таки X-as-a-Code. Это обычный DevSecOps

          Ответить
          1. Андрей

            Видимо не осознаю в чем отличие между X-as-a-Code и DevSecOpsом.
            В заметке приведены примеры, что входит в X-as-a-Code и за исключением Forensics, все остальное при сертификации так или иначе проверяется.

          2. Алексей Лукацкий автор

            X-as-a-Code нельзя проверить во время сертификации. Сама по себе сертификация ФСТЭК с ее монолитной и долгой процедурой нарушает основной принцип X-as-a-Code. Не говоря уже о том, что при сертификации, например, не проверяется Detection-as-a-Code, — только сам факт наличия сигнатур/правил и мест их получения. Но не то, как они пишутся и поддерживаются. Compliance-as-a-Code туда же. Ну и т.д.