четверг, 22 сентября 2016 г.

IRP - недостающий компонент корпоративного SOC-а ?

В преддверии SOC-Форума и прям накануне BIS Summit хочется снова поговорить о том, что же такое SOC :)  А точнее о его составляющих.  

Вроде в прошлом году все говорили о том, что SOC это не SIEM, это люди, технологии и процессы. И вот в процессе этих дискуссий лично у меня было такое ощущение, что как-будто чего-то не хватало.   

А не хватало того самого компонента, который многие пытаются реализовать на сервис-десках, в джире и прочих системах. Т.е он есть практически всегда (или о нем задумываются), но почему-то о нем практически не говорят. Это то что Gartner назвал Incident Response Platform. 

Может настало время поговорить ?  



пятница, 16 сентября 2016 г.

Технологическая сингулярность в информационной безопасности

Герман Оскарович Греф в последнее время все чаще подкидывает поводы для рассуждений. Вот на прошлой неделе он заявил, что всего через 5 лет в Сбербанке 80% решений будет приниматься без участия человека. Журналисты в этом, конечно же, в первую очередь ухватили тот момент, что при этом 20 тысяч человек лишатся своей работы. 

Но суть не в этом, а в том что как видно бизнес активно осваивает автоматизацию и роботы забирают все больше задач у людей. Но видим ли мы подобные тенденции в информационной безопасности ?  Много ли сейчас решений принимается без участия человека ? 

Вот и Евгений Касперский на эту тему недавно высказался, что мол искусственный интеллект развивается. Но я честно говоря пока никаких особых прорывов в этой области не наблюдаю. Про big data в безопасности говорят много, а SIEM-ы как работали 10 лет на правилах, которые люди должны написать, так и работают.  Практически все имеющиеся средства защиты (за исключением антивирусных технологий и ряда других специфических продуктов) практически не обладают в себе никакими компонентами самообучения и автоматизации принятия решений. 

Ну ок, понятно что требовать подобное прямо сейчас было бы неправильно, тема AI только развивается, но слышали ли вы о каких-либо планах ведущих ИБ-разработчиков в этой области ? Может конечно все это просто скрывают :) 

Да что там искусственный интеллект, даже банальная интеграция имеющегося зоопарка решений по информационной безопасности уже вызывает проблемы. Интерфейсов интеграции очень часто просто нет (я об этом уже писал в предыдущей заметке). 

Так что налицо противоречие с тем что бизнес идет в автоматизацию и максимальную роботизированность, а как со всем этим будут справляться безопасники (коих даже в средних компаниях 1-2 человека) совершенно непонятно.  Решение только одно, нужно больше роботов в безопасности и больше средств, позволяющих автоматизировать сбор информации и принятие решений (в широком смысле, а не только в плане антивирусной защиты). 

P.S. Коллеги, если вы следили за кибербаталиями и вам понравился мой бой с Эльманом, то проголосуйте за мою кандидатуру на приз зрительских симпатий  - http://www.infowatch.ru/cyberfight2016

P.P.S  А еще в тему автоматизации на следующей неделе 22 сентября, как раз накануне BIS Summit, мы проводим вебинар по управлению уязвимостями совместно с коллегами из проекта Vulners. Будем рады вас всех видеть - https://rvision.pro/?post_type=event&p=1408


четверг, 8 сентября 2016 г.

Квадранты Гартнера в ИБ

Кто бы как ни относился к квадрантам Gartner-a, а все же на них обращают внимание, даже у нас в России. Я уже не говорю про западные страны, где серьезный корпоратив однозначно смотрит на тех, кто в лидерах.

Следовать подобной стратегии при выборе производителя СЗИ, предполагаемого к закупке, или нет - личное дело каждого, но все же я считаю полезным изучать подобные квадранты, даже если в итоге приобретать будете что-то у локального (нишевого) производителя. 

Я тут выписал все квадранты, которые есть на тему ИБ:
  • Business Continuity Management Planning Software Worldwide 
  • Endpoint Protection Platforms 
  • Enterprise Data Loss Prevention 
  • Enterprise Mobility Management Suites 
  • Enterprise Network Firewalls 
  • Identity Governance and Administration 
  • Intrusion Prevention Systems 
  • IT Risk Management Solutions 
  • IT Vendor Risk Management 
  • Operational Risk Management Solutions 
  • Secure Email Gateways 
  • Secure Web Gateways 
  • Security Information and Event Management 
  • Unified Threat Management Worldwide 
  • Web Application Firewalls
Сделаю оговорку, я исключил квадранты по сервисам, MSSP и подобным вещам.  

Кстати, полный список квадрантов с датами публикаций и планами по ревью можно посмотреть на официальном сайте, тут:

http://www.gartner.com/imagesrv/research/methodologies/publication_calendar.xlsx

P.S. А еще, о чем возможно немногие слышали, некоторое время назад Gartner запустил свою площадку для отзывов о продуктах. Называется Gartner peerinsights. Пока там не так много отзывов, но ведь все только начинается.