Технологические тренды в ИБ: куда повернет корпоративная безопасность в 2022

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»

В условиях размытого периметра второй год подряд внутренние угрозы – инсайдерство, мошенничество, ошибки из-за низкой цифровой грамотности персонала – получают приоритетное внимание служб ИБ, 80% специалистов называют их опаснее внешних атак. Закономерно, что инструменты для внутренней безопасности переживают мощный «буст» в развитии. Посмотрим, с чем вендоры таких систем подошли к Новому году – и куда двинутся дальше.

1.     Бескомпромиссный превент
Хотя многие компании вернули сотрудников в офисы, удаленка прочно закрепилась как «рабочий инструмент». На домашней «вольнице» нарушения по ошибке или по злому умыслу становятся вероятнее. Вариант, когда действия инсайдеров просто фиксируются, больше не работает, становится слишком рискованным. В итоге все крупные игроки рынка DLP в 2021-м стали активно наращивать «запретительный» функционал. У нас в «СёрчИнформ», например, появился с десяток новых блокировок, они стали умнее: работают по контенту и контексту и гибко настраиваются. Главный прорыв года – эти блокировки стали работать в мессенджерах, самом популярном средстве общения на удаленке.

В 2022 году тенденция продолжит развитие: ИБ-продукты позволят блокировать передачу информации по еще большему числу каналов.
Новая задача – контроль «неконтролируемых» каналов, например, съемки на смартфоны – сегодня DLP научились их распознавать, в будущем предстоит реализовать инструменты реагирования на угрозу. Например, автоматически затемнять экран при наведении гаджета.

Но превентивная работа может и должна начинаться раньше – на уровне разграничения прав пользователей: закрой доступ к определенным действиям или директориям и снизишь риск инцидента. В 2021-м кроме специализированных инструментов (от базового функционала ОС до продвинутых IDM) такие возможности стали наращивать «непрофильные» решения: DLP (как минимум на уровне интеграции), DCAP и пр. В целом тренд на проактивное управление безопасностью, реагирование и превент заметен во всех сегментах рынка ИБ – например, SIEM в ближайшие годы, судя по всему, так или иначе сроднятся с SOAR.

2.      Интеграция и защита «стыков»
Gartner говорит о тренде на так называемые составные приложения: когда для скорости реализации продукта разработчики не пишут код с нуля, а заимствуют готовые функциональные куски. В отличие от open source речь идет о создании «конструкторов» из самостоятельных решений (например, движок или механизм авторизации), которые могут работать обособленно.

На рынке ИБ тенденция тоже заметна (например, когда сторонние системы защиты данных внедряются «под капот» СХД). Но пока больше развиваются «вертикальные» интеграции: когда одна система ИБ выступает источником данных для другой. Причем подход к реализации таких интеграций поменялся. Уже недостаточно подключить одно к другому через открытый API, потому что такая связка между продуктами оказывается слабым звеном. Большая часть успешных атак за минувший год – это атаки на API, то есть не на сервисы как таковые, а на каналы взаимодействия между ними. Поэтому теперь правило хорошего тона для вендоров и интеграторов – совместно работать над тем, чтобы обмен данными между системами был максимально защищенным.  Gartner, кстати, называет этот тренд сетью кибербезопасности – и если усиленное внимание к «стыкам» разных систем уже развито в ИБ, то в 2022 году распространится на «стыки» между любыми неродственными сервисами.

3.      Импортозамещение и кросс-платформенность
В 2021 году большинство отечественных DLP полноценно поддержали Linux и теперь работают в полном функционале, например, на российских ОС. Необходимость объясняется традиционными геополитическими причинами – санкциями и отказе иностранных вендоров в обслуживании внедрений в российском бизнесе. Движение к «внутреннему» импортозамещению у вендоров будет продолжаться, также в 2022-м наберет обороты «переезд» на отечественные СУБД (PostgreSQL) для размещения серверных компонентов защитного ПО.

Еще одно преимущество кросс-платформенности – она делает системы доступней для большего числа пользователей, это охват новых рынков. Например, российские DLP закрепляются среди клиентов MacOS – потому что появились реальные технологические возможности защищать от утечек и мониторить пользовательскую активность даже на взломостойких «яблоках». В 2022 году вендоры анонсируют расширение возможностей контроля Mac, в том числе с помощью DCAP и SIEM.

По этой же логике ИБ-системы станут активнее переезжать в облака. Это выгодно всем: например, выводя DLP в облако Azure (или любое другое), вендор попадает в зону внимания компаний с полностью облачной инфраструктурой. А те впервые получат продвинутые инструменты для внутреннего контроля.

4.     «Всё как услуга»
Эксперты прогнозируют, что к 2022 году 40% ИТ-бюджетов крупных компаний будут перераспределены на услуги – в том числе в безопасности. Тренд обозначился еще несколько лет назад, но только недавно рынок внутренней ИБ смог предложить комплексные и понятные пользователю решения. Например, предоставление доступа к ИБ-инструментам по подписке, когда компания может пользоваться контролирующим ПО нужный период времени без закупки лицензий. Также расширяются возможности аренды серверных или облачных мощностей для внедрения ИБ-софта, а работу с ним берут на себя профессиональные аналитики со стороны вендоров или интеграторов.

Главный итог первого «гибридного» года в условиях размытого периметра и ограниченных ресурсов – недоверие к аутсорсингу безопасности ослабевает. По себе мы видим: клиентов MSSP становится больше, 75% компаний продлевают услугу после первого оплаченного пакета (1 месяц и более). Сервис распробовали не только в МСБ, но и в крупных компаниях: объясняется это кадровым голодом и низкой квалификацией вновь набираемых специалистов. При повсеместном росте угроз нет вариантов, кроме как звать «варягов».

Судя по активности, с которым услугу аутсорсинга DLP, SIEM, даже DCAP начинают предлагать всё новые игроки (это не только уже упомянутые разработчики и интеграторы, а даже окологосударственныеструктуры ), тренд продолжит уверено развиваться. Мы ожидаем, что к концу 2022 года объем реального рынка «внутренняя безопасность как сервис» вырастет вдвое, а в ряде направлений сервисная модель и вовсе станет основной. Так, готовятся федеральные (например, на уровне Минцифры ) и региональные проекты (такую работу с субъектами в частности ведем мы), которые сводятся к созданию центров ИБ для стандартизированного мониторинга и расследования угроз в бюджетных организациях и малом бизнесе. Что-то вроде новой ГосСОПКА – только кроме мониторинга угроз появится активное реагирование на инциденты.

5.      Открытый режим защиты
По нашим данным, каждая пятая компания в России сталкивается с инцидентами, когда внешние злоумышленники пытаются проникнуть в корпоративный периметр через сотрудников. В ответ на этот вызов DLP научились оценивать защищенность пользователя и безопасность его действий в Сети – например, выявлять слишком простые пароли, общие аккаунты, потенциально скомпрометированные учетные данные. В 2022 году целая плеяда инструментов внутренней ИБ разовьет похожие возможности, чтобы формировать защитный периметр вокруг не только компании в целом, но и каждого пользователя в отдельности – как носителя ценной информации.

С другой стороны, идет активное вовлечение пользователей в процесс защиты информации. В 2021 году заказчики захотели использовать DLP в открытую, понадобились пользовательские интерфейсы, через которые сотрудники могли бы взаимодействовать со службой ИБ. Например, запрашивать доступ к флешкам или получать предупреждения, что отправлять клиентскую базу за пределы компании – плохая идея. Чтобы уведомлять о правилах ИБ, появилась наглядная разметка конфиденциальных документов – например, в виде «несмываемого» водяного знака «Для служебного пользования». Такой функционал уже появляется в DLP и DCAP. Следующий шаг – привить пользователям культуру ИБ, перепоручив им принятие решений и ответственность за их безопасность. Системы контроля дадут им такие возможности.

Тренд подкрепляется желанием бизнеса и госорганизаций повысить ИБ-грамотность сотрудников. На конец 2021 года по запросу организаций мы обучили более 20 тыс. слушателей в 46 регионах России основам ИБ: безопасному документообороту, угрозам в Сети и мерам противодействия им. Похожая работа готовится на государственном уровне – в 2022 году на обучение инфобезу рядовых пользователей правительство планирует выделить 600 млн рублей . Развиваются системы киберполигонов, растет интерес к сервисам по «внутреннему пентесту» и моделированию внешних и внутренних атак. Таким образом, всеобщая осведомленность о киберугрозах и базовых правилах ИБ станет главным трендом ближайшего будущего – необходимым soft-skill для работы в любых корпоративных структурах.