Можно ли без своего исследовательского центра угроз с ними бороться?

Можно ли без своего исследовательского центра угроз с ними бороться?
Навеяло тут после одной из встреч. Информационную безопасность, если не сильно вдаваться в детализацию, двигает три силы - страх, compliance или экономика. Они могут детализироваться. Например, страх может быть поделен на страшилки из СМИ и реально произошедшие инциденты, а compliance - на требования регуляторов и требования аудита. Но сейчас это не так важно - по-крупному таких драйверов три.

С compliance все вроде понятно. Есть требования регуляторов и есть организационные и технические меры, их реализующие. Это, пожалуй, самый популярный драйвер ИБ в России и многие игроки (вот пример ) активно эксплуатируют данную тематику в своих материалах. Вторая тема, экономическая, только-только начинает набирать обороты. У потребителей меняется картина рисков - старые методы уже не срабатывают или приходиться тратить больше усилий на доказывание важности выполнения требований регуляторов и риски получения штрафов в 10-20 тысяч рублей. Экономика и финансы - это то, что интересно в любые времена. Тем более, что эта тема интересна именно руководству, которому, положа руку на сердце, все равно, выполняет его организация 21-й приказ ФСТЭК или положение Банка России 382-П. Поэтому экономика, как обоснование необходимости вкладываться в ИБ, набирает обороты (вот еще пример ).

Но сейчас я бы хотел поговорить о страхе, как третьем важном драйвере продвижения ИБ заказчику. Но не о том, как рассказы об угрозах помогают запугивать потребителя и под этим соусом продавать ему решения по безопасности. Это как раз умеют делать все. Вопрос в другом. Откуда продавцы ИБ берут знание об угрозах, а если быть еще точнее, можно ли называть себя компетентным игроком в области ИБ, не имея собственной экспертизы и собственного исследовательского центра в области угроз безопасности?

Когда компания продает антивирус или систему предотвращения вторжений, очевидно, что она должна оснащать свои решения актуальной или постоянно пополняемой базой угроз (в виде сигнатур, или шаблонов обнаружения аномальной активности). Это, как бы, и не обсуждается. Но должен ли разработчик, например, МСЭ, обладать знанием об угрозах? Если речь о пакетном фильтре, то, может быть и нет. Но если речь идет о прикладном МСЭ или NGFW такое знание уже является обязательным. Обязательным оно является и для разработчиков сканеров безопасности и WAF. Во всех этих примерах критически важно знать, с чем бороться, и оснащать этим знанием свои продукты. Причем делать это нужно в непрерывном режиме, а для этого и нужна выделенная структура, которую и можно назвать центром исследований в области угроз, который работает круглосуточно; злоумышленники-то не спят, да и часовых поясов в России явно больше одного, чтобы всех заставлять работать по московскому или какому-то еще времени.

Откуда можно получить знание об угрозах? Вариантов два. Первый - долгий, но и самый эффективный. Копать самостоятельно, собрав специалистов, которые и будут заниматься такого рода исследованиями. К слову сказать, в таком исследовательском подразделении Cisco - Cisco Talos, 600 (шестьсот) человек. По таком пути идут также Лаборатория Касперского или Positive Technologies.

Вариант второй - простой и быстрый, но и более рискованный. Речь идет о покупке чужих знаний. Например, можно покупать чужие сигнатуры для IDS, как делают некоторые отечественные "разработчики" систем обнаружения вторжений. Можно покупать чужие фиды с информацией об угрозах. Это простой способ войти в новый для себя сегмент. Правда, что делать, если компания, продающая фиды или сигнатуры, поглощается другим игроком? Этот игрок может не захотеть (или не иметь возможность) больше продавать свой продукт компании, которая на нем строила свои решения. И как в такой ситуации быть заказчикам?

К чему этот разговор? К тому, что угроз сегодня становится не только все больше (пример в виде отчета Cisco и в виде озвученной презентации ), но они становятся и все изощреннее. А это требует немного иного подхода к их изучению и оснащению этим знанием своих продуктов. Эпизодических действий уже недостаточно. Покупки чужих знаний тоже. Достаточно вспомнить выступление руководителя 2-го Управления ФСТЭК Виталия Лютикова на последнем PHD. Он тогда сказал, что из десяти производителей сертифицированных в России средств защиты информации у половина до сих пор остается неустраненная уязвимость Heartbleed. И в качестве причины неустранения называется либо нехватка средств на устранение, либо отсутствие компетенции, позволяющей устранить эту дыру. То есть компетенция взять чужой продукт и навесить на него бляху "сделано в России" была, а обеспечивать должный уровень защищенности "своего" продукта - нет. С чужим знанием об угрозах ситуация аналогичная.

Какие сегменты рынка ИБ в обязательном порядке подразумевают наличие собственного исследовательского центра? Я бы выделил следующие:

  • NGFW и WAF/DBF/DAF
  • IDS/IPS (СОВ/СОА)
  • сканеры безопасности и средства эмуляции атак
  • антивирусы и другие средства борьбы с вредоносным ПО (antimalware, breach detection systems, песочницы и т.п.)
  • контентная фильтрация (антиспам и фильтрация URL)
  • Threat Intelligence.

Разработчикам, особенно тех решений, который требуют непрерывного обновления знаниями о новых угрозах, стоит, как мне кажется, озаботиться данным вопросом.
Alt text