Традиционно рынок продуктов ИБ разделяется на две большие части: средства анализа защищенности и средства обеспечения защиты. Как правило, услуги и софт по анализу защищенности продают сравнительно небольшие компании, выросшие на исследователях (резерчерах) или вообще бывшие в прошлом тусовкой хакеров. Примеров масса: можно вспомнить L0phtCrack, Nessus, AppScan и так далее. Такие компании редко вырастают и обычно впоследствии приобретаются более крупными игроками. Это неудивительно: ломать проще чем строить, и часто -- интереснее.
Крупные же игроки на мелочи не размениваются, а производят средства защиты. Ведь заказчику неинтересно знать, что у него "плохо тут и еще вот здесь", ему надо, чтобы все было защищено. Это можно понять: заказчику неинтересно разбираться в тонкостях конфигурации и патч-менеджмента, ему надо, чтобы бизнес функционировал и риски ИБ держались на приемлемом уровне. Поэтому рынок средств защиты -- это рынок крупных игроков, как правило, понимающих бизнес-потребности заказчика.
Упрощенно такая модель взаимодействия показана синими стрелками. Исследователь кусает вендора за ноги, чтобы тот шевелился. Вендор выпускает обновления и по мере сил исправляет свой софт. Производитель средств защиты смотрит на все это и предлагает заказчику решения по защите:
Правильная ли это модель? Конечно нет. Рынок ИБ глубоко болен, и мы знаем об этом. Заказчик, купивший веб-приложение, покупает WAF, IDS и анализаторы логов, потому что с самим веб-приложением поделать ничего не может. Это напоминает покупку отечественного автомобиля: сразу после выезда из автосалона надо сделать антикор, нормальную шумоизоляцию и вообще отвезти к мужикам в гараж, чтобы нормально протянули все болты. Все бы ничего, да только в мире IT такие автомобили почему-то продаются по цене Мерседеса.
Но главная беда -- в том, что этот порочный круг никак не разорвать. Ведь производители средств защиты потеряют бизнес, если заказчикам будет не от чего защищаться. Вот исследователи и берут инициативу в свои руки. Но они все, как один, делают ошибку: идут сразу к заказчику и пытаются говорить с ним на его языке. Это показано красной стрелкой на схеме.
К сожалению, заказчик и исследователь никогда не поймут друг друга. "Эксперт по анализу защищенности" -- не то же самое, что "эксперт по защите". Здесь самое время процитировать эпиграф, вынесенный в начало текста. Не смотря на то, что резерчеры очень часто к месту и не к месту вставляют в свои вайтпейперы слово "бизнес", в бизнесе они не понимают ровным счетом ничего.
Кто же может на самом деле исправить ситуацию? Ответ простой: тот, кому это на самом деле надо, то есть сам заказчик! На Западе уже заметно движение крупных заказчиков от выделения бюджета на покупку средств защиты в сторону изначального выдвижения требований к покупаемым продуктам. Так, все чаще штатным требованием при покупке или заказе софта является предоставление отчета об использовании при разработке статического анализатора исходного кода. Причем такой подход является не только правильным сам по себе, он еще и оставляет в игре все участников рынка. Хотите взаимодействовать с нашей компанией в рамках некоторых ИТ-процессов? Покажите ваш последний отчет о проведенном пентесте, причем не абы кем, а одной из уважаемых контор. У нас такое представить пока еще невозможно, а на Западе - легко.
К сожалению, такое движение требует от заказчика дальновидности и грамотности в вопросах информационной безопасности. Только активное шевеление крупных заказчиков заставит шевелиться крупных вендоров. В России же пока плотно доминируют вендоры. Поэтому счастье наступит еще очень нескоро.
Навеяно дискуссией на LinkedIn
