RSA Conference 2024: искусство возможного

RSA Conference 2024: искусство возможного

RSA Conference 2024: искусство возможного

6–9 мая в Сан-Франциско прошла очередная конференция-выставка RSA, которая является «законодателем мод» для большой части специалистов по ИБ (в 2024 году участие приняло 40 000 человек) — как минимум, ориентированных на США, Канаду, Европу, большинство стран Латинской Америки, а также страны азиатского региона, дружественные США. Поэтому можно утверждать, что тенденции, выявленные на данной выставке, являются в большей степени мировыми, непривязанными к конкретному региону (за исключением России, вследствие понятных геополитических событий).

Однако и сбрасывать эти тенденции со счетов не стоит по ряду причин. Во-первых, в России есть ИБ-компании, которые осуществляют международную экспансию (я работаю как раз в такой) и которым очень важно понимать, чем живёт весьма агрессивная конкурентная среда. Во-вторых, слежение за мировыми тенденциями позволяет пусть и не копировать слепо западный путь, но почерпнуть у бывших партнёров интересные направления развития, что полезно и для российского рынка.

В пятёрку типов средств защиты, которые были представлены 640 вендорами на RSAC, входят облачная безопасность, управление рисками и комплаенс (это общая категория), сетевая безопасность, защита данных и SecOps. Если бы у нас проходила схожая выставка (а у нас всё-таки в стране около 200 вендоров), топ-5 выглядел бы иначе: не уверен, что облака бы в него вошли.

 

Рисунок 1. Распределение вендоров

Распределение вендоров

 

Сама RSA Conference 2024 прошла под знаком искусственного интеллекта и девизом «Искусство возможного», что и обусловило огромное число анонсов, упоминающих эту технологию с различных точек зрения: применение ИИ для различных целей ИБ, обнаружение атак использующих ИИ, а также защита ИИ-приложений от различных нарушений, например утечек информации через GenAI-приложения (ChatGPT, Microsoft Copilot и т. п.). Немалое количество анонсов было связано с использованием ИИ в качестве помощника для принятия решений в области ИБ (поиск конфиденциальной информации, суммаризация логов, рекомендации по мерам реагирования, разъяснение обнаруженных событий и т. п.).

 

Рисунок 2. Основные способы применения генеративного ИИ в ИБ

Основные способы применения генеративного ИИ в ИБ

 

Проанализировав почти 200 анонсов, сделанных разными компаниями в рамках выставки, я даже устал от постоянного упоминания к месту и не очень терминов «искусственный интеллект», «машинное обучение», «глубокое обучение». Иногда складывалось впечатление, что компания анонсирует давно известные и используемые ею возможности, просто добавив в старый пресс-релиз словосочетания «AI-based», «Powered by AI», «AI-Empowered» и т. п. На прошедшей двумя неделями ранее ИБ-выставке GISEC в Дубае была идентичная история; правда, самих анонсов там почти не было — все придерживали их до RSAC 2024.

Вторым активно развивающимся направлением на RSAC стала тема SecOps, в рамках которой почти все производители сфокусировались на трёх областях:

  • автоматизация всех аспектов SecOps, включая сбор сигналов тревоги и особенно их классификацию и приоритизацию, 
  • предложение помощников аналитиков SOC на базе ИИ, которые могли бы ускорить процесс принятия решения за счёт той же автоматизации многих рутинных операций (суммаризация, разъяснение, рекомендации и т. п.),
  • унификация управления различными аспектами SecOps, разработка нового графического интерфейса и дашбордов, которые позволяют сделать работу аналитиков ИБ продуктивнее и эффективнее.

Также стоит упомянуть наметившееся движение по уходу от монолитных SOC, построенных на базе платформы одного вендора, в сторону «конструктора LEGO», состоящего из множества решений отдельных компаний, часто стартапов, взаимодействующих по общим протоколам и интерфейсам. И хотя гиганты ИБ-рынка (Cisco, Fortinet, Palo Alto, Elastic, Forcepoint и т. п.) пока ещё доминируют в области платформенного и монолитного подхода, на пятки им уже наступают. Некоторые аналитики прямо пишут, что они видят тектонический сдвиг в индустрии, которая повернулась лицом к интеграциям, дающим клиентам большую ценность, чем монолитные решения из одной корзины. В конце концов, заказчики покупали разные продукты разных компаний в разное время и не готовы выбрасывать их на помойку ради неочевидной выгоды от использования продуктов одного вендора. Выигрывает прагматический подход.

 

 

Рисунок 3. Технологическая платформа современного центра мониторинга

Технологическая платформа современного центра мониторинга

 

Третье активно продвигаемое на RSAC направление связано с защитой приложений (AppSec), в рамках которого анонсировались различные решения по безопасной разработке (конечно же, с помощью ИИ), а также инструменты по распознаванию, категоризации и защите приложений от широкого спектра атак — традиционных и на базе всё того же ИИ. Особо стоит выделить разнообразные GenAI-приложения и сервисы, которые активно поднимались на щит различными вендорами, обещающими контроль доступа к ИИ-сервисам типа Microsoft Copilot или ChatGPT, обнаружение утечек информации через них, а также мониторинг и защиту API при доступе к ним. Кстати, было немало анонсов по решениям класса API Security, которые и в России могут стать популярными — по мере активного развития различных финтех-компаний, включая использование ими OpenAPI, и требований Банка России по безопасности такого взаимодействия.

Отдельно стоило бы упомянуть решения класса xSPM, где SPM расшифровывается как «security posture management», а за «x» скрываются различные технологии: облака (cloud), приложения (application), Zero Trust, Kubernetes, управление активами (Asset Intelligence) и искусственный интеллект (AI). Решения данного класса обычно мониторят облачные системы инфраструктуры в поисках некорректных конфигураций, нарушений политик и требований законодательства и иных потенциальных уязвимостей в разных технологиях и ресурсах. Большое внимание было уделено теме приоритизации уязвимостей: многие стартапы выстраивали свои технологии вокруг решения этой проблемы. Американские регуляторы тоже не обошли вниманием эту тему: например, CISA анонсировала новый проект по обогащению данных CVE — Vulnrichment, который позволяет принимать взвешенные решения в части устранения слабых мест из постоянно расширяющегося списка.

Выпуск второй версии NIST CSF и добавление в неё шестого компонента — Govern, установление требований комиссии по ценным бумагам США относительно уведомления об инцидентах с серьёзными материальными последствиями, а также появление требований для финансового рынка Великобритании, схожие с результативной кибербезопасностью, запустили активный процесс реинкарнации управления рисками в более ориентированном на бизнес смысле. Многие представленные на RSAC решения активно эксплуатировали эту тему, говоря о новых дашбордах для бизнеса, калькуляторах рисков и потерь, оценках зрелости и т. п. Будь дело в России, я бы назвал это результативной кибербезопасностью, но на Западе больше принят термин «outcome-based security» или «result-driven cybersecurity», означающий то же самое.

Вслед за участившимися атаками на учётные записи, вышедшими на третье место среди причин успешных инцидентов во всём мире, компании обратили внимание и на сектор Identity Management, который постепенно выходит за рамки собственно управления учётными записями, включая привилегированные, и идёт в сторону полного мониторинга жизненного цикла учётной записи и реагирования на любые связанные с нею нарушения. Этим обусловлено и появление немалого количества решений класса ITDR (Identity Threat Detection & Response).

 

Рисунок 4. Экосистема безопасности идентификации

Экосистема безопасности идентификации

 

Направление облачной безопасности предсказуемо разделилось на защиту в облаке и защиту из облака. Во втором случае речь идёт о размещении в облаках различных привычных решений по ИБ и продаже их по облачной модели: SOC, Identity Management, межсетевые экраны, борьба с утечками и т. п. Заметна фокусировка на защите SaaS-приложений, интегрируемой с активным применением ИИ — например, для разметки конфиденциальных данных в облачных хранилищах, распознавания и категоризации облачных приложений и трафика и т. п. Как следствие, развиваются решения классов SASE и CASB, которые наделяются ИИ-функциональностью. Это направление в России пока развито не очень сильно из-за отсутствия у нас аналогов AWS, Microsoft Azure и GCP, на базе которых активно развивается рынок SaaS-приложений.

Решения в области защиты электронной почты также были популярны на RSAC 2024. Связано это с тем, что социальный инжиниринг продолжает занимать первое место среди причин успешности атак, а почта — оставаться популярным инструментом бизнес-коммуникаций. Поэтому обнаружение новых атак, в том числе на базе ИИ, в различных (преимущественно облачных) почтовых сервисах было популярной мантрой многих производителей.

Наконец, последней по порядку, но не по важности была тема Threat Intelligence, которая позволяет добавить к любому ИБ-решению налёт прогностической аналитики и погружения в мир хакеров и APT-группировок. Интеграции с различными сервисами TI, обогащение телеметрии от средств защиты с помощью TI, внешней и внутренней, суммаризация TI-бюллетеней, визуализация и подсветка самого важного при расследовании, сравнение с другими компаниями... вот только некоторые аспекты, на которые делали ставку различные производители средств защиты, представленные на RSAC 2024.

США приурочили к RSA Conference 2024 анонс международной стратегии по части киберпространства и цифровой дипломатии (United States International Cyberspace & Digital Policy Strategy), а также опубликовали доклад «2024 Report on the Cybersecurity Posture of the United States» о состоянии кибербезопасности в США и мероприятиях в рамках Национальной стратегии кибербезопасности, выпущенной в 2023 году. Что-что, а регуляторы всех стран соединяйтесь похожи друг на друга и любят анонсировать какие-то свои инициативы перед большими скоплениями профильных специалистов.

В заключение небольшого обзора по итогам RSA Conference 2024 хочу отметить, что ещё год назад тема искусственного интеллекта также была в фаворе, но бралась на щит производителями не так активно, как в год выборов американского президента. Можно предположить, что в следующем году, на фоне закручивания гаек в отношении использования ИИ в мире и ограничения экспорта этой технологии за пределы США, число громких заявлений будет не столь велико или выставка станет более локальной, что, конечно, повлияет на неё не так уж и сильно, поскольку рынок ИБ США составляет не менее 40% от общемирового.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru