Сравнение экосистем информационной безопасности

Как выбрать экосистему кибербезопасности, максимально удовлетворяющую потребности конкретного предприятия, охватывающую все сценарии возможных атак? По каким критериям сравнивать экосистемы? Какие подходы используют вендоры для формирования своих портфелей? Ответы на эти и другие вопросы ищите в сравнении экосистем продуктов и сервисов российского рынка информационной безопасности.

 

 

 

 

 

1. Введение
2. Описание экосистем кибербезопасности
   
   1. 2.1. Экосистема продуктов и сервисов компании BI.ZONE
   2. 2.2. Экосистема продуктов и сервисов компании Positive Technologies
   3. 2.3. Экосистема продуктов и сервисов R-Vision
   4. 2.4. Экосистема продуктов и сервисов «Лаборатории Касперского»
   5. 2.5. Экосистема продуктов и сервисов компании «МегаФон»
   6. 2.6. Экосистема продуктов и сервисов компании «РТК-Солар»
3. Методология сравнения
4. Сравнение экосистем кибербезопасности
   
   1. 4.1. Безопасность корпоративной инфраструктуры
      
      1. 4.1.1. Защита конечных точек
      2. 4.1.2. Сетевая безопасность
   2. 4.2. Мониторинг и управление ИБ
   3. 4.3. Управление доступом
   4. 4.4. Защита приложений
   5. 4.5. Защита данных
   6. 4.6. Безопасность промышленной инфраструктуры
   7. 4.7. Аналитика по угрозам (Threat Intelligence)
   8. 4.8. Аутсорсинг ИБ
      
      1. 4.8.1. Услуги по управлению безопасностью (MSS)
   9. 4.9. Экспертные сервисы
   10. 4.10. Обучение
   11. 4.11. Прочее
5. Выводы

Введение

Решения в сфере информационной безопасности за три десятка лет прошли долгий эволюционный путь. Пионеры рынка — сигнатурные антивирусы, «заточенные» на решение конкретной, наиболее острой на тот момент задачи, постепенно обрастали эвристическими ядрами, сетевыми сканерами и другими компонентами. Программы резервного копирования учились шифровать данные, а прокси-серверы — выполнять оперативный мониторинг трафика. Сегодня число только классов ИБ-решений измеряется десятками, а сразу расшифровать очередную аббревиатуру от Gartner сможет не каждый профессионал рынка.

Информационная безопасность вслед за потребностями заказчиков осваивает новые платформы, работая с облаками, мобильными устройствами, контейнерными средами и интернетом вещей. Точно так же, откликаясь на запрос рынка, вендоры работают над взаимодействием отдельных продуктов. Начав с элементарного обмена данными, разработчики стараются всё глубже интегрировать свои инструменты, формируя единую среду, своего рода экосистему, в рамках которой сумма двух единиц уже немного больше, чем двойка, а три или четыре взаимосвязанных элемента демонстрируют ощутимый синергетический эффект.

Движение к преобразованию продуктового портфеля в нечто большее, чем набор отдельных продуктов, — процесс двусторонний. Заказчики, в первую очередь крупные, по мере роста зрелости своих систем информационной безопасности «по кирпичику» добавляют в них новые элементы. Вендоры, со своей стороны, разрабатывают матрицу возможностей, определяя ещё неосвоенные сегменты рынка. В результате этого, опять же эволюционного, процесса возникает соприкосновение интересов, когда заказчики испытывают потребность в экосистеме информационной безопасности, а вендоры способны предложить такие решения.

Однако не всё так просто. Во-первых, большинство заказчиков, осознающих необходимость создания экосистемы кибербезопасности, как правило, уже имеют в своём арсенале весьма разношёрстный набор продуктов от разных вендоров. Даже если в клиентском портфеле есть явный фаворит, закрывающий наиболее важные сегменты системы информационной безопасности, даже если поставщик этих продуктов готов охватить своими решениями всё пространство потребностей заказчика, замена множества пусть «второстепенных», но нужных инструментов — процесс трудоёмкий, длительный и дорогой. Стоит ли игра свеч — вопрос весьма непростой.

Ещё один аспект проблемы — так называемый «vendor lock-in», зависимость заказчика от одного поставщика, при которой переход на продукты других разработчиков естественным образом или намеренно затруднён. В рамках прямого эфира AM Live, посвящённого ИБ-экосистемам, прозвучала мысль о том, что одним из способов хеджировать риски попадания в зависимость является модель SecaaS (Security-as-a-Service) — получение информационной безопасности как сервиса по подписке. Действительно, сегодня большинство вендоров готовы поставлять некоторые или даже все свои решения из облака. Более того, MSS-провайдеры (Managed Security Service Providers) активно включились в борьбу за рынок экосистем и представляют свои интегрированные портфели, моновендорность которых — лишь обёртка, ибо «под капотом» таких систем — инструменты от разных разработчиков.

Получается, что, говоря об экосистемах в информационной безопасности, мы подразумеваем совершенно разные сущности. Это могут быть разные наборы инструментов, обладающие разной степенью интеграции, реализованные на разных платформах. Набор ценностей, выгод и преимуществ, которые получает клиент от использования экосистемы, также может быть разным. В одном случае это — технологический стек, каждый элемент которого обогащает возможности других. В другом — единая консоль, снижающая затраты на подготовку персонала. В третьем — линейка скидок, которые растут с приобретением нового продукта.

Как понять, какая экосистема будет оптимальной для конкретного предприятия? На какие факторы обратить внимание при выборе? Чем в принципе отличаются подходы разных вендоров к построению экосистем информационной безопасности? Мы попытались если не найти ответы на эти вопросы, то по крайней мере предоставить вам информацию для самостоятельных выводов в рамках нашего сравнения ИБ-экосистем.

Описание экосистем кибербезопасности

Экосистема продуктов и сервисов компании BI.ZONE

В основе концепции BI.ZONE лежит комплексное обеспечение непрерывности бизнеса — набор практик и инструментов, позволяющих повысить киберустойчивость компании в условиях изменяющегося ландшафта угроз. Создавая инструменты безопасности, вендор строит собственный SOC, одним клиентам предлагая использовать центр мониторинга по модели SecaaS, а другим помогая оснащать их центры кибербезопасности. При этом в наборе продуктов и услуг отчётливо прослеживается ориентация на защищённость на основе экспертизы: в портфеле BI.ZONE есть средства для пентестинга (BI.ZONE CPT), запуска программ вознаграждения за найденные уязвимости (платформа BI.ZONE Bug Bounty), защиты бизнеса от атак с использованием DNS (BI.ZONE Secure DNS), защиты бренда (BI.ZONE Brand Protection), а также решение для непрерывного мониторинга безопасности (BI.ZONE TDR Threat Detection and Response).

Отвечая современным угрозам, компания BI.ZONE также развивает собственную платформу для сбора, верификации и распространения потоков данных Threat Intelligence, службу получения сведений об актуальных киберугрозах BI.ZONE ThreatVision и сервис для безопасной трансформации сети BI.ZONE Secure SD-WAN, который обеспечивает стабильность передачи трафика, создавая надёжное соединение даже с самыми труднодоступными площадками сети. Также сервис BI.ZONE Secure SD-WAN защищает трафик и сетевую инфраструктуру с помощью встроенного межсетевого экрана, автоматической настройки VPN и шифрования.

Классические инструменты информационной безопасности тоже не забыты. Например, у разработчика есть средство противодействия мошенничеству BI.ZONE AntiFraud (BI.ZONE BFP). Компания также предоставляет услуги по реагированию на инциденты, а в отдельных случаях может дополнительно проверить всю инфраструктуру на предмет компрометации с помощью услуги BI.ZONE Compromise Assessment. В случае использования облачных сервисов кибербезопасности клиент подключается к приватному облаку BI.ZONE и безопасно взаимодействует через него со внешним миром, не привлекая дополнительных ресурсов по внедрению и эксплуатации со своей стороны. Даже такие, казалось бы, продукт-ориентированные системы, как WAF и защита электронной почты, которые также разрабатывает BI.ZONE, несут отметку «под руководством экспертов».

BI.ZONE работает по сервисной модели и специализируется на аутсорсинге. В портфеле компании есть функции сервис-провайдера, экспертных услуг и консалтинга, а также широкая линейка инструментов кибербезопасности. Например, BI.ZONE Compliance Platform позволяет выстроить зрелые процессы, необходимые для соответствия требованиям федерального закона № 152-ФЗ. Недавно представленный сервис вендора «Виртуальный директор по кибербезопасности» (BI.ZONE vCISO) может помочь в решении различных проблем, начиная от оценки уровня зрелости кибербезопасности и приведения её в соответствие требованиям законодательства РФ и заканчивая риск-ориентированным управлением, а также построением полноценного процесса по обеспечению непрерывности бизнеса.

Преимущества экосистемы кибербезопасности BI.ZONE

Подход к индивидуальному стратегическому проекту в BI.ZONE включает в себя множество последовательных опций: аудит защиты, создание архитектуры кибербезопасности, тестирование сервисов, аудит технической инфраструктуры, развёртывание сервисов кибербезопасности, сопровождение и поддержка. Весь блок решений по управлению уязвимостями, выплате вознаграждений за найденные бреши (баг-баунти), а также киберполигон будут интересны в первую очередь заказчикам с собственными, уже сложившимися КБ-командами.

Экосистема продуктов и сервисов компании Positive Technologies

Экосистема кибербезопасности Positive Technologies включает в себя набор продуктов, необходимую экспертизу и сервисы, которые помогают компаниям эффективно защищаться от сложных и актуальных киберугроз, обеспечивая непрерывность и защищённость бизнеса. В зависимости от запросов защищаемой компании Positive Technologies предлагает решение под конкретную отрасль, учитывая её специфику, технологический стек и уровень компетенций персонала.

Ядром ИБ-экосистемы Positive Technologies является продукт MaxPatrol SIEM, который бесшовно интегрируется с системой управления уязвимостями MaxPatrol VM. Оба решения «из коробки» имеют единую консоль управления и работают в режиме «одного окна». SIEM собирает журналы со всех сетевых узлов защищаемой инфраструктуры и находит инциденты в ИБ, а MaxPatrol VM выявляет уязвимости и контролирует патч-менеджмент. В качестве сенсора для SIEM-системы может выступать PT Network Attack Discovery (PT NAD), который способен выявлять атаки на ранних этапах проникновения в сеть или находить в инфраструктуре следы уже закрепившегося злоумышленника.

Ещё один элемент экосистемы Positive Technologies — песочница PT Sandbox. Она обнаруживает целевые и массовые атаки с применением вредоносных программ. PT Sandbox интегрируется с PT NAD и почтовой системой. PT NAD определяет передачу файла или ссылки в трафике, извлекает их и передаёт на проверку в PT Sandbox. Вердикт об опасности объектов передаётся обратно в PT NAD. Дополнительно PT Sandbox обогащает данные MaxPatrol SIEM, передавая туда информацию о проверенных объектах.

Точно так же работает с SIEM-системой PT Application Firewall. Решение контролирует безопасность веб-приложений и передаёт в MaxPatrol SIEM выявленные попытки атак на защищаемые ресурсы. Эта информация служит дополнительным контекстом при принятии решения о реагировании или расследовании цепочки атак.

Экосистема информационной безопасности Positive Technologies ориентирована в первую очередь на крупный и средний бизнес — компании, которые уже имеют свой собственный центр реагирования на киберугрозы. Заказчик может выбрать необходимый набор продуктов исходя из тех задач, которые стоят перед ИБ-подразделением в данный момент, а впоследствии — дополнять экосистему новыми функциональными возможностями.

Positive Technologies предлагает продукты со встроенной экспертизой, которая непрерывно и автоматически обновляется. Такой подход позволяет внедрить киберзащиту за короткий промежуток времени, не прибегая к увеличению штата обслуживающего персонала или другим издержкам для бизнеса. Экспертиза от вендора подготавливается под конкретный объект защиты: для обнаружения и реагирования в корпоративных или индустриальных сетях. Таким образом поставщик экосистемы помогает выявлять релевантные для конкретного бизнеса угрозы и минимизирует количество ложноположительных срабатываний.

Преимущества экосистемы кибербезопасности Positive Technologies

Благодаря использованию базовых технологий в рамках нескольких продуктов оптимизируется совокупная стоимость владения комплексным решением от одного вендора. Готовые интеграции позволяют построить моновендорный центр противодействия киберугрозам (ЦПК) с меньшими затратами, чем при использовании продуктов различных производителей.

Разработчик заранее интегрировал в экосистему готовые сценарии совместного использования разных продуктов из своего портфеля. Платформа Positive Technologies открыта для интеграции со сторонними решениями через API и средства разработки собственных коннекторов (для компаний, которые уже имеют компоненты ЦПК от других производителей). В перспективе вендор видит элементы своей экосистемы в роли сенсоров для метапродуктов Positive Technologies.

«Экосистема решений Positive Technologies является результатом работы как специалистов по защите, так и исследователей, которые понимают возможные тренды атак. Экосистема продуктов Positive Technologies — пример оптимального набора средств безопасности, который позволяет передавать весь наш опыт пользователям в виде решения “под ключ”», — сказал нам Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies.

Экосистема продуктов и сервисов R-Vision

R-Vision EVO — экосистема взаимосвязанных технологий, компонентов и выстроенных между ними процессов для построения и эволюции SOC. Появление экосистемы технологий R-Vision EVO является логическим продолжением многолетней работы компании по созданию продуктов для построения и усовершенствования SOC.

Основная задача экосистемы R-Vision EVO — предоставить компаниям возможность поэтапного развития SOC, его технологий и процессов для обеспечения комплексной кибербезопасности организации. R-Vision применяет все лучшие практики риск-ориентированного подхода, который основывается на инвентаризации активов и оценке рисков, после чего фокус смещается на более «прикладные» задачи, такие как мониторинг инфраструктуры, выявление инцидентов и реагирование.

Всё это — процессы, которые являются непрерывными в компании и позволяют эволюционно развивать SOC. Внедрение технологий, которые расширяют возможности детектирования и получения дополнительного контекста при расследовании инцидентов, поможет избежать финансовых и репутационных потерь.

Таким образом, построение эффективного SOC на базе экосистемы R-Vision EVO состоит из последовательного внедрения следующих технологий:

• Security Asset Management. Поможет на старте построения SOC сформировать полную видимость инфраструктуры, понять, какие активы существуют, и оценить уровень их критической значимости для бизнеса. Применение совместно с компонентом Endpoint позволит расширить полученные инвентаризационные данные сведениями с конечных точек.
• Governance, Risk Management, Compliance. С её помощью на следующем этапе проводится работа с рисками и оценивается состояние защиты. Это позволяет определить вероятность реализации угроз и возможный ущерб.
• Vulnerability Management. Помогает автоматизировать работу с уязвимостями после получения полной картины по активам. Управление уязвимостями включает в себя все шаги от выявления и приоритизации до устранения, что позволяет значительно снизить риски для организации.
• Security Information and Event Management. Выполняет одну из важнейших задач в SOC: мониторинг инфраструктуры и сбор событий со всех активов, обеспечение их нормализации, хранения и анализа. При совместном использовании с компонентом Endpoint даёт дополнительные возможности для сбора событий и телеметрии из широкого перечня источников.
• Security Orchestration, Automation and Response. Применяется на следующем этапе и помогает автоматизировать процесс управления инцидентами в ИБ за счёт преднастроенных сценариев (плейбуков). Это позволяет оперативно реагировать на угрозы и повышает эффективность работы SOC.
• User and Entity Behavior Analytics. Используется для проведения детального расследования инцидентов, помогает получить расширенную информацию об аномалиях за счёт обнаружения отклонений от нормального поведения пользователей и объектов.
• Deception. Имитирует элементы инфраструктуры с целью обнаружить присутствие злоумышленников и замедлить их передвижение внутри сети, что даёт возможность своевременно отреагировать на атаку.
• Threat Intelligence. Является источником дополнительного контекста по угрозам для аналитиков и применяется для всестороннего управления данными о киберугрозах.

Преимущества экосистемы кибербезопасности R‑Vision EVO

Применение технологий экосистемы R-Vision EVO при построении SOC позволяет планомерно наращивать и расширять его функциональность в соответствии с ростом потребностей организации, что обеспечивает возможность адаптации системы к изменяющемуся ландшафту угроз.

Встроенные интеграционные механизмы, конфигурации и ролевые модели экосистемы сокращают трудозатраты на интеграцию различных компонентов, а также обеспечивают единое управление и контроль над всеми технологиями SOC.

Экосистемный подход от компании R-Vision помогает формировать долгосрочный план развития SOC и эффективной защиты организации, предоставляя инструменты и ресурсы для планирования и управления развитием SOC c учётом специфических задач, стоящих перед заказчиками.

Кроме того, вендор обеспечивает экспертную поддержку при внедрении технологий R-Vision EVO, включая консультации, обучение персонала, настройку системы, а также постоянное сопровождение в процессе эксплуатации SOC.

«Развивая экосистему R-Vision EVO, мы стремимся предоставить заказчику уникальный набор технологий, которые помогут сформировать долгосрочный план развития SOC и будут полезны на каждом этапе его эволюции», — прокомментировал Игорь Сметанев, директор по стратегическому развитию R‑Vision.

Экосистема продуктов и сервисов «Лаборатории Касперского»

Экосистема компании «Лаборатория Касперского» развивалась поэтапно исходя из потребностей рынка — от отдельных продуктов к комплексным решениям, объединяющим в себе несколько ИБ-систем. В конце 2021 года вендор представил решение Kaspersky Symphony XDR, которое обладает ключевыми параметрами экосистемы — от технологий автоматического предотвращения, мониторинга и обнаружения до проведения расследований, проактивного поиска, анализа первопричин и предотвращения атак.

Symphony XDR реализует комплексный подход к безопасности для компаний всех размеров и отраслей. При этом в «Лаборатории Касперского» считают, что комплексный подход и экосистема хотя и идут рука об руку, но не означают одно и то же. Экосистема должна включать в себя всё необходимое для отражения современных атак, поэтому прежде всего она предназначается для крупных компаний: промышленных организаций, финансовых учреждений и прочих, где предъявляются высокие требования к безопасности и есть специалисты, которые умеют работать с передовыми решениями.

Вендор придерживается политики реализации экосистем с учётом отраслевой специфики, поэтому осенью 2022 года представил Kaspersky OT CyberSecurity, которая учитывает специфику промышленных предприятий. Её центральным элементом является специализированная промышленная XDR-платформа Kaspersky Industrial CyberSecurity. Экосистемы для корпоративного и промышленного сегментов тесно интегрированы между собой и дают возможность отслеживать происходящее на стыке этих двух сред (ИT и OT) благодаря SIEM-системе Kaspersky Unified Monitoring and Analysis Platform.

Что касается сценариев взаимодействия отдельных продуктов в рамках экосистемы «Лаборатории Касперского», то вендор классифицирует их по трём векторам:

• Инвазивное и неинвазивное взаимодействие. Реагирование — это не всегда блокировка или изоляция: неинвазивные реакции позволяют обогатить уведомления контекстом по угрозам, проверить файлы в песочнице, объединить сигнал тревоги с другим подобным, взять из БД историю действий пользователя или хоста, важную в определённом контексте.
• Автоматическое и автоматизированное. Реагирование может вызвать сам пользователь, или система будет запускать его полностью автономно.
• Атомарные и сложные. Действия могут объединяться в цепочки и даже в целые алгоритмы, а могут быть элементарными. Сложные сценарии (плейбуки) можно выполнять только на хорошо формализованных данных при наличии контекста.

Преимущества экосистемы кибербезопасности «Лаборатории Касперского»

Используя экосистему «Лаборатории Касперского», заказчик сокращает издержки за счёт единого лицензирования, единой поддержки, удобного управления компонентами, понятных схем масштабирования и других факторов. Экосистема экономит финансовые и человеческие ресурсы благодаря продуманному сочетанию автоматизированных и экспертных функций, доступу к передовой аналитике по угрозам.

Технологически экосистема строится вокруг двух столпов: централизации и автоматизации. Автоматизация позволяет сократить трудозатраты аналитика на типичные операции и снизить выгорание специалистов, которым больше не придётся заниматься рутиной, а также избежать человеческих ошибок. Централизация также имеет критическое значение, поскольку агрегированные инциденты, собранные со всех интегрированных продуктов по всей инфраструктуре, позволят фокусироваться на значимых угрозах, не упуская даже низкоприоритетных деталей.

«Наша экосистема кибербезопасности — это не искусственно созданная концепция, оторванная от реальности, а потребность сегодняшнего дня, которая делает процессы обеспечения безопасности стабильнее, эффективнее и прозрачнее. ИБ-команды получают в распоряжение продвинутые инструменты и технологии, позволяющие им противодействовать угрозам любого масштаба и сложности без увеличения нагрузки на специалистов. В итоге система безопасности приобретает необходимую целостность, а бизнес становится устойчивее к современным вызовам», — сказал по этому поводу Евгений Бударин, руководитель направления предпродажной поддержки «Лаборатории Касперского».

Экосистема продуктов и сервисов компании «МегаФон»

Компания «МегаФон» строит свою экосистему по модели «Security-as-a-Service» (SecaaS), предлагая портфель решений в сфере информационной безопасности на базе собственной облачной среды. При формировании набора сервисов вендор шёл от частного к общему, включая в свою экосистему продукты различных производителей для обеспечения потребностей широкого круга клиентов в информационной безопасности. Интеграция таких решений между собой, объединение отдельно работающих сервисов под крышей одной среды — задача, которую компании ещё предстоит решить.

Обладая высокой экспертной квалификацией в телеком-сфере, «МегаФон» расширяет базовый портфель провайдера передачи данных ИБ-решениями и планирует, где это возможно, связать ИБ- и телеком-сервисы в единый продукт — например, предлагать компаниям мобильные устройства и тарифы вместе с безопасностью этих устройств и сотрудников, которые их используют, или предоставлять каналы и их защиту на разных уровнях сетевых взаимодействий. Потребителем такой услуги может быть компания любого масштаба, но наиболее ощутимые преимущества получит сегмент малого и среднего бизнеса.

Преимущества экосистемы кибербезопасности «МегаФона»

Использование сервисной модели даёт клиенту возможность получать из одного источника ИБ-сервисы высокого качества и другие связанные продукты, такие как телеком, ИТ, аналитика по рекламе и пр., по гибкой бизнес-модели, оптимизируя тем самым свои затраты (и не только на информационную безопасность).

С технологической точки зрения экосистема «МегаФона» может обеспечить большую гибкость и отказоустойчивость, нежели локальные системы (on-premise). Кроме того, провайдер в ряде случаев способен предложить своим клиентам несколько решений разных производителей в одном классе. «МегаФон» имеет доступ к уникальным операторским метрикам по информационной безопасности, что позволяет более качественно и глубоко настраивать систему защиты.

«Экосистема сервисов кибербезопасности не может существовать отдельно от инфраструктурных и сетевых сервисов, поэтому есть определённые преимущества именно у телеком-операторов, играющих на этих рынках, в создании экосистемы в полном смысле этого слова. “МегаФон” — это компания, которая стремится к этому, закрывая потребности и предлагая единую точку контроля на всех трёх китах функционирования ИТ-инфраструктуры», — отметил Александр Голубчиков, руководитель направления по развитию продуктов кибербезопасности.

Экосистема продуктов и сервисов компании «РТК-Солар»

Экосистема информационной безопасности компании «РТК-Солар» органично сочетает преимущества как сервисной, так и интеграционной моделей, в том числе на базе собственных продуктов. Как сервис-провайдер компания предоставляет широкий спектр облачных инструментов, а также собственную экспертизу — услуги специалистов в различных сферах информационной безопасности. Такой подход даёт возможность максимально расширить круг потенциальных клиентов, в т. ч. потому, что такой вариант обеспечения ИБ имеет низкий порог входа, не предполагающий капитальных расходов (CAPEX) на создание необходимой инфраструктуры. Кроме того, в стоимость таких услуг входит экспертиза по проектированию архитектуры самой системы защиты. Заказчику не надо думать о том, как разные инструменты будут работать вместе: об этом уже позаботился сервис-провайдер.

«РТК-Солар» комбинирует собственные программные продукты и сторонние разработки, благодаря чему сумел создать очень большую экосистему, охватывающую практически все аспекты информационной безопасности. Большинство сервисов широкого пользования объединены под брендом Solar MSS, который предоставляет ИБ-решения по подписке, объединённые на технологическом, пользовательском и аналитическом уровнях. Он охватывает сервисы для защиты приложений (Anti-DDoS, WAF, VM), сетей (Anti-DDoS, UTM, ГОСТ VPN), инфраструктур (UTM, VM, Sandbox, SEG, защита от фишинга и шифровальщиков) и сотрудников (система управления навыками по кибербезопасности).

Крупным заказчикам «РТК-Солар» готов предоставить услуги внешнего центра реагирования на киберугрозы (SOC). В рамках услуги Solar JSOC специалисты сервис-провайдера обеспечивают полный цикл информационной безопасности, включающий в себя комплексный контроль защищённости, анализ внешних угроз, мониторинг, реагирование и расследование ИБ-событий, построение SOC и консалтинг. К числу сервисов, которые интересны корпоративным клиентам, следует отнести и «Национальный киберполигон» — платформу для моделирования атак на инфраструктуру.

Продуктовый портфель компании включает в себя направление защиты от внутренних угроз: систему предотвращения утечек информации и выявления признаков корпоративного мошенничества Solar Dozor, решение для управления доступом к веб-ресурсам и защиты от веб-угроз Solar webProxy, комплекс для контроля безопасности ПО Solar appScreener, платформу управления доступом к корпоративным ресурсам Solar inRights и систему помощи руководителям в повышении производительности труда и организационном развитии компании Solar advisor, платформу для управления привилегированными учетными записями и сессиями в системах – Solar SafeInspect, а также программный межсетевой экран нового поколения Solar NGFW.

Преимущества экосистемы кибербезопасности «РТК-Солара»

Компания не только предлагает один из самых больших портфелей инструментов в сфере информационной безопасности, но и декларирует их совместную работу по сервисной модели. В этом случае заказчику может быть всё равно, что находится «под капотом» облачной защиты, на которую он подписан, если результат её работы соответствует ожиданиям. При этом сама модель предоставления ИБ-услуг по подписке предполагает как финансовые выгоды, так и хорошую масштабируемость сервисов. Клиентская экосистема может расти от подписки на одно-два решения до комплексной системы защиты.

При этом «РТК-Солар» может выступать и в качестве классического вендора, развёртывая отдельные ИБ-продукты в инфраструктуре заказчика, а также создавать комплексные системы защиты (локальные или с гибридной архитектурой).

Методология сравнения

Как сравнивать и оценивать экосистемы? Какие параметры будут релевантными для комплексных решений размером в продуктовую линейку крупного вендора? Что взять за базис, общий знаменатель для систем информационной безопасности, имеющих разную архитектуру, идеологию, ценность? Мы постоянно задавались такими вопросами, работая над этим материалом. Действительно: как сравнить набор сервисов, выросший из идеи защиты канала, с набором интегрированных продуктов, построенным вокруг EDR- или SIEM-решения? Обычно в сравнениях мы намеренно отстраняемся от оценочных суждений, предоставляя читателю самостоятельно делать выводы на основе широкого ряда параметров. Хотелось сохранить эту тенденцию и сейчас.

После долгих обсуждений мы решили, что базой сравнения экосистем должен стать их охват — наличие продуктов в различных сферах информационной безопасности. Первое, что должен понять потенциальный заказчик, — сможет ли предлагаемая экосистема закрыть те векторы атак, которые наиболее актуальны для конкретной организации. Поэтому мы создали некую типовую структуру продуктов и сервисов по информационной безопасности и расставили по ней продуктовые и сервисные портфели каждого вендора.

Чтобы читателям было понятно, о чём идет речь, мы разместили отдельно продукты и сервисы. Однако такого разделения оказалось недостаточно. Ведь некоторые вендоры выступают ещё и в роли интеграторов, внедряя сторонние системы в тех сферах, где имеют соответствующие компетенции. Мы решили, что это — важная информация при оценке ИБ-экосистем, и также добавили её в сравнение.

Оценив полученную таблицу, мы посчитали, что она будет неполной без некоторой «пояснительной записки», описания каждой экосистемы, которое позволит лучше понять идеи вендора, концепцию и архитектуру создаваемого им портфолио (см. выше). Информацию для этих разделов мы запросили у самих вендоров и сервис-провайдеров, а потом переработали и привели к общей структуре. Если данные из первых рук получить не удавалось, мы собирали информацию из открытых источников — сайтов, презентаций и буклетов производителей.

Безусловно, полученный результат пока далёк от идеального аналитического исследования, однако мы надеемся, что этот первый для российского рынка опыт такого сравнения станет фундаментом для более глубокого осмысления и даже стандартизации в этой сфере.

Сравнение экосистем кибербезопасности

Безопасность корпоративной инфраструктуры

Защита конечных точек

 

Сетевая безопасность

 

Мониторинг и управление ИБ

 

Управление доступом

 

Защита приложений

 

Защита данных

 

Безопасность промышленной инфраструктуры

 

Аналитика по угрозам (Threat Intelligence)

 

Аутсорсинг ИБ

 

Услуги по управлению безопасностью (MSS)

 

Экспертные сервисы

 

Обучение

 

Прочее

 

Выводы

Рынок экосистем неоднороден и плохо структурирован в силу размытости самого термина, отсутствия чётких критериев сравнения одного набора продуктов с другим. Каждый вендор имеет свои ключевые продукты, технологии и сервисы, вокруг которых выращивается структура взаимосвязанных решений. Каждый производитель имеет свой взгляд на то, как ИБ-экосистема должна развиваться. Кто-то отталкивается от глубокой интеграции отдельных систем, кто-то в первую очередь наращивает «мышечную массу», стремясь охватить максимальное количество продуктовых единиц. Одни компании уповают в первую очередь на собственные разработки (не отказываясь при этом от дружественных интеграций), другие, напротив, создают дополнительную ценность за счёт объединения под одной крышей разрозненных продуктов различных вендоров.

Сравнивать такие архитектуры «в лоб», на основании лишь формальных показателей, будет не совсем корректно. В идеале необходимо глубокое изучение множества факторов — от широты охвата продуктовой линейки до экспертной оценки степени интеграции и удобства использования. Такая аналитика ещё появится на страницах Anti-Malware.ru, а в текущем исследовании мы попытались сделать первый шаг к упорядочиванию этого сектора индустрии информационной безопасности, в общих чертах обрисовав подходы к формированию портфелей основных игроков рынка, предоставив читателю возможность окинуть взглядом экосистемы пяти крупных вендоров.

При этом мы пока воздержались от оценочных суждений относительно превосходства одних экосистем над другими. Это сделано не только из-за понимания глобальности задачи, но и по убеждению, что на данном этапе важнее не определить абсолютного победителя, а помочь заказчикам выбрать экосистему, которая наиболее полно удовлетворяет потребности конкретной организации, найти своего поставщика, с которым будет не страшен пресловутый «vendor lock-in».

Как же это сделать? Вот несколько практических критериев, на которые необходимо обратить внимание:

• Соответствие набора элементов экосистемы тем задачам в сфере информационной безопасности, которые стоят перед компанией.
• Возможность расти функционально в рамках существующей экосистемы, а также «дорожной карты», по которой производитель будет её развивать (при наличии открытого и внятного плана развития, конечно же).
• Возможность масштабирования каждого элемента экосистемы в соответствии с планами роста бизнеса заказчика.
• Совершенство ключевых архитектурных решений, зрелость технологического ядра экосистемы.
• Доверие к вендору или сервис-провайдеру, его способность слушать и слышать мнение заказчика; наличие сильной партнёрской сети, имеющей возможность поддерживать технологию без активного вмешательства разработчика.

Это — далеко не полный перечень критериев, однако мы (как и рынок экосистем) находимся ещё в начале большого пути. Пути становления стандартов, выработки методик оценки, формирования глубокой аналитики. Поэтому — продолжение следует!

Коллектив редакции Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:

Пресс-служба компании BI.ZONE

Эльман Бейбутов, директор по развитию продуктового бизнеса, Positive Technologies

Анастасия Зуева, руководитель отдела продуктового маркетинга, Positive Technologies

Никита Юдин, менеджер по продуктовому маркетингу, Positive Technologies

Александра Герасимюк, руководитель группы продуктового PR, Positive Technologies

Евгений Катуша, старший менеджер по связям с общественностью, Positive Technologies

Специалисты отдела маркетинга и эксперты компании R-Vision

Яна Шевченко, руководитель управления маркетинга в России, странах Закавказья и Средней Азии, «Лаборатория Касперского»

Евгений Бударин, руководитель отдела предпродажной поддержки, «Лаборатория Касперского»

Илья Маркелов, руководитель направления развития единой корпоративной платформы, «Лаборатория Касперского»

Елизавета Оржековская, менеджер по маркетингу, «Лаборатория Касперского»

Александр Голубчиков, руководитель направления по развитию продуктов кибербезопасности, «МегаФон»

Екатерина Касимова, менеджер по контент-маркетингу корпоративного бизнеса, «МегаФон»

Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC, «РТК-Солар»

Валентин Крохин, директор по стратегическому маркетингу, «РТК-Солар»

Ольга Горшкова, исполняющая обязанности PR-директора «РТК-Солар»