Три эксперта компании Positive Technologies — заместитель генерального директора Борис Симис, директор по развитию продуктового направления Владимир Бенгин и глава продуктового маркетинга Андрей Войтенко — обсудили в эфире программы «ИБшник на удалёнке», каким технологиям ИБ пора на пенсию.
СЗИ от НСД
Первое, о чём зашла речь, это СЗИ от НСД. По мнению Бориса Симиса, это совсем непонятное решение, к тому же оно не работает. В качестве примера он привёл несколько комичный ситуаций, как, согласно названию, должны работать данные технологии. Например, пентерстеры в рамках пентеста говорят, что они зашли во внутреннюю сеть организации, но информацию взять не смогли, потому что СЗИ от НСД их не пустил.
«Я думаю, у тебя завышенное понимание, чем должно заниматься средство от несанкционированного доступа. Мне кажется, здесь ошибка была именно в наименовании этого класса решений», — не согласился с ним Владимир Бенгин.
По его словам, оно в первую очередь заточено на то, чтобы предотвратить глупости сотрудников компании, которые они делают просто по незнанию. Например, СЗИ от НСД прекрасно закрывает доступ флешек от втыкания в компьютер. СЗИ от НСД может классно тебя ограничить от установки плохого софта. Конечно, от хакеров он не очень сильно спасает, есть много вариантов как это всё обходить. «Но исходно, это, в конце концов, православное шифрование: можно диск зашифровать, положить туда важные документы из 1С. Просто задачи немного другие», — отметил Владимир Бенгин.
DLP
Вторым предметом разговора стала защита от утечек — DLP. У Бориса Симиса здесь больше претензий к названию. «Решения, которые будут защищать от утечек, важны. Но то, что сейчас называется DLP, это вообще не про это. Надо их либо как-то по-другому назвать, либо что-то другое сделать, либо и то и другое», — пояснил он.
На это Владимир Бенгин ответил, что в ИБ-отрасли вообще существует большая проблема с неймингом. Однако нельзя лишать рынок каких-то сегментов только из-за плохого нейминга. «Надо просто понимать, что DLP исходно всегда был заточен (как и СЗИ от НСД) на контроль внутреннего пользователя и скорее дурачка, чем какого-то профессионала и так далее. Потому что если мы говорим про админов, то это контроль привилегированных пользователей и вообще другая история (нарезание доступа, контроль трафика и вообще другие классы решения). А DLP всегда был заточен на инпоинты», — отметил он.
Однако в конце концов Владимир Бенгин согласился с Борисом Симисом, что в текущей ситуации удалённой работы у DLP будут большие проблемы. DLP заточен на инпоинты, которые находятся в контролируемом сегменте, а не на серверное оборудование — ту историю, которая осталась и которую надо контролировать между серверами и удалёнными АРМами. И здесь у DLP будет вызов.
«Я думаю, DLP — это какая-то история, которую пытались педалировать после того, как на все инпоинты внедрили антивирус и на все инпоинты внедрили какие-то персональные межсетевые экраны. Следующей темой, которую пытались туда пихать, стала DLP. В надежде, что это какая-то next big think. Нет, не стала, не стала уже очень давно. В общем я думаю, что DLP с рынка едет», — согласился с вышесказанным Андрей Войтенко.
Системы безопасности, построенные на оценке рисков
«Работающих систем, где прям риски оценены, и из этого сделаны правильные выводы, и система безопасности построена на этой основе — я в общем-то не видел. Вся эта история в мире породила просто какое-то огромное количество формальных документов. Есть некие формальные оценщики рисков, документы — это никак не влияет на бизнес и это в общем-то такой формальный компайенс. И мне прям обидно за это, потому что в целом идея (если не уходить в детали) хорошая. Но я думаю, что вообще это должно уйти», — отметил Борис Симис.
Он также добавил, что формальная оценка рисков уступит каким-то более умным подходам, тоже связанными с рисками, может быть с угрозами, но как-то по-другому сделанными.
Владимир Бенгин подтвердил, что уже давно все говорят о необходимости смотреть на риски по-другому, как-то по-умному, не брать какие-то лучшие практики или стандарты. Однако на практике лично он никогда не встречал эффективно построенную историю с рисками. По его мнению, всё зависит от просто талантливых умных людей, которые разбираются от самого низа технологий до самого верха, которым дали всю полноту власти внутри компании и они сидят внутри. И когда они выходят и рассказывают про риски, это не процесс, это скорее конкретный человек. «А как процесс, я очень много слышу про это, но ни разу не увидел ничего лучше, чем то, что придумано много лет назад. Мы можем долго это ругать, но пока лучше никто не придумал. Это вот консалтеры приходят, всех опрашивают, всё записывают в длинные таблицы, из таблиц собирается какой-то отчёт и из этого отчёта делаются якобы какие-то полезные выводы. Потом мы, правда, всё равно внедряем всё те же самые системы, настраиваем всё то же самое, а потом приходят хейтеры и начинают всё это ненавидеть. Но действительно, лучше подхода я не встречал», — добавил Владимир Бенгин.
Нужны инвентаризация и смелость
В конце беседы эксперты также немного затронули тему инвентаризации внешнего периметра. Все отметили, что это крайнее важное и необходимое дело, чтобы понимать, что уже устарело и что уже стало лишним в системе безопасности той или иной компании. Вместе с тем Владимир Бенгин отметил, что многие заказчики занимаются инвентаризацией и внутри своей организации и они уже прошли эту историю с внешкой.
Борис Симис добавил, что «на безопасность тратится всё больше и больше денег в мире, вендоров миллион, безопасников куча, а инцидентов всё больше и больше». Поэтому стоит задуматься, почему ИБ-отрасль при всём своём развитии не делает клиентов защищённее и что надо изменить в себе и отрасли. «Нам надо иметь смелость и понимать, что мы хотим сделать, мы сами поймём, что устарело. Не надо бояться и идти шаблонно», — заключил Борис Симис.
«Есть шанс, что мы выйдем, как другие отрасли, на какой-то новый уровень. Уровень для нашей отрасли — это ещё больше видимого результата, полезного результата, чем формальное выполнение тех или иных требований или требований рынка», — добавил Владимир Бенгин.
.jpg)
.gif)