Директор по развитию продуктового направления Positive Technologies Владимир Бенгин в эфире программы «ИБшник на удалёнке» рассказал, что сейчас один из мировых трендов в ИБ — триада технологий из SIEM (для анализа логов), EDR (для анализа инпоинта), NTA (для анализа сетей). Однако зная их историю развития, логичными являются вопросы: а будет ли в скором времени слияние технологий? Кто кого поглотит?
«По-честному, я бы сказал, что это три отдельных решения, потому что они совсем по-разному работают», — заявил Владимир Бергин.
Например, EDR — это история про то, что можно управлять тысячами, десятками тысяч различных инстансов ПО, которые работают. Специалист это всё централизовывает и отвечает за то, что 99 из 100 работоспособно, никогда не упадёт и так далее. «Там очень много специфики. И это отдельная вселенная. И вообще технологии EDR правильные, полезные. И для это как последняя миля, когда мы пропустили письмо через почту, через все её фильтры, по сети пропустили, пропустили внутрь, пропустили, не знаю, на всех межсетевых экранах, если была внешняя атака — мы везде всё пропустили и у нас всё дошло до инпоинта. Вот это последняя миля, это EDR, и это прям очень важная история», — пояснил Владимир Бергин.
NTA — это часть сетевой безопасности. И по своей сути она похожа на SIEM (как выглядит, какие задачи решает и так далее, только не на логах, а на трафике), но при этом вроде бы по технологии она должна была быть в сетевой безопасности. Но те, кто делает сегодня сетевую безопасность, у них нет такого технологического стека по сиемовскому направлению.
«И вот тут я не знаю. И тут я не знаю, у кого будет больше выдержка. И в итоге NTA заберут себе целиком сетевые вендора и у них будут классные идеи или наоборот SIEM научится работать с сетью и те, кто делали SIEM, будут иметь лучшие идеи», — выразил сомнение Владимир Бергин.
Вместе с тем, продукты UEBA однозначно перестали быть «горячим» трендом. По словам эксперта, это был скорее маркетинговый тренд в плохом смысле этого слова, который мешал делать что-то по-настоящему правильное. И хотя в целом сама технология правильная, в ней есть много хороших вещей, но в ней слишком много проблем. «Из этого не родится отдельный класс решений, но это точно хорошая плюшка к тому, чтобы расширить возможности своей платформы, своего SIEM или своего EDR с какой-то центральной частью или своего NTA решения, не важно какого. Поэтому UEBA мы сразу убираем вместе с machine learning как инструментарий, который расширит одно из этих направлений», — сказал Владимир Бергин.
