Рынок ИБ: на новой волне
Автор
Илья Медведовский
Производители традиционных средств защиты инфраструктуры выбрасывают на рынок все новые продукты, интеграторы их продают, а заказчики покупают
В последние годы на российском рынке ИБ наблюдается явный застой. Инфраструктура более-менее защищена, общесистемные продукты (сканеры, антивирусы, файрволы и т. д.) закуплены. Новомодные темы, о которых так громко шумели последние пару лет, связанные с мобильностью, АСУ ТП, облаками, обсуждены подробно и всесторонне: одно уже не модно и слишком быстро меняется, второе слишком сложно, третье — не очень понятно, куда развивается и как защищать. Список можно продолжать.
Что же дальше? Не пришла ли пора задуматься о бизнесе? Позаботиться, наконец, о его безопасности, как бы странно это ни звучало. Ведь за минувшие годы, несмотря на значительные усилия участников рынка, главная цель так и не достигнута. Почему? Все просто: базовые средства безопасности не могут защитить бизнес, их явно недостаточно. Чувства защищенности просто нет, да его и быть не может. Если перейти на технический уровень, то вполне очевидно, что базовые технологии безопасности никоим образом не защищают бизнес как таковой: не проникают туда, где деньги лежат, нефть добывается. Общесистемные сканеры работают по диапазону IP, и интерес к ним стремительно падает. Если судить по мировым тенденциям, файрволы и VPN становятся частью сетевого оборудования и экранируют, антивирусы ловят вирусы — все скучно, привычно и в целом уже неинтересно. Проблема ясна: надо быть ближе к защите бизнеса и таким образом ему понятнее, что немаловажно со всех точек зрения. Как ее решать и какие тенденции заметны на мировом и российском рынке? Какой же будет следующий шаг развития рынка ИБ?
Безопасность бизнес приложений как новый вектор развития рынка ИБ
Можно попытаться сразу заняться глобальным процессом построения системы антифрода на уровне компании в целом. Это нормально, и за этим будущее. Но прежде надо сделать не один шаг, а как минимум несколько. И первым здесь будет, безусловно, шаг в направлении, которое стремительно набирает популярность во всем мире (и Россия не исключение), — Application Security, или безопасность бизнес-приложений и ERP-систем.
Эту область смело можно определить в качестве нового драйвера рынка ИБ. Здесь крайне важно, что бизнес-приложения гораздо ближе и понятнее бизнесу, чем вся инфраструктура, вместе взятая. Я более чем уверен, что, как для молодежи 16–17 лет «ВКонтакте» и есть весь Интернет, так и для бизнеса система SAP или любая другая ERP-система является олицетворением всей ИТ-системы компании. Зачастую, кроме нее, ничего другого почти не видят. Я намеренно подчеркиваю этот аспект, поскольку именно от топ-менеджмента зависят решения о выделении средств на обеспечение безопасности. Гораздо проще и логичнее тратить деньги на то, что ты видишь каждый день и понимаешь. Кроме того, собственно именно в бизнес-приложениях и находятся все столь нужные потенциальному злоумышленнику данные. Именно они являются конечной целью любого злоумышленника, а вовсе не периметр. И тут парадокс: их никто толком не защищает. Что еще хуже: не знают, как защищать, боятся затрагивать данную тему. При этом мы все прекрасно знаем, что через периметр можно так или иначе проникнуть массой разных способов, включая социальную инженерию, да и инсайдеров никто не отменял. И что мы имеем? Правильно, голого короля, почетно сидящего на огромном троне в центре города, полного людей, машин, улиц, зданий; города, защищенного огромной крепостной стеной, которую можно элементарно перелететь и преодолеть через сотни прорытых под ней туннелей. Причем то, что король-то голый, почти никто не замечает. А кто замечает — стыдливо прячет свой взор. А почему? Потому что мы слишком увлеклись тем, что проще. Тем, к чему хорошо привыкли. Нам лень сделать следующий шаг. Нам не хочется развиваться. Нам кажется, что жизнь удалась и налажена. Производители традиционных средств защиты инфраструктуры выбрасывают на рынок все новые продукты, интеграторы их продают, а заказчики покупают. Или хотя бы платят отчисления за поддержку старых. Создается иллюзия защищенности. Опасная иллюзия... очень опасная. Это путь в никуда.
Несмотря на трудности, необходимо идти дальше, разбираться в сложных бизнес-приложениях, которые по масштабу, функционалу и сложности давно уже превзошли все, что существует на рынке ИТ. Чтобы заниматься их безопасностью, надо, прежде всего, понимать, как именно они устроены. Простой пример. Недавно мы закончили большое исследование, посвященное безопасности OLAP-технологий. Это те самые технологии и базы данных, предназначенные для обработки модного теперь слова BigData, но применительно к бизнес-данным. Оказывается, никто в мире толком до сих пор не исследовал безопасность этих технологий, хотя они используются повсеместно! Самое печальное, что и вендоры тоже не задумывались об этом. И дыр там, конечно, было найдено множество. В частности, Security Response Center компании «Майкрософт» чрезвычайно всполошился и стал срочно выходить сам с нами на связь, как только узнал, что мы будем рассказывать о нашем исследовании на ведущей в мире хакерской конференции Black Hat в июле 2013 года в Лас-Вегасе, США. Собственно, аналогично повели себя их коллеги из VmWare год назад перед нашим выступлением на Defcon в Лас-Вегасе. Вендоры, как известно, любят тишину...
Application Security атакует
Итак, закончим лирическое отступление и вернемся к нашему рынку. Сложность, можно даже сказать некоторая «монструозность» бизнес-приложений, их расположение внутри «безопасного» периметра, малоизученность с точки зрения безопасности — все эти факторы долго играли заметную роль и являлись существенным тормозом прогресса для рынка ИБ. Сейчас ситуация стала стремительно меняться. Почему? Во-первых, они перестали быть внутренними и активно пошли в Интернет с повсеместным переходом на тонкие клиенты. Во-вторых, хакеры следят за процессом, рассказывают о своих исследованиях на конференциях и, несмотря на различные оставшиеся до сих пор неизученные области, делают достоянием общественности многие боевые эксплойты. В-третьих, сами вендоры под давлением, прежде всего, клиентов, начинают нервничать. И, как следствие, вкладывать деньги в безопасность своего продукта, убеждая параллельно клиентов в необходимости мониторинга и контроля своих решений службами ИБ и ИТ, внедрения дополнительных средств защиты, выделения специалистов по безопасности у клиентов для поддержки вендорских решений.
Важность темы понимает, в частности, такой гигант, как SAP. В прошлом году компания объявила, что теперь безопасность для нее является приоритетом номер один. И это тут же было доведено до клиентов компании SAP со всеми вышеизложенными для рынка последствиями, которые уже повлекли за собой бурный рост направления, связанного с безопасностью SAP. Но это только самое начало — основные последствия такого важного стратегического решения главного мирового лидера рынка бизнес-приложений рынок почувствует в ближайшие нескольких лет.
Безопасность бизнес приложений
Таким образом мы приходим к неизбежному. Рынок разогревают клиенты, которые со всех сторон слышат очередные новости о громкой дыре в стратегически важных бизнес-приложениях. И сами вендоры бизнес-приложений под их давлением постепенно становятся драйвером рынка.
Все эти факторы и общая рыночная тенденция не оставляют никаких сомнений, что основные изменения ИБ будут связаны вовсе не с новомодными облаками или мобильностью (а мода, как известно, быстро проходит), а именно с глобальным наступлением эры безопасности бизнес-приложений. Они точно никогда не перестанут быть модными и никуда не денутся. И чем скорее мы все начнем отдавать себе в этом отчет, перестанем метаться между «громкими» темами и расходовать силы и средства напрасно, тем проще нам дастся переход в новую реальность.
Здесь, кстати, на ум приходит примерная аналогия из Траута (приведенная не дословно): «Какое бы пиво выбрать: Балтика 1, 2, 3 или 5? А к черту, дайте просто Хайнекен!» Так вот: дайте бизнес-приложения! – именно это сейчас основная стратегическая цель безопасника, на которой и нужно сконцентрироваться на ближайшие годы и не распыляться на модные, но быстропроходящие темы.
Идет новая волна, и всем нам нужно быть к ней готовым и постараться оказаться на ее гребне. Поток стремительно набирает силу, и его уже не остановить.
***
И в заключение. В следующей статье мы уже поговорим о том, что же нужно делать. Прежде всего, мы остановимся на вопросе, как нужно и чем можно контролировать безопасность бизнес-приложений. Системы мониторинга защищенности, анализ кода, с одной стороны, и построение процесса оценки защищенности и мониторинга безопасности — с другой, станут предметом нашего пристального изучения во второй части.
Опубликовано 30.09.2013
Похожие статьи