ИБ в условиях дефицита: стратегия большого перехода
Уход западных вендоров привел к ситуации, когда одна часть оборудования и ПО для задач кибербезопасности стали недоступными, другая — в скором времени утратит лицензионную поддержку, а для остальных решений поддержка прекращена досрочно. Это коснулось абсолютно всех сегментов ИБ-решений, включая наиболее распространенные, многие из которых являются отраслевыми стандартами.
Варианты решений
Выхода из этой ситуации два: искать альтернативы — зарубежные и российские полноценные «коробочные» решения или обращаться к инструментам open source, по необходимости дорабатывая их самостоятельно «под себя».
Отметим, что некоторые популярные западные продукты остаются доступными — можно купить, установить, получить поддержку и эксплуатировать. Однако нет совершенно никаких гарантий, что в любой момент компании, выпускающие их, не присоединятся к санкционной волне и не отзовут лицензию.
Риски для пользователей здесь самые очевидные: многие ИБ-продукты от ведущих вендоров стоят достаточно дорого — можно выбросить немалое количество денег на ветер.
Российские альтернативы от таких рисков защищены, однако в подавляющем большинстве случаев по функциональности они заметно отстают от западных образцов.
Продукты оpen source могут предложить более широкий функционал и возможности по собственной доработке, но при этом их обслуживание не всегда обходится дешевле коммерческих продуктов.
Подводные камни open source
Администрирование open source-решений, а тем более целого их пула, требует больше инженеро-часов по сравнению с коммерческими продуктами.
В процессе эксплуатации open source больше операционных ошибок, мелких сбоев, ситуаций, требующих вмешательства, — документации же по данным решениям не столь много. Кроме того, иначе работает поддержка: ответ разработчика на клиентский запрос может либо прийти очень поздно, либо не прийти вообще. Кроме того, существует проблема ложных срабатываний, требующая более длительного и углубленного анализа журналов событий, конфигураций и условий наступления события, которое с высокой вероятностью может оказаться ложным. При этом пользоваться услугами разработчика open source-продукта может быть невозможно.
Если компании прибегают к автономизации сегментов инфраструктуры, получается несколько изолированных ИТ-периметров — при таком подходе единообразие версий используемых решений становится обязательным условием, что создает дополнительные трудности.
Так, обеспечение единообразия версий всех компонентов важно в случае применения многокомпонентного ПО, к примеру SIEM, или ИБ-специалисты буквально утонут в решении типовых проблем по всему ландшафту.
Также open source требует тщательного тестирования после установки обновлений: желательно делать это в специально выделенной среде. Иначе возникают риски отказа обслуживания какого-либо компонента инфраструктуры или несовместимости с другими составляющими ИБ-периметра.
Работая с open source-продуктами, нужно вести бэклог ошибок и отказов — это компенсирует недостаточную документированность open source и скорость устранения аналогичных ошибок в будущем.
Отмечу, что при сценарии собственной разработки обновлений и функционала теряется возможность получать обновления разработчика open source-инструмента: компания, по сути, начинает развивать собственный продукт. С другой стороны, таким образом снимаются риски скачать обновление ИБ-инструмента с ошибкой или вредоносным функционалом.
Денежный вопрос
Российские коммерческие ИБ-продукты могут стоить довольно дорого, но требуют меньше времени на внедрение и настройку, а также имеют полноценную техподдержку для дальнейшей эксплуатации.
Поскольку это классические «коробочные» продукты, то компании не требуется большого штата специалистов для обслуживания и совершенствования таких решений. В длительной перспективе хх относительная «завершенность» даже при не всегда удовлетворительном функционале нивелирует разницу в закупочной цене.
Open source-решения, напротив, дешевле в первичном приобретении, но по мере эксплуатации могут серьезно нагрузить бюджет ИБ из-за необходимости поддерживать и развивать продукт самостоятельно.
Оптимальный выход — грамотный анализ собственных ИБ-потребностей с комбинированным применением отечественных и open source-продуктов в зависимости от конкретных задач. Также можно использовать open source на время поэтапного планового перехода на коммерческие отечественные продукты, чтобы избежать крупных первоначальных платежей.
Новая картина отрасли
Говоря о влиянии происходящих перемен на ИБ-направление в целом, можно выделить следующие основные аспекты:
-
Компаниям придется совмещать российские коммерческие ИБ-решения и open source. Заменить существующий набор инструментов кибербезопасности целиком и единовременно не сможет никто: это огромные разовые инвестиции. Компаниям придется заниматься заменой поэтапно. При этом в каких-то сценариях и open source, и российские коммерческие разработки могут выполнять роль временных решений.
-
Переезд с привычной ИБ-системы на новую повышает риски безопасности. На какой-то период стадия замены может повлечь полное отсутствие определенного функционала. Это нужно учитывать и уметь страховать подобные риски.
-
Команда ИБ-специалистов неизбежно будет адаптироваться к обновлению инструментария и перестройке. Потребуется много времени и усилий, что потенциально увеличит риски, связанные с человеческим фактором.
Общее время на ИБ-перестройку будет зависеть от масштабов ИТ-инфраструктуры, которая требует защиты, от размеров штата и уровня общей компетенции, объема инвестиций в проект как в плане финансов, так и в отношении административной поддержки.
Вызовы переходного периода
Первый вызов находится в плоскости настройки сетевой составляющей. При замене оборудования, которое перестало получать вендорскую поддержку, тратится большой объем усилий по настройке обновленной сети.
Дело в том, что накопленные за годы параметры конфигурации сетевых настроек могут носить специфический характер и далеко не всегда эти настройки удается перенести на новое оборудование.
Второй вызов относится к вопросам адаптации open source-решений. Этот процесс часто требует большого количества времени — в поисках решения нередко приходится вручную изучать профильные ИБ-форумы, что вызвано отсутствием развитой системы поддержки. А когда там ответа найти не удается, необходимо искать решение самостоятельно и привлекать дополнительных сотрудников.
Третий вызов — цены на ИБ-решения и услуги по кибербезопасности от провайдеров начинают расти. В связи со сложностью организации перестройки ИБ-направления увеличивается спрос на услуги внешних провайдеров, которые оказываются неготовыми к этому и вынуждены повышать цены на услуги.
Существенный рост цен мы увидим совсем скоро, и он будет носить долгосрочный характер: помимо бизнеса, спрос на такие услуги будет возникать со стороны государственных ИТ-систем и операторов объектов КИИ.
Однако есть здесь и положительный момент — тренд позволит стимулировать развитие рынка собственных ИБ-решений в плане совершенствования функционала и общего качества разработок.
Опубликовано 25.07.2022