Хабр, насколько вы верите в гадания и судьбу? А может кармические циклы жизни? Попытка предугадать будущее всегда тешила и успокаивала душу человека. Так вот сфера инфобеза не стала исключением, однако, вместо карт таро и кофейной гущи специалисты каждый год собирают и анализируют изменения в технологиях, стратегиях и новшествах ИБ.

Такая аналитика важна сотруднику любого ранга. Руководители могут оценить ландшафт технологий, методик и внести изменения в стратегию, стек технологий, а может и пересмотреть их полностью. Специалисты увидят для себя какие средства защиты информации будут актуальны, а направления в ИБ приоритетны. В данном материале постараемся разобраться насколько прогноз адекватен и соответствует действительности.

Что нас ждет?

Специалисты Gartner составили достаточно подробный прогноз по SecOps на этот год, где разделили решения относительно времени и ожиданий по категориям:  инновационный триггер, пик завышенных ожиданий, впадина разочарования, склон просвещения и плато продуктивности. По данной методике, как раз обычно определяют зрелость решений относительно ожиданий и практического применения в производстве с результатами. Предполагается, что каждое средство и технология должно пройти цикл и в идеале дойти до плато продуктивности. Каждому в легенде определено прогнозируемое время до того, как средство, подход станут продуктивными решениями.


Ключевые выводы, которые вынесены по прогнозу:

1. Начать изучение и предпринимать первые шаги в сторону такого архитектурного подхода, как Cybersecurity Mesh Architecture, который предполагает, что системы защиты информации будут децентрализованы и модульны, а также будут динамически адаптироваться под изменения политик. 

Данная рекомендация, действительно, вполне адекватна и имеет место быть. Ведь инфраструктура давно вышла за пределы единого сегмента организации: API-сервисы, облачные вычисления и хранилища, мобильные и удаленные устройства. Сама инфраструктура становится более комплексной и сложной. А разнообразие инструментов требует автоматизации и оркестрации на оптимальных уровнях и глубины сети.

2. Специалисты Pentest могут остаться без работы, так как услуга Penetration Testing as a Service становится все больше автоматизированной. На выполнение задач для LLM агента требуется куда меньше времени, чем человеку, а стоимость запуска теста релевантна поставленным задачам.

И да, и нет. В данном случае не затрагивается Physical и Wireless Pentest, потребность данного рода сотрудника останется неизменной. Однако вопрос тестирования инфраструктуры, сервисов и приложений, действительно, постепенно автоматизируется AI. Чтобы быть более объективными и понимать насколько автоматизация стала глубокой рассмотрим недавние отчеты об эффективности PTaS решений на базе AI.

В недавних исследованиях утверждают, что мульти-агент LLM научился находить популярные уязвимости, в реальных условиях. Но исследователи заверяют, что на текущий момент, с задачами уязвимостей нулевого дня агенты справляются неудовлетворительно.


Прирост автоматизации и успеха в PTaS заметен и в скором времени позиции Junior, Middle могут вполне занять AI-агенты. Однако для специалистов уровня Senior картина наоборот будет благоприятной и скорее их работу заменить будет сложно на текущем этапе.

3. При проектировании системы защиты информации обратите внимание на решения “склона надежды”, которые за последнее время внесли существенные изменения и показали результативность в решении ключевых вопросов.

MDR стали полезны малым и средним зрелым в ИБ сегментам бизнеса, за счет меньших затрат в сравнении с организацией внутренних процессов, которые требуют людей, ресурсов и технологий. Это позволило решению с аналитикой и реагированием на частичном outsource продвинуться к “плато продуктивности”.

TIPS давно стали эталоном зрелой компании, которая может себе позволить организовать внутренние процессы проактивного реагирования на события и инциденты ИБ. Ведь нарушители, проводя APT-атаки, нацелены на конкретные слабые точки сферы и имеют достаточно характерные “следы”. Введя кастомные правила, на СЗИ можно предотвратить атаки, которые не предусмотрены пакетами экспертизы продуктов.

4. Протестируйте работу представленных решений в реальной инфраструктуре, чтобы оценить фактическую эффективность, избегая громких заголовков.

Взять продукт в пилот уже крепко устоявшаяся практика и перед тем, как приобрести средство стоит протестировать его в инфраструктуре и оценить какие ресурсы самой компании или outsource специалистов могут потребоваться. Часто оказывается, что решение эффективно, только при наличии должного количества квалифицированных кадров, которые могут поддерживать ведение и работу продукта.

5. Оцените помощников по кибербезопасности с искусственным интеллектом для повышения операционной эффективности и расширения навыков.

Не секрет, что GPT уже плотно внедряется во многие продукты кибербеза. В основном может использоваться в двух стратегиях: проактивный и реактивный. Первый позволяет детектировать и реагировать на действия нарушителя, а второй найденную активность привычными решениями интерпретировать для аналитика для более быстрого реагирования. Одним из продуктов можно выделить LLM as a Service от Serverspace.

6. SOAR, как отдельный продукт признан Gartner устаревшим, функции которого важны, однако, будут поглощаться другими СЗИ.

Это так, учитывая, что SOAR больше представляет интерес более зрелым компаниям. У них уже есть решения СЗИ, для которых можно писать сценарии автоматизации, а кадры могут с точки зрения времени и компетенций поддерживать и настраивать средство защиты информации. Статистика от Gartner по поглощениям и слияниям СЗИ выглядит следующим образом.

А что в реальности? Кроме прогнозов компании действительно начинают интеграцию и поставку пакетных решений решений вместе с SIEM. К примеру, компания Security Vision уже предлагает пакет SIEM + SOAR под новой оболочкой NG SOAR. 


Указано, что данное решение позволит сократить затраты и обойти техническую недоступность данного решения из-за отсутствия нужного СЗИ.

Инновационным решением, которое может быть интересно после пилота — PT O2. Некий SOAR с ИИ на борту, который отработает нужные сценарии, при обнаружении действий нарушающих политику, совмещая в себе автоматизацию не только реагирования, но и детектирования. Концептуально выглядит следующим образом.


Насколько сейчас продукт зрел говорить сложно, скорее находится в стадии тестирования и разработки. Однако ради интереса можно взять и на пилот.

Подводя итоги, можно выделить основные составляющие SOAR решения. Одними  из которых являются средства мониторинга и реагирования. Отдельная закупка каждого решения на начальном этапе достаточно дорогостоящее удовольствие.


Те компании, которые только подходят к стадии зрелости скорее приобретут SIEM с функцией SOAR. А более крупные игроки, посмотрят на варианты NG SOAR или AI+SOAR, что говорит о большой вероятности слияния с другими продуктами данного решения.

Ретроспектива и мнения

Однако не все представители сферы разделяют точку зрения Gartner на текущие решения по SecOps.


Ровно противоположно точки зрения придерживается Алексей Лукацкий, утверждая, что анализ Gartner вполне разумен.


Так же одним из важных показателей в моделях зрелости является ретроспектива. Она позволяет понять насколько взгляды аналитиков в предыдущих годах отличаются от текущего прогноза. 


Данная модель зрелости 2023 года отлично совпадает с текущими данными и многие SecOps решения закономерно заняли свои позиции, однако, “Exposure Assessment Platform” почему-то с плато сместилось в самую левую категорию.  Часть представленных технологий поглощена или интегрирована в другие. XDR сильно перескочило прогноз плато с 5-10 до 2-5 лет.  

В целом прогноз Gartner вполне можно назвать объективным и адекватным на текущий момент. Приведена матрица приоритетности решений SecOps, которая позволяет оценить востребованные средства ближайшего и долгосрочного планирования. Достаточно подробно описаны причины развития и сложности для каждого решения модели зрелости.

Статья поддерживается командой Serverspace.

Serverspace — провайдер облачных сервисов, предоставляющий в аренду виртуальные серверы с ОС Linux и Windows в 8 дата-центрах: Россия, Беларусь, Казахстан, Нидерланды, Турция, США, Канада и Бразилия. Для построения ИТ-инфраструктуры провайдер также предлагает: создание сетей, шлюзов, бэкапы, сервисы CDN, DNS, объектное хранилище S3.

IT-инфраструктура | Удвоение первого платежа по промокоду HABR