14.07.2017 10:25
SolarSecurity 6 4400 Источник
В начале июня мы с моим другом и коллегой Андреем Данкевичем съездили на несколько дней в Лондон на Information Security Europe. Это крупнейшая выставка в Европе и «одна из» в мире. В этом году ее посетило более 15 000 человек, и проходила она уже в 22 раз.

Хотя на Information Security Europe и представлена довольно обширная программа докладов, но ехать стоит не за ними, а для того, чтобы набрать классной сувенирки пообщаться с производителями СЗИ, посмотреть их решения на стендах и самостоятельно (а не просто доверившись Gartner) сделать выводы о том, какие тренды сейчас на пике. Под катом — рассказ о том, какие технологии внедряют вендоры DLP, UEBA, GRC, IGA и MDR.

Сначала немного о самой выставке: несмотря на то, что длится она 3 дня, внимательно изучить все стенды сложно, их ОЧЕНЬ много (в этом году их было 399 на 2 этажа общего пространства). Посетителей очень много, но очередей и давки нет даже на входе. Все организовано очень хорошо, есть выделенные зоны для общения, различные временные кафешки, стенды с информацией.



Как я уже упомянул, на Information Security Europe больше всего представлены именно производители средств защиты информации (СЗИ), ради общения с ними и стоит посетить эту выставку:



Были и крупные игроки, например, Cisco, IBM, FireEye, и небольшие нишевые. Из российских (ой, простите, global) вендоров встретили «ИнфоТеКС», Positive Technologies и DeviceLock.



Мы приехали изучить рынок и, в первую очередь, посмотреть решения DLP, UEBA, GRC, IGA, MDR и другие СЗИ. И вот лишь некоторые заметные тренды европейского рынка ИБ:

  1. Очень активно развивается сегмент Managed Detection and Response — MDR (это как раз центры мониторинга и реагированию на инциденты ИБ типа нашего Solar JSOC). Причем если компания предоставляет такие услуги, часто это ее единственное направление деятельности.



  2. При этом уже довольно заметно стремление хотя бы частично автоматизировать деятельность SOC'ов, чтобы сократить затраты. На выставке было представлено много решений в этой области — это и различные аналитические инструменты, и средства агрегации и визуализации данных, и модное нынче машинное обучение.

  3. Очень модная тема — Threat Intelligence. Производители предлагают свои платформы для сбора и управления информацией об угрозах и/или готовы предоставлять ее по подписке.

  4. Вообще большинство производителей ИБ-решений активно осваивают формат Security-as-a-Service. Они предлагают свои решения «по подписке» и/или в формате сервисов MSSP (Managed Security Service Provider).

  5. Предсказуемо, но все же: практически на каждом стенде представлены кейсы и решения по соответствию требованиям The General Data Protection Regulation (GDPR) — европейского закона по защите персональных данных, который вступает в полную силу в 2018 году. Конечно же, самые «громкие голоса» у DLP-шников и производителей средств разграничения доступа.

  6. Очень популярны технологии контроля и анализа поведения пользователей (UEBA/UBA). На выставке было представлено большое количество таких решений — как в качестве самостоятельных продуктов, так и в качестве модулей (надстроек) к SIEM или DLP, например. Во многих продуктах используются технологии машинного обучения для составления типовых профилей работы пользователей, отклонение от которых и рассматривается в качестве инцидента. Посмотрите на риторику рекламных слоганов — чувствуется, что проблема внутренних угроз стоит довольно остро:



  7. Активно развиваются решения, предназначенные для менеджеров по ИБ. Это и всевозможные средства по визуализации данных, и продукты класса GRC, и сервисы по повышению и контролю осведомленности пользователей.

В целом мероприятие крайне интересное. За 3 дня можно получить огромное количество полезной информации. Пока трудно сказать, что из этого придет на российский рынок и приживется у нас, но все представленные решения, на мой взгляд, объединяет один очень заметный вектор — вендоры уходят от попыток создать решения, работающие «из коробки», и предлагают сложные системы, требующие от безопасника определенных компетенций и знаний. Так что автоматизация и машинное обучение, конечно, вещи хорошие, но над ними все равно должен будет стоять человек. По крайней мере, в ближайшее время.
Поделиться с друзьями
-->

Комментарии (6)


  1. Neraverin
    14.07.2017 13:53
    #10312766
    +8

    Тема очень интересна, зашел в пост за подробностями, а тут пара фотографий и крохи информации. Лучше бы подробнее рассказали про все 7 трендов и какие решения предлагаются.


    1. SolarSecurity
      14.07.2017 15:10
      #10312950

      Я как раз хотел дать общий обзор тенденций, но готов отвечать на вопросы. Например, если говорить о вендорах, то в MDR это Bulletproof, eSentire и Redscan.

      С вендорами DLP вопрос сложнее. На Infosec было четкое разделение на DLP-решения и на продукты, защищающие от внутренних угроз (Insider Threat). Первые — это больше про противодействие утечкам и соответствие законодательству. А вот вторые — это и есть те решения, где внедрены технологии UBA и прочие прогрессивные аналитические инструменты.


      1. Neraverin
        14.07.2017 16:26
        #10313098

        Bulletproof, eSentire и Redscan — это конечно круто, но очень сжато. Расскажите подробнее про их решения — часть аудитории Хабра про них вообще ничего не знает. Какие у каждого особенности? Презентовали они на выставке что-то новое?
        Про все остальные пункты можно также рассказывать подробнее. «За 3 дня можно получить огромное количество полезной информации.» — так поделитесь хоть чем-то с сообществом. Или огромное количество это эти 7 пунктов?

        з.ы. Обидно, когда люди, которые действительно обладают компетенцией и интересной информацией пишут такие статьи.


        1. SolarSecurity
          14.07.2017 19:14
          #10313344
          +2

          Давайте я кратко опишу самых ярких и заинтересовавших нас производителей (в основном смотрели тех, которые в России не представлены, т.к. наш рынок знаем хорошо):

          • Bulletproof — забавные ребята, SOC 24x7, MDR. Очень схожи с нашим Solar JSOC по перечню сервисов и позиционированию.
          • eSentire — очень крутой MDR, одними из первых попали в отчеты Gartner по этой теме. Прямо лидер-лидер, стоит к ним присматриваться.
          • Cyberbit — предлагают интересные решения по автоматизации работы SOC.
          • SolarWindsMSP предлагают услуги для MSSP (автоматизация деятельности), стоит присмотреться к продукту MSP Remote Monitoring & Management (платформа).
          • CrowdStrike — один из лидеров темы threat intelligence.
          • Securonix и Exabeam — признанные лидеры в теме UEBA. Оба предлагают платформу, на которую можно заводить информацию из разных источников, собирающих события пользователей (U) и «ИТ-сущностей» (e).
          • RedOwl — предлагают интересное решение по защите от инсайдеров. По сути, тоже единая платформа с серьезной аналитикой.
          • Teramind — забавное endpoint-решение для защиты от инсайдеров, понравилось своим веб-интерфейсом и описанными кейсами.
          • Digital Guardian, GTB Technologies, Forcepoint — «классические» DLP решения, практически не представленные в России. При этом считаются одними из лучших по MQ Gartner. Хороши по технологиям перехвата, но сильно уступают по аналитике UBA-решениям, и, кстати, российским DLP.
          • CoSoSys — нишевое DLP, построенное на сильном endpoint.
          • InteliSecure — консультанты, «на флаг» подняли DLP-консалтинг, и вроде как на этом специализируются.

          Ну, вот, хотя бы как-то так…


  1. methlab
    14.07.2017 19:57
    #10313374

    Ну а что на счет IGA? Есть новые тренды? Или все по-старому?


  1. maximosipov
    24.07.2017 10:08
    #10324982

    Было бы очень кстати увидеть более подробный обзор темы мероприятия. Благодарю.