В начале июня мы с моим другом и коллегой Андреем Данкевичем съездили на несколько дней в Лондон на Information Security Europe. Это крупнейшая выставка в Европе и «одна из» в мире. В этом году ее посетило более 15 000 человек, и проходила она уже в 22 раз.
Хотя на Information Security Europe и представлена довольно обширная программа докладов, но ехать стоит не за ними, а для того, чтобы набрать классной сувенирки пообщаться с производителями СЗИ, посмотреть их решения на стендах и самостоятельно (а не просто доверившись Gartner) сделать выводы о том, какие тренды сейчас на пике. Под катом — рассказ о том, какие технологии внедряют вендоры DLP, UEBA, GRC, IGA и MDR.
Сначала немного о самой выставке: несмотря на то, что длится она 3 дня, внимательно изучить все стенды сложно, их ОЧЕНЬ много (в этом году их было 399 на 2 этажа общего пространства). Посетителей очень много, но очередей и давки нет даже на входе. Все организовано очень хорошо, есть выделенные зоны для общения, различные временные кафешки, стенды с информацией.
Как я уже упомянул, на Information Security Europe больше всего представлены именно производители средств защиты информации (СЗИ), ради общения с ними и стоит посетить эту выставку:
Были и крупные игроки, например, Cisco, IBM, FireEye, и небольшие нишевые. Из российских (ой, простите, global) вендоров встретили «ИнфоТеКС», Positive Technologies и DeviceLock.
Мы приехали изучить рынок и, в первую очередь, посмотреть решения DLP, UEBA, GRC, IGA, MDR и другие СЗИ. И вот лишь некоторые заметные тренды европейского рынка ИБ:
- Очень активно развивается сегмент Managed Detection and Response — MDR (это как раз центры мониторинга и реагированию на инциденты ИБ типа нашего Solar JSOC). Причем если компания предоставляет такие услуги, часто это ее единственное направление деятельности.
- При этом уже довольно заметно стремление хотя бы частично автоматизировать деятельность SOC'ов, чтобы сократить затраты. На выставке было представлено много решений в этой области — это и различные аналитические инструменты, и средства агрегации и визуализации данных, и модное нынче машинное обучение.
- Очень модная тема — Threat Intelligence. Производители предлагают свои платформы для сбора и управления информацией об угрозах и/или готовы предоставлять ее по подписке.
- Вообще большинство производителей ИБ-решений активно осваивают формат Security-as-a-Service. Они предлагают свои решения «по подписке» и/или в формате сервисов MSSP (Managed Security Service Provider).
- Предсказуемо, но все же: практически на каждом стенде представлены кейсы и решения по соответствию требованиям The General Data Protection Regulation (GDPR) — европейского закона по защите персональных данных, который вступает в полную силу в 2018 году. Конечно же, самые «громкие голоса» у DLP-шников и производителей средств разграничения доступа.
- Очень популярны технологии контроля и анализа поведения пользователей (UEBA/UBA). На выставке было представлено большое количество таких решений — как в качестве самостоятельных продуктов, так и в качестве модулей (надстроек) к SIEM или DLP, например. Во многих продуктах используются технологии машинного обучения для составления типовых профилей работы пользователей, отклонение от которых и рассматривается в качестве инцидента. Посмотрите на риторику рекламных слоганов — чувствуется, что проблема внутренних угроз стоит довольно остро:
- Активно развиваются решения, предназначенные для менеджеров по ИБ. Это и всевозможные средства по визуализации данных, и продукты класса GRC, и сервисы по повышению и контролю осведомленности пользователей.
В целом мероприятие крайне интересное. За 3 дня можно получить огромное количество полезной информации. Пока трудно сказать, что из этого придет на российский рынок и приживется у нас, но все представленные решения, на мой взгляд, объединяет один очень заметный вектор — вендоры уходят от попыток создать решения, работающие «из коробки», и предлагают сложные системы, требующие от безопасника определенных компетенций и знаний. Так что автоматизация и машинное обучение, конечно, вещи хорошие, но над ними все равно должен будет стоять человек. По крайней мере, в ближайшее время.
Автор: SolarSecurity
