понедельник, 28 марта 2016 г.

Стратегия победы больших ИБ вендоров - горизонтальная интеграция и "нефть угроз"

    Определенные классиками факторы производства - Труд, Земля и Капитал в последнее время дополняются Талантом. Талант неудобен для капиталистов - его еще сложнее масштабировать чем Труд, он дороже Капитала, и ограничен как Земля. Существует целый набор стратегий управления Талантом и его наличием (весь ИТ-аутсорсинг вырост из этой проблемы), но для ИБ профи Талант интересен в разрезе противодействия другому Таланту - а именно злоумышленникам.


    Справедливости ради упомяну, что на "той стороне силы" не так уж много Таланта, ведь киберпреступность очень эффективна в управлении Талантом. Она выстроила глобальные цепочки поставок (благо, ей плевать на финансовые, налоговые и миграционные законы), создала рынок "киберпреступность как услуга" и создала "эффект рычага" (небольшое число талантливых разработчиков и исследователей создают утилиты и находят уязвимости, которыми пользуется армия "скрипт-киддисов"), а так же культуру взаимопомощи и распространения знаний. Увы, сделала она это давно, Ваш покорный слуга занимался cybecrime intelligence еще в 2010, и уже тогда все выглядело примерно как на рисунке ниже

    Итак, Талант дефицитен у защиты, его вдоволь у злоумышленников, но окончательную победу киберкриминала сдерживала стоимость вычислительных мощностей. Не важно сколько Таланта в наличии, но отдельные задачи возможно на 100% защитить используя криптографию. Но вычислительные мощности стали дешевле - еще в 2010 исследователь использовал "облако" AWS для взлома пароля, а в последние лет 5 широкое распространение получивы вычислительные фермы на видеокартах, что на порядок производительнее во взломе многих ранее обьективно стойких алгоритмов.
    Соответственно, и капиталистам (в общем-то вендорам) и специалистам по кибербезопасности (организациям) выгодна модель безопасности, эффективно использующая тот Талант что уже есть. Видимо примерно так же думал президент Palo Alto Марк Маклафлин (Mark McLaughlin), озвучивая на февральской конференции RSA 2016 3 элемента стратегии защиты ИТ - обучение, превентивная безопасность и обмен информацией о киберугрозах.
    1. Раскрывая понятие "превентивной безопасности" Марк сделал акцент на необходимости соответствия скорости блокирования скорости атаки (с одной стороны логично, с другой - блокировать можно не на уровне сети, как это в основном делает Palo Alto), и необходимости покрытия мерами безопасности всей ИТ-инфраструктуры - от рабочего места до датацентра и "облака" - рисунок из его презентации ниже:

    И конечно, у Palo Alto уже есть продукты для этого:) В бизнеса такую стратегию называют "горизонтальной интеграцией" - когда бизнес идет во все сегменты рынка, пытаясь увеличить выручку с каждого клиента.
    2. Марк призвал делиться угрозами, что бы получить "эффект рычага" (леверидж) - вступая в основанный Palo Alto, Symantec, Fortinet и McAfee т.е. Cyber Threat Alliance. "Эффект рычага" необходим что бы победить злоумышленников, а конкурировать на рынке безопасности стоит на уровне "что мы можем сделать" с информацией об угрозах.
    Это как если бы нефтяники создали единый пул нефти, и конкурировали бы в ее переработке:) (детальнее о моем сравнении нефтяной индустрии с кибериндустрией можно почитать здесь).
    Для Palo Alto, и других больших вендоров (у кого есть доступ к дешевому западному финансированию и большая клиентская база) подобная стратегия ведет к успеху. Они смогут снизить себестоимость информации об угрозах, смогут нарастить выручку с клиента (cross-sale) и только они смогут инвестировать достаточно капитала, что бы построить высокопроизводительные сетевые решения для современных сетей. Хитрая Palo Alto уже создала очень высокопроизводительные решения;) Но это плохая новость для вендоров что ориентируются на услуги и экспертизу, в том числе нескольких крупнейших российских.
    Ну а упомянутое обучение по большей части предстоит делать организациям (не Palo Alto).

    Будет ли эффективным предложенный Марком подход? Будет, для commodity угроз, таких как хактивизм и киберпреступность. Проблемы кибершпионажа и кибервойны так не решить, ведь злоумышленники этих категорий на порядок меньше "проявляются", ведь они более избирательны и квалифицированы. Но и основной угрозой для корпорацией сейчас является киберпреступность.

Комментариев нет:

Отправить комментарий