Знаете, чем Gartner навредил рынку ИБ? Он приучил нас выбирать | Пост Лукацкого

Знаете, чем Gartner навредил рынку ИБ? Он приучил нас выбирать не решение своих задач в ИБ, а аббревиатуры классы средств защиты (NGFW, WAF, VM, DLP, EDRM, SIEM и т.п.). А ведь нам нужно не это - нам нужно предотвратить реализацию недопустимых событий или, для апологетов старой школы, бороться с актуальными для нас угрозами и нарушителями. Бессмысленно выбирать NGFW, если мы не знаем, с какими угрозами он борется. То, что вендор присвоил своему продукту какую-то аббревиатуру , еще не значит, что продукт способен бороться с соответствующей угрозой

В далекие-далекие времена, когда только появились требования ФСТЭК к МСЭ (98-й год, если мне не изменяет память), отличие одного класса от другого заключалось, среди прочего, в том, может ли МСЭ работать на уровне выше сетевого. Не может? Низший класс. Может? На тебе класс защищенности повыше. Но так как разбирать прикладные протоколы мало кто тогда умел, а получить заветную бумажку хотели все, то что делали отечественные вендора пакетных фильтров? Они добавляли функцию прокси для протокола FTP. Поддерживаются прикладные протоколы? Да! Ну а то, что это всего один протокол, то кого это волнует? В требованиях про число прикладных протоколов ни слова. И такой вот обман только рос и расцветал буйным цветом. В итоге вендора стали делать не продукты, решающие задачи потребителя, а те, которые соответствовали пунктам приказов ФСТЭК Но это вообще беда любых обязательных требований - все быстро забывают цель их принятия и делают самоцелью сами требования.

Сейчас регулятор фокусируется на результативном кибербезе, на непрерывной истории, на безопасной разработке. Но порция яда в вендоров все-таки давно была впрыснута и яд распространяется по телу отечественной отрасли ИБ. Мы по-прежнему заложники продуктов ИБ, которые относятся к какому-то известному классу или типу. Нас интересует именно это, а не то, от чего или кого защищает то или иное решение. Почему бы не начать думать в новой парадигме? Дайте мне решение от угроз 1, 2, 5 и 7 или нарушителей с такими-то возможностями! Было бы гораздо проще для потребителя. Да и не только

Регулятору бы не пришлось тратить ресурсы на сертификацию, которая, в целом, ничего не гарантирует с точки зрения реальной ИБ (на киберполигонах продукты не выставляют, на багбаунти тоже). Ну и что, что продукт выполняет какие-то функциональные требования? Хакер-то их не читал и он ломать будет совсем не так, как написано в руководящих документах. Вендорам бы тоже не пришлось бы тратить деньги на ненужную сертификацию. Освободившиеся ресурсы пошли бы на рост зарплат разработчиков или улучшение качества продуктов. Все бы только выиграли от этого. А оценка реальной защищенности проводилась бы с помощью пентестов или багбаунти. В конце концов какая разница, защитил я периметр с помощью NGFW за хулиард бабла или правильно настроенным ACL на маршрутизаторе? Если результат достигнут. Ведь всем нужна же результативная безопасность, а не рост числа сертификатов или наименований отечественных продуктов ИБ. Так думаю....