Руслан Рахметов, Security Vision
Рынок средств защиты информации и услуг по кибербезопасности активно развивается на протяжении уже 30 лет, но в последние 5-6 лет развитие стало стремительным из-за распространения удаленной работы, повышения уровня цифровизации, роста напряженности в киберпространстве. Потребители сталкиваются со сложностями при выборе подходящего защитного решения - мешают нечеткие критерии функционала для новых СЗИ, путаница с классами и типами СЗИ, регулярно появляющиеся «революционные» технологии и всё новые аббревиатуры. В этой статье мы расскажем об имеющихся классификациях защитных решений и сервисов, приведем примеры подобной таксономии, обсудим принципы выбора подходящих продуктов.
Согласно методологии исследовательской компании Gartner, ИТ и ИБ технологии в рамках своего жизненного цикла проходят так называемый «цикл хайпа», который включает в себя следующие стадии:
· Триггер инноваций (Innovation Trigger) - появление новой технологии и постепенный рост интереса к ней;
· Пик завышенных ожиданий (Peak of Inflated Expectations) - появление и широкое обсуждение первых успешных и провальных проектов внедрения технологии;
· Пропасть разочарования (Trough of Disillusionment) - снижение интереса вместе с отсутствием результатов применения технологии, производители уходят с рынка, однако оставшиеся продолжают развивать технологию;
· Склон просвещения (Slope of Enlightenment) - появляются следующие поколения продуктов, растет понимание и примеры результативного применения технологии;
· Плато продуктивности (Plateau of Productivity) - массовое внедрение технологии, появление чётких критериев оценки продуктов, производители технологии демонстрируют устойчивую прибыльность.
В результате, развитие технологии можно представить в виде S-образной кривой - например, для ИИ в 2025 году в видении Gartner она выглядит следующим образом.
Компания Gartner выпускает свои обзоры рынка (market review), магические квадраты (Magic Quadrant) и описание функционала и различных сценариев использования технологии (Critical Capabilities). В категорию «IT Security» компания Gartner относит следующие типы ИБ-продуктов и услуг:
· Access Management (AM)
· Adversarial Exposure Validation (AEV)
· API Protection
· Application Security Posture Management (ASPM)
· Application Security Testing (AST)
· Backup and Data Protection Platforms
· Backup as a Service (BaaS)
· Brand Protection
· Business Continuity Management Program (BCM)
· Certificate Lifecycle Management (CLM)
· Cloud Security Posture Management (CSPM)
· Cloud Web Application and API Protection (WAAP)
· Cloud-Native Application Protection Platforms (CNAPP)
· Continuous Controls Monitoring (CCM)
· Cyber Asset Attack Surface Management (CAASM)
· Cyber-Physical Systems (CPS) Protection Platforms
· Data and Analytics Governance Platforms (D&A)
· Data Loss Prevention (DLP)
· Data Security Platform (DSP)
· Data Security Posture Management (DSPM)
· Digital Communications Governance and Archiving (DCGA)
· Disaster Recovery as a Service (DRaaS)
· Email Security
· Endpoint Protection Platform (EPP)
· Exposure Assessment Platforms (EAP)
· Extended Detection and Response (XDR)
· External Attack Surface Management (EASM)
· File Analysis Software
· Governance, Risk and Compliance (GRC)
· Identity Governance and Administration (IGA)
· Identity Threat Detection and Response (ITDR)
· In-App Protection
· Insider Risk Management
· Integrated Risk Management (IRM)
· IoT Security
· IT Resilience Orchestration (ITRO)
· IT Risk Management (ITRM)
· IT Vendor Risk Management (IT VRM)
· Managed Detection and Response (MDR)
· Managed Security Services (MSS)
· Medical Device Security
· Mobile Application Management (MAM)
· Mobile Application Security Testing (MAST)
· Network Access Control (NAC)
· Network Detection and Response (NDR)
· Network Firewalls
· Network Management
· Network Sandboxing
· Network Security Microsegmentation
· Online Fraud Detection (OFD)
· Password Management (PM)
· Privileged Access Management (PAM)
· Remote Isolation Software
· SAP Security Software
· Secure Access Service Edge (SASE)
· Secure Enterprise Browsers (SEB)
· Security Awareness Computer-Based Training
· Security Consulting Services
· Security Information and Event Management (SIEM)
· Security Orchestration, Automation and Response (SOAR)
· Security Service Edge (SSE)
· Security Threat Intelligence Products and Services
· Software Supply Chain Security (SSCS)
· Supply Chain Planning (SCP)
· Third-Party Risk Management Technology (TPRM)
· Threat Modeling Automation
· User Authentication
· Vulnerability Assessment
· Workload Identity Management
Однако, компания Gartner проводит классификацию защитных продуктов и услуг в соответствии со своим видением рынка. С точки зрения стандартизации подобной таксономии аналитическую работу проделала европейская некоммерческая организация по кибербезопасности (European Cyber Security Organisation, ECSO), которая в 2021 году выпустила документ «A Taxonomy for the European Cybersecurity Market: Facilitating Market Defragmentation» («Таксономия европейского рынка кибербезопасности: обеспечение дефрагментации рынка»). В данной публикации выполнен обзор рынка ИБ, существующих нормативных документов, стандартов и фреймворков для того, чтобы классифицировать различные СЗИ и ИБ-сервисы во избежание путаницы. В результате, была реализована следующая классификация решений в соответствии с пятью ключевыми задачами ИБ, описанными в NIST CyberSecurity Framework (CSF):
Задачей классификации и таксономии в области ИБ занимается также европейский объединенный исследовательский центр (Joint Research Centre JRC), на сайте которого можно ознакомиться с некоторыми определениями терминов и направлений в области кибербезопасности.
Классификацию СЗИ и ИБ-услуг ведут также частные зарубежные компании и вендоры:
1. Компания TAG Infosphere предлагает собственную таксономию защитных решений и сервисов, разделив их на 20 направлений по 5 типов продуктов/услуг в каждом;
2. Инвестиционный банк Momentum Cyber полностью сфокусирован на отрасли кибербезопасности, поэтому выпускает финансовые обзоры ИБ-рынка и сформировал собственный фреймворк CYBERscape 4.0, в котором решения и услуги по кибербезопасности разделены на 12 секторов и 62 подсектора;
3. Исследовательская и консалтинговая компания CyberEdge Group регулярно выпускает обзоры международного состояния рынка ИБ, а в последнем отчете приводит свою классификацию решений и продуктов по кибербезопасности, указывая также результаты опросов по планам внедрения различных защитных технологий (сетевая безопасность в табл.1 на стр.41, защита конечных точек в табл.2 на стр.43, защита приложений и данных в табл.3 на стр.45, управление безопасностью и операциями в табл.4 на стр.47 указанного отчёта).
В России классификация СЗИ увязана с требованиями регуляторов - в частности, анализируя государственный реестр сертифицированных средств защиты информации ФСТЭК России и требования по безопасности информации к различным системам, можно получить следующие классы решений:
· антивирусы
· межсетевые экраны
· многофункциональные межсетевые экраны уровня сети
· операционные системы
· системы обнаружения вторжений
· системы управления базами данных
· средства виртуализации
· средства доверенной загрузки
· средства защиты от отказа в обслуживании
· средства контейнеризации
· средства контроля съёмных носителей информации
· средства обнаружения и реагирования на уровне узла
Помимо регулятора, классификация СЗИ и ИБ-услуг выполняется при проведении различных исследований российского рынка кибербезопасности. В частности, подобная таксономия была выполнена при составлении следующих документов:
1. Прогноз развития рынка кибербезопасности в РФ на 2025-2030 годы от Центра стратегических разработок: в Приложении А «Декомпозиция категорий средств защиты» на стр.19 данного документа размещена таблица с категориями СЗИ;
2. Исследование рынка информационной безопасности России от «Группы компаний Б1» (бывшее российское подразделение Ernst & Young): на стр.34-35 приведены сегменты, рассматриваемые в исследовании (таксономия продуктов и услуг по ИБ);
3. Исследование российского рынка программного обеспечения и ИТ-услуг от «Группы компаний Б1»: на стр.37-39 приведена таксономия рынка ПО и ИТ-услуг, которые могут частично пересекаться с ИБ-рынком.
Кроме того, карты и обзоры российских продуктов и услуг по ИБ с их таксономией ведут специализированные интернет-порталы:
1. На сайте Anti-Malware размещён каталог СЗИ и перечень сертифицированных СЗИ, разделенных по категориям;
2. На сайте TAdviser размещена карта российского рынка информационной безопасности, в которой ИБ-продукты и сервисы разделены на категории.
При выборе защитного решения важно аккуратно относиться к маркетинговому позиционированию вендора и к причислению им своей разработки к определенному классу. Например, сложно бывает провести точную грань между классическими Honeypot/Honeynet и модными Deception-решениям (Threat / Distributed Deception Platform), между DCAP (Data-Centric Audit and Protection) и DAG (Data Access Governance), между EPP (Endpoint Protection Platform) и EDR (Endpoint Detection and Response), между MDM (Mobile Device Management) и EMM (Enterprise Mobility Management), между IRP и некоторыми SOAR (например, на зарубежных рынках класс IRP вообще мало известен, в отличие от RPA и SOAR). Ключевыми факторами при сравнении и выборе требуемого защитного решения могут быть:
1) Присутствие решения в реестре российского ПО, наличие сертификатов соответствия отечественных регуляторов (ФСТЭК, ФСБ), соответствие продукта законодательным и отраслевым требованиям (интеграция с АСОИ ФинЦЕРТ и ГосСОПКА, поддерживаемые нормативные документы, частота актуализации контента);
2) Реализация требуемого функционала, продемонстрированная на практике - пилот, тестирование, «боевое» сравнение конкурирующих решений в своей инфраструктуре для всесторонней оценки реализации критичных для компании функций безопасности (их выбор должен быть обоснован разработанной моделью актуальных киберугроз и нарушителей с учетом результатов анализа киберрисков компании), отзывы компаний-эксплуатантов из аналогичного сектора экономики и результаты референсных визитов к ним;
3) Наличие подробной документации, поддержка интеграционных возможностей (API), возможность авторизованного обучения по продукту в учебных центрах (собственных вендорских или партнерских), широта сети дистрибуции продукта, репутация и история вендора, дата выхода первой версии и текущая версия продукта, количество успешных внедрений в компаниях сравнимого масштаба и отрасли, возможность доработки или кастомизации продукта под требования заказчика, наличие дорожной карты развития продукта;
4) Оценка расчетного показателя совокупной стоимости владения решением с учетом единовременных и регулярных затрат, включая стоимость лицензий, обновлений, необходимого программного и аппаратного обеспечения, затрат на внедрение, поддержку и администрирование системы, требования к квалификации персонала (администраторов, инженеров, операторов);
5) Частота выпуска обновлений, принятая вендором политика ответственного раскрытия информации об уязвимостях, своевременность устранения уязвимостей;
6) Порядок соблюдения вендором требований и практик безопасной разработки ПО, возможность предоставления спецификации SBOM, порядок защиты клиентских данных, состояние защиты инфраструктуры и зрелость процессов ИБ вендора (для снижения вероятности атак через цепочку поставок и через доверительные отношения), соответствие продукта и процессов разработки принципам Secure by Design (использование ИБ-практик при разработке продуктов), Secure by Default (использование безопасных конфигураций по умолчанию), Secure by Demand (соответствие критериям оценки надежности вендора).
