Чем экосистемность отличается от интеграции в контексте инфобезопасности

Одна из главных проблем ИТ- и ИБ-отделов — «зоопарк» решений, используемых в компаниях. При этом компании готовы рассматривать приобретение продуктов и сервисов от одного вендора, и требования к нему увеличиваются. Эксперт по информационной безопасности Контур.Эгиды и Staffcop Даниил Бориславский рассказывает, достижима ли экосистемность в ИБ-сфере и чем она может быть полезна.

Экосистема – это интеграции, сделанные за тебя

Интеграция двух продуктов настраивается для обмена или передачей данных между ними между ними. Экосистема — сложнее, это набор продуктов, совместно использующих накопленные знания и данные для того, чтобы закрыть больше задач, чем по отдельности.

Экосистемы не просто помогают передавать данные из одного приложения в другое, они нужны, чтобы закрывать больше пользовательских сценариев. Для экосистемы даже можно ввести специальную метрику: «количество действий в экосистеме по решению комплексной задачи должно быть меньше, чем при использовании отдельных продуктов».

Самый понятный пример экосистемы — Яндекс. Откройте сервис заказа такси и увидите, что ваш заказ на маркетплейсе уже приехал. И это работает не на уровне баннеров в приложениях, а на уровне сценариев. Это не про баннер на экране, а про общие сценарии у клиента. В сфере ИБ можно привести CISCO с её едиными стилями интерфейса, логикой web-консолей, обучением и передачей данных между продуктами. Среди российских производителей ПО для ИБ экосистемность только начинают закладывать — например, в решениях Контура.

Как экосистемный подход в ИБ-продуктах влияет на эффективность

Работу с инцидентами можно оценить по нескольким метрикам — MTTD, MTTR, MTTC, а если по-русски, то «время обнаружения», «время реагирования», «время локализации». На время обнаружения инцидента экосистемность, скорее всего, не влияет, а вот MTTR и MTTC должны быть выше у комплексных решений, чем у отдельных продуктов.

Экосистемность — это согласованность отдельных решений

Повторюсь, экосистема – это интеграция, настроенная за тебя, так что задача доступов, взаимных исключений, настроек в продуктах должна быть решена на уровне экосистемы и требовать минимального участия пользователя или совсем его не требовать. А ещё экосистема из таких «связок» извлекает дополнительные возможности, которые были недоступны по отдельности. Например, Staffcop и ID от Контур.Эгиды в рамках одной экосистемы обмениваются данными для обогащения контекста в расследовании инцидента.

Экосистемность уменьшает совокупную стоимость владения

В итоге эффект от использования экосистемы приведёт к тому, что та же команда за то же время сможет сделать больше полезных действий; сократится время на внедрение; ускорится процесс расследования инцидента; будут переиспользованы какие-то элементы. И из-за этого повысится эффективность и снизится стоимость владения. Также в экосистеме продукты используют согласованную среду функционирования, это снизит издержки администрирования. При этом и добавление нового продукта из экосистемы в “существующую обойму” тоже должно быть быстрее, чем “чистая отдельная” установка этого продукта. А ещё вполне возможно совместное использование каких-то компонентов: базы данных, пропускной способности каналов сети, CPU гипервизоров и т.д.

Экосистемность несёт не только преимущества, но и риски

Экосистемность дает не только удобство, но и повышает цену ошибки. Чем сильнее связаны продукты между собой, тем выше риск каскадного эффекта: проблема в одном звене может быстро повлиять на другие. Например, если в одной системе появились недостоверные или скомпрометированные данные, они могут использоваться дальше — в корреляции событий, расследовании, автоматических правилах и управленческих решениях. Вместо локальной ошибки компания получает ее масштабирование на всю связанную среду.

Отдельный риск связан с доступами. В экосистеме учетная запись администратора или привилегированного пользователя часто открывает путь сразу к нескольким контурам. Это делает такие учетные записи особенно ценной целью для злоумышленников. Поэтому экосистемный подход почти всегда требует более жесткой модели контроля доступа: многофакторной аутентификации, разграничения ролей, минимизации привилегий и отдельного контроля действий администраторов.

Есть и стратегический риск зависимости от вендора. Чем глубже компания внедряется в экосистему, тем сложнее из нее выйти: продукты используют общую инфраструктуру, единые сценарии, общие данные и привычные для команды процессы. На старте это выглядит как преимущество, но со временем может превратиться в vendor lock-in, когда смена платформы становится дорогой, долгой и организационно болезненной. Поэтому экосистема полезна только там, где вместе с удобством заранее продуманы вопросы отказоустойчивости, экспортируемости данных и сценарии замены отдельных компонентов.

Экосистемный подход требует особых навыков

В будущем от ИБ-специалистов будут требовать опыта работы с той или иной экосистемой. Это и плюс, и минус — с одной стороны, проще найти работу, если у тебя есть доменный опыт в экосистеме, с другой, проработав тысячи часов с одной экосистемой может быть очень сложно перейти к другой.

Конечно, сейчас мало трендов без упоминания про «большие языковые модели». В экосистеме при появлении нескольких продуктов “в обойме” появятся задачи анализа их взаимодействия, для поиска аномалий, для оптимизации – это хорошая задача ИИ. Ещё, например, ИИ может выступать как “мастер” и внедренец нескольких продуктов из экосистемы, если уже был опыт внедрения продуктов этой экосистемы.