Обзор RSA Conference от того, кто там так и не побывал

Недавно закончилась RSA Conference, которая для меня всегда была источником новых идей и мерилом того, куда развивается мировой рынок ИБ. Я традиционно посещал эту конференцию и даже в прошлом году участвовал в ней, правда, из COVID-19, в виртуальном формате. В этом году у меня тоже было такое намерение, но, увы, война [в Йемене] смешала все карты и все мои попытки хоть как-то зарегистрироваться в ней оказались обречены на неудачу. Сначала международные платежные системы обрубили возможность оплачивать россиянам кредитками, а на мою просьбу выставить мне счет, чтобы я сделал банковский перевод, организаторы вообще не ответили; как и на вопрос, нет ли у них запрета на участие россиян. И хотя ряд коллег предложили свою помощь с оплатой участия (за что им большое спасибо), рыпаться уже было поздно — даже в онлайн-формате на RSAC быстро разбирают места на интересные практические занятия и мастер-классы, которые проводятся по разным ИБ-темам, а просто заплатить 500 долларов за возможность послушать просто доклады, которые через 2 месяца выложат в открытый доступ (я надеюсь), я посчитал неразумным.

Однако я все равно следил за ключевыми событиями конференции RSA и хотел бы тезисно зафиксировать их. Есть версия, что российский рынок ИБ начал развиваться по своим законам и его уже сложно сопоставлять с мировым, как я это делал все прошедшие годы. Да, у нас всегда было некоторое технологическое запаздывание, но все равно, можно было уверенно говорить, что все представленные на RSAC решения и инновации, появятся у нас в стране с опозданием в года 2-3. Сейчас у меня уже такой уверенности нет, но определенная надежда на это остается. А значит фиксация ключевых тенденций RSAC имеет смысл; в том числе и для российских разработчиков, которые смотрят не только на локальный рынок, но и оценивают свой экспортный потенциал, который невозможен без учета мировых тенденций.

Итак, что же можно отметить относительно новых тенденций в ИБ? Тезисно я бы отметил следующее:

1. Облака! Это, пожалуй, ключевой тренд RSA Conference. Да, и в прошлые годы на конференции/выставке было представлено немало облачных решений, но в этом году это прям стало мейнстримом. CDR, CSPM, CIEM, CWPS, CNAPP, SSPM, SASE и куча других аббревиатур, начинающихся с буквы C — Cloud.
   

   Вы в курсе, что значат все эти аббревиатуры?

   В облака мигрируют все привычные нам on-premise технологии ИБ, позволяющие обнаруживать, предотвращать и реагирования на угрозы ИБ. У нас, надо признать, это практически отсутствующий сегмент рынка; у нас просто нет своих решений по облачной ИБ. Есть какие-то зачатки у Яндекса, но не более того. Традиционные вендора пытаются импортозаместить то, что наиболее востребовано потребителем, а это NGFW. На конференции IT IS Conf, организованной УЦСБ 16 июня, я вел секцию, где спросил у участников, каких российских решений по ИБ им не хватает. Предсказуемо, но ответ был — NGFW. То, что появилось в мире в начале 2000-х годов у российских производителей до сих пор отсутствует. И даже требований у регуляторов нет к этим решениям. Правда, винить в отсутствии инноваций российских вендоров сложно — они тупо зарабатывают деньги и это нормально.

   Инновации нужны там, где реализованы базовые потребности (пусть Маслоу и отказался сам от своей пирамиды), а у нас сейчас даже в базовых есть лакуны

2. xDR стал еще большим мейнстримом, чем несколько лет назад. Теперь вместо x подставляют уже не только E — Endpoint, N — Network, C — Cloud и M — Managed, но и D — Data, и даже IT (Identity Threat). Мне кажется нам не хватает еще DCXDR для ЦОДов, а также IDR (от I — Industrial) и MoDR (от Mo — Mobile). У нас, кстати, этих решений тоже почти нет; разве что отдельные решения от Касперского, Позитива и Бизона.
3. Zero Trust. Этот термин заиграл новыми красками с начала марта, когда иностранные компании стали приостанавливать свою деятельность или уходить с нашего рынка. Но у иностранцев он вполне себе понятен и приземлен. Этот сегмент продолжает активно расти, что и понятно, сегментация сети позволяет решать многие задачи ИБ и локализовывать большое число разных инцидентов ИБ. У нас Zero Trust, в условиях отсутствия достаточного числа сетевых вендоров и вендоров решений по внутренней сетевой ИБ, тоже почти не развит.
4. X-as-a-Code. Еще один тренд, достаточно быстро ворвашийся на небосклон мирового рынка ИБ (да, у нас его вообще нет). Detection-as-a-Code, Compliance-as-a-Code, Forensics-as-a-Code, Governance-as-a-Code и т.п. Попытка перенять DevOps-практики из мира непрерывной и динамичной разработки и внедрить их в достаточно статический мир ИБ достаточно интересны, но опять же не для России. Нам до этого еще как до звезды в массе своей.
5. Россия — я не заметил большого числа упоминаний России как врага. Возможно, это связано с тем, что пока я видел только различные новости и заметки про выставку, а не конференцию, на которой традиционно и обвиняли русских во всех смертных кибер-грехах. Возможно, позже, когда выложат материалы с конференции, ситуация поменяется. Хотя и в прошлом году про ”русскую” атрибуцию почти не говорили, стараясь обсуждать что-то более практическое (исключая Альперовича, который и в этом году не мог удержаться, чтобы не обвинять свою бывшую Родину).
6. Шифровальщики. Это уже даже не мейнстрим. По большому счету, сегодня это не такая уж и нерешаемая проблема. Да, нет серебряной пули в виде отдельного продукта, но он и не нужен и скорее даже невозможен. Множество технологий, которые обнаруживают и блокируют различные техники и тактики злоумышленников, плюс технологии резервного копирования. Что в них нового? Ничего. Знай себе, используй, и будет тебе счастье. То, что многие пытаются решить проблему с помощью одного антивируса или даже EDR, не означает, что рынку нужны какие-то новые технологии. Надо научиться пользоваться тем, что есть.
7. В отличие от прошлого года, новостной фон вокруг RSA Conference обошелся почти без упоминания промышленной ИБ. А вот тренд на снижение упоминаний DLP и вообще защиты данных (всякие DCAP и т.п.) продолжается уже не первый год. Также не превозносится и тема машинного обучения в ИБ. Да, про его использование говорят многие, но хвалебных дифирамбов уже никто не поет — просто используют в отдельных сценариях.
8. Зато немало говорили про ASM (attack surface management); особенно на фоне покупки IBM такого вендора как Randori. Иногда вместо аббревиатуры ASM можно было услышать AVM (asset vulnerability management), но как по мне, так это почти одно и тоже. Также в тройку лидеров, помимо ИБ облаков, я бы отнес тему управления доступом и идентификационной информацией, а также расширения для SOCов (UEBA, TIP, SOAR, которые сегодня все чаще называют неотъемлемой частью современной SIEM  или SIEM следующего поколения; для кого как). Вообще автоматизация была в фаворе у вендоров, представленных на RSAC, — приоритизация угроз, оценка активов, снижение числа фолсов, расследование инцидентов, мониторинг Даркнета и т.п.

В целом, никаких прорывов в этом году не было. Вендора продолжают окучивать ранее инициированные темы — облака, XDR, Zero Trust, SOC и т.п., а заказчики продолжают их покупать, не забывая про неувядающую классику, — обучение, редтимы, NGFW, киберучения и т.п. Жаль, что российские заказчики, в массе своей, не увидят этих технологий в обозримом будущем, довольствуясь VPNами, межсетевыми экранами, DLP-решениями, SIEMами и всем тем, чем радуют многие из наших разработчиков, закрывающих базовые потребности российских заказчиков и не имеющих полноценного  R&D в своем штате.

Заметка Обзор RSA Conference от того, кто там так и не побывал была впервые опубликована на Бизнес без опасности.