RSA Conference 2017: тренды и технологии

Продолжая первый пост об общих впечатлениях о мероприятии, хотелось бы проанализировать основные тренды и направления ИБ, которые наиболее активно продвигались в этом году.

Задача стояла достаточно объёмная, поэтому первые полтора дня я посвятил исключительно тому, чтобы посетить каждый стенд, оценить позиционирование и проанализировать портфолио производителей решений по ИБ. В результате набралось очень много интересного материала, откровенно смешных наблюдений, стендов которые меня поразили, ну и тех, что ввели в недоумение.

В первую очередь хочется поделиться ключевыми темами, которые освещались на конференции и прежде всего интересны показались мне. В виде ремарки хотел бы сказать, что я почти ничего не буду писать например о защите мобильных платформ, которые были неплохо представлены, но если честно ничего нового или прорывного вообще не предлагали. Так же сознательно я обошел вопрос глубокого анализа традиционных устоявшихся направлений – AV, FW, DLP и тд. Не уверен, что это будет интересно кому-то кроме узконаправленных экспертов. В сухом остатке, озвучиваю то, что «зацепило» конкретно меня.

Перспективные ИБ направления

Ниже я выделил вендоров новых и интересных технологий. На основе количества приведенных под каждой темой названий компаний уже можно проследить основные тренды развития рынка корпоративной ИБ:

       1. Активно набирает силу направление организации процессов реагирования на инциденты ИБ (IRP, Incident Response Platform), представляющее собой некую смесь GRC, Ticketing и автоматизацию workflow группы реагирования и расследования. Примечание: совсем недавно подобного рода решение выпустила российская компания R-Vision.
Наряду с несколькими небольшими компаниями (D3 Security, Siemplify) на этом рынке уже есть заметные игроки: Resolve, IBM Resilient.

         2. Что примечательно, решения прикладного характера (берем инцидент, копаемся в данных и лечим) для Incident Response процесса представлены отдельным рынком где-то на стыке EDR и IRP.
Среди наиболее активно продвигающих свои решения IR на RSA я бы выделил: Plixer, Landrian, Exabeam, Secdo, Cybertriage

        3. Основной «живой» темой RSA я бы выделил поставщиков Threat Intelligence, при этом многие вендоры называли TI абсолютно разные дынные – OSINT, IOCs, Threat Data Feeds, репорты и тд. Конечно первым вопросом становится источник подобной информации и её качества, так на нескольких стендах я видел репорты по одной и той же угрозе, при этом каждый вендор заявлял, что именно он её нашел. Всё же было видно, что посетители активно интересовались TI и готовы были к предметному диалогу.
Наиболее четкий месседж и понимание потребностей рынка я увидел на стендах: Recorded Future, Threatbook, Kaspersky, FireEye, Nuix, 360 Enteprise Security Group (Qihoo 360), Blueliv, Servicenow, Anomali, Lookingglass, Silobreaker, Safebreach, Treatmetrix, Kenna, Cleafy, Infoarmor, Nc4, Surfwatch, Thinair.

        4. Постепенно проявляется новая интересная тема для MSSP провайдеров и заказчиков – это кастомизируемые центры мониторинга ИБ (SOC) заточенные под аналитику (Security Intelligence), Threat Hunting и Incident Response. Мне больше по душе термин Security Intelligence Center (SIC), который два года назад озвучила компания Lockheed Martin (те самые, которые нам подарили термин Cyberattack Kill Chain)
Мне лично очень интересным показался стенд на эту тему от Siftsecurity.

        5. Ещё в началае 2016 года диковинные TIPs (Threat Intelligence Platform) в 2017 позиционируются уже как необходимое решение для любого крупного заказчика, который намерен строить/развивать SOC и наращивать экспертизу по ИБ в направлении Incident Response и Threat Research.
К крупным игроками рынка (ThreatQuotient, ThreatConnect, Surevine) добавились специализированные TIP решения от Blueliv и китайский Threatbook.

        6. С чисто практической стороны огромный успех у посетителей имели стенды с различными Deception (с англ. - запутать, обмануть) решениями, которые в мире передовых угроз вывели непонятный рынок Honeypots на новый узконаправленный рынок - Threat Deception (подробнее о Deception вы можете узнать из статьи: https://securelist.ru/blog/security-policies/29461/deceive-in-order-to-detect/). Для простоты часть вендоров маркетируют Threat Deception как Next-Gen Honeypots.
Вендоры (Attivo Networks, TrapX, Countercraft, Nuix, Topspin Security, Cymmetria) не просто пиарили тему Deception, почти все показывали живые демо и примеры, что характеризует это направление зрелым с практической стороны.

        7. Самым большим «потрясением» для меня стало почти полное отсуствие месседжей про EDR (Endpoint Detection & Response). К сожалению разговор о передовых задачах и технологиях обеспения защиты и контроля рабочих мест пока остается всё еще в плену маркетингового термина Next-Gen AV/Endpoint Security.
Так лишь два вендора (Ziften, Preempt) активно говорили о практическом применении EDR платформ в направлении – выявления угроз, расследования, изоляции и восстановления.

        8. На волне общего муссирования темы интернета вещей большое количество вендоров в этом году вышло на рынок IoT security. Говорит это о том, что в этом направлении точно есть потенциал (можно читать как «деньги»), видя это, вендора неизбежно хотят закрепиться в новой нише.
Прототипы, готовые решения и концепции защиты были представлены от: Infineon, Allegro, Digicert, Unicom, Watchguard, Huawei, Spirent, Centri, Lexumo, Grammatech, Forescout, Entrust, Sensify, Kaspersky.

        9. Рынок Anti-APT, как я и говорил весь год на своих выступлениях, от точечных решений переходит всё больше к интегрированным. Крупные производители «песочниц» уделяют этой технологии всё меньше слов, позиционируя больше агенты, анализ сетевого трафика, накопленный опыт и Threat Intelligence.
Для удобства я выделил бы несколько групп производителей:
        a) Те, кто начинал с песочниц, и для кого данная технология всё ещё очень важный технический эелемент – Lastline, Cyphort, Bluvectorcyber, Zscaler, Lightcyber (на днях купленный PaloAlto), Cyren, VmRay, Fireeye, Joe sandbox, Cybonet
        b) Интегрированный подход (единое корреляционное ядро данных от сети и агентов, мультивекторный анализ в рамках единого решения) – Hexadite, Cisco, Kaspersky, Fidelis
        c) Преимущественно анализ рабочих станций с опциональным дополнением ряда сетевых технологий анализа – CarbonBlack, Tanium, Symantec, IntelSecurity (McAfee), Sophos, Bromium
        d) Преимущественно анализ сетевого трафика с опциональными агентами для рабочих станций – PaloAlto, Fortinet, CheckPoint, TrendMicro, WatchGuard

        10. Перспективной темой в области Incident Discovery и Incident Response, о которой в прошлом году много говорилось, стала в 2017 году тема Threat Hunting. Тесная связь подобного предложения с глубокой экспертизой вендора и наличия выделенных аналитиков ИБ и исследователей оставляет очень много вопросов к масштабируемости такого рода сервисов и их качеству от заказчика к заказчику. Между тем, идея выделенного специалиста (преимущественно с кфалификацией взломщика) на стороне заказчика для обеспечения постоянного мониторинга и защиты от реальных действий киберпреступников набирает обороты, и рынок, как видно, отвечает предложением.
Среди самых интересных решений я бы выделил: Blueliv, Endgame, Anomali, Raytheon, Domaintools

Естественно большинство крупных вендоров так или иначе уже имеют ряд продуктов в вышеописанных темах, но мне сознательно не хотелось их озвучивать. Не редко это всего лишь расширение портфолио, и не всегда говорит о больших ставках на узконаправленную тему со стороны вендора. Если конечно не идёт речь о ситуации, когда совсем трудно продавать текущий портфель и действительно что-то новое необходимо (как это по моему мнению происходит с IBM и их Resilient, или например Sophos, которые с покупкой Invincea активно теперь заявляют про Machine Learning в своих продуктах). Анализу же крупнейших ИБ вендоров я уделю отдельный пост, где можно будет оценить разделение их бизнеса относительно традиционно ключевых продуктов в портфолио и новых направлений.

Основной посыл конференции

В целом на RSA конференции в 2017 году прослеживались три больших месседжа, которые так или иначе переплетались с большинством тематических докладов и собственно с позиционированием вендоров на стендах:

· Threat intelligence – как основополагающий элемент зрелой ИБ (в том числе передовых SOC) для эффективного развития и закрытия тех проблем, которые в последние годы активно обсуждаются в сообществе экспертов и заказчиков: нехватка квалифицированных специалистов, необоснованные затраты на ручные операции, возможность выделения части процеесов на аутсорс, необходимость обогащения внутренних процессов и технологий внешней экспертизой глобального масштаба.

· Machine learning как термин упоминался на очень многих стендах, кто-то развенчивал традиционное машинное обучение, кто-то рассказывал "что это такое вообще", а кто-то выделял себя на фоне конкурентов наличием уникальных методов машинного обучения. В целом, если сравнивать с прошлым годом, когда было тотальное засилие «NextGen», «1/2/3/… generation», «innovate» и тд. терминов, сама идея технологического позиционирования говорит о переходе рынка на более зрелый уровень. По опыту общения с парой крупных заказчиков из США на конференции так же стало ясно, что упоминания глупых маркетинговых терминов вызывает острое неприятие. Все ждут предметных разговоров в понятных областях и четкого описания того, КАК работает решение или отдельно взятая технология. Отличный пример - это стенд CarbonBlack. В прошлом году было мало текста на стенде, базовая раздатка "ни о чем" и лишь пару раз в день шоу-демо с подарками. В этом же году на двух стендах (по факту один стенд с дорожкой для прохода по центру для большего привлечения посетителей) было около 12!!! демо зон. Пресейлы без остановки показывали различные примеры и демонстрации отдельных фич. Вызывает уважение такой рост зрелости достаточно амбициозного игрока рынка защиты рабочих станций.

· Security for Business. Для многих, кто начал посещение конференции как я с южного зала Moscone Center, прямо при входе красовался главный стенд компании RSA. Являясь очень весомым представителем на конференции, их слоган и общая тематика стенда меня серьезно смутили. Основной месседж был - безопасность бизнеса.
Так ещё 3-4 года назад многие эксперты говорили про это в России и в целом в правильном русле. На Западе же тема явно прошла 5-7 лет назад. Хитрый ли это план, какой то инсайт или у RSA кризис тем – время покажет. Между тем явно какой-то скрытый смысл в этом точно есть. Активным участникам рынка и эекспертам я бы посоветовал побольше уделить времени материалам RSA, которые они будут в ближайшие месяцы выкладывать, как бы не пропустить тренд новой волны.

Для меня конференция не привнесла серьезных изменений в тренды, скорее структурировала то, что нужно было и задала тон повествования для рынка ИБ на 2017 год.

Немного аналитики и мыслей напоследок

Проанализировав в общей массе стенды крупных и небольших вендоров, мне пришла мысль сравнить RSA Conference 2017 с выставкой благородных породистых котов и кошек. Каждый холеный, обласканый, плешивых и потасканных вообще нет. Имитация конкуренции в борьбе за призы по факту никак не влияет на общее отношение к себе и комфорт. Каждый вендор упорно копает свою нишу вглубь все больше, а не в ширь. Стабильность и некий застой, рынок растет по "аппетитам" и очень благосклонен к производителям ИБ решений. Крупные вендора спокойно расширяют портфолио, а те, кто поменьше, занимают свои ниши и развиваются. Серьезного передела рынка или агрессивной конкуренции в отдельных направлениях почти нет. Вот и думай тут, что бы это значило все. =/

Из моих личных наблюдений, в сравнении с прошлым годом и ожиданиями до начала RSA Conference 2017:

· GRC (Governance Risk & Compliance) – вымер как отдельная тема, видел лишь один стенд неизвестного производителя;

· Ещё больше стендов от компаний исключительно развивающих бизнес тренингов по направлениям ИБ, при этом все больше таких компаний готовы выдавать сертификаты по результату обучения;

· Мобильная безопасность вошла в стагнацию, почти никаких новых тем, кажется все ждут нового BYOD. Оно и понятно, крупные заказчики защищают рабочие места, и готовы рассматривать мобильные платформы исключительно в таком разрезе. Это и с внутренней стороны удобнее, и рынок со всеми этими угрозами/APT говорит, что необходим одинаковый уровень защиты на всех рабочих местах;

· С другой стороны безопасность облачных инфраструктур наоборот выделяется зрелостью. Большинство решений уже не грешат "детскими проблемами", да и заказчикам более менее понятно, какие решения и где применять. В том числе огромный интерес у посетителей вызывали платформы организации процессов ИБ, безопасного доступа и достижения комплаенса в облаке (Cloud Security Brokers). Стенд SkyHigh например все 3 дня был забит до отказа посетителями;

· Странно, но почти никто не говорил о UEBA (User Endpoint Behavior Analysis), скорее всего эта тема постепенно все таки будет вливаться в Next-Gen Endpoint Security;

· EDR (Endpoint Detection & Response) при всех ожиданиях пока не стал темой №1 на рынке ИБ. Во многом я думаю тут есть влияние аналитиков (Gartner, IDC, Forrester), которые пока не определились с тем, все таки это отдельное направление ИБ или часть другого класса;

· Очень сильно выросли поставщики сервисов и платформ повышения осведомленности ( Security Awareness) и проведения фишинговых пентестов, как их части. Если в прошлом году многие имели малюсенький стенд-стойку, то в 2017 то тут то там высились большие стенды исключительно по данной тематике;

· Антифрод похоже полностью отпучковался от рынка ИБ. Из вендоров крупных был лишь EasySolutions, для которых это статусное мероприятие.

Особый интерес вызывает перспектива развития рынка защиты рабочих мест и того, каким он станет. Все ждут устоявшегося понимания Next-Gen Endpoint Security. Именно на этом поле в этом году будут вестись большие баталии (такие новости - это лишь начало), но подробнее свое мнение, новости и слухи с RSA по данной теме я опишу в следующем посте.