Свежий Gartner Hype Cycle и информационная безопасность

Неделю назад уважаемое агентство Gartner опубликовало свежий обзор «The Gartner Hype Cycle for Emerging Technologies 2020». Исследование касается новых технологий (ИТ и не только) в общем, и в сети уже появилось немалое количество переводов на русский. В заметке я хочу поделиться своими мыслями, как публикация касается темы нашей с вами информационной безопасности. Ожидаемо, темы удаленки и COVID-19 нашли свое отражение в прогнозах аналитиков, но не ими едиными. Обо всем – по порядку.

Напомню, что Garter примерно раз в год выпускает свое видение по поводу актуальности, перспективности и продуктивности применения так называемых «прорывных технологий» в виде графика, который называется «Hype Cycle». Они разложены по 5-ти стадиям «хайпа о них» (триггер инновации, пик завышенных ожиданий, разрушение иллюзий, область просветления, плато продуктивности) и степени ожидания от них, а также времени прихода в нашу жизнь.

Собственно, сам Hype Cycle 2020 выглядит следующим образом:

Прямо из картинки можно сделать несколько занятных выводов.

Во-первых, развитие менее чем в 2-х годичной перспективе «Паспорта здоровья» и «Технологий социального дистанцирования». И это уже происходит, подтвердить, что вы «не заразный» с помощью приложений можно уже в Китае, Индии, Австралии, ОАЭ. А по поводу дистанции - буквально сегодня в FB видел рекламу сервиса по поиску коворкингов с соблюдением «режима»:

В эту же группу трендов можно отнести развитие в перспективе 2-5 лет BYOI («Принеси свою собственную идентичность»), а в 5-10 лет - «Подтвержденное происхождение», «Дифференциальная приватность» и «Цифровые двойники». Вызовы в контексте кибербезопасности здесь очевидны и аналогичны таковым в отношении цифровых паспортов, биометрии и т.п. Это – разного рода дипфейки, взломы, шантаж, мошенничество. Далеко не всегда текущие средства защиты способны противостоять такого рода угрозам, ждем появления новых (вроде «Подтверждение происхождения» и других). Кроме того, достаточно одного-двух «темных» случаев, чтобы отбросить степень доверия к технологии далеко назад, особенно, когда речь идет о здоровье или ограничении свобод. Поэтому, как мне кажется, разрушение иллюзий мы здесь еще увидим. Живя в мире постоянных утечек и фейков, уже трудно доверять кому-либо в принципе – тут я соглашусь с Gartner. Поэтому каждый будет стараться составить свой собственный «рейтинг доверия» (при этом, доверяя не источнику, а алгоритму), используя при этом базы с механизмами «избирательной приватности».

Во-вторых, не отпускает тема искусственного интеллекта и всего, что с ней связано. В 2-5 лет уложатся «Генеративный, состязательный и композитный ИИ», а в 5-10 лет - «Дизайн с помощью ИИ», «Двустороннее взаимодействие машина-человек», «Адаптивное машинное обучение», «Ответственный ИИ», «Дополненная ИИ разработка», «Объяснимый ИИ». Общий посыл – все больше разнообразных операций мы сможет доверить не просто роботам, а именно ИИ, который способен изменяться, подстраиваться, состязаться друг с другом в выборе лучшего варианта, словом, по-настоящему думать и принимать решения. Про Скайнет я рассуждать не буду, а вот более реалистичные примеры из сферы ИБ вполне имеют право на жизнь. Это было бы очень круто, если бы ИИ в условном SOC вылавливал реальную атаку, отбрасывая все false, а потом принимал решение об оптимальном сценарии реагирования, при этом на каждом шаге возможны новые внешние вводные + обучение на собственных же действиях. При этом закреплена его четкая ответственность, в идеале - с применением мер наказания. А иначе как направить энергию только в мирное русло, и не подсадить его на написание создание фейковых личностей, фейковых новостей и т.п. Кстати, по поводу последнего, совсем недавно выяснилось, что блог, который вел исключительно ИИ, стал самым популярным на ресурсе “Hacker news” среди обычных читателей.

Может, и хорошо, что пока у нас есть только разной степени продвинутости ML, а не полноценный ИИ, готовы ли мы к нему.

В-третьих, наконец, массовая удаленка еще больше подхлестнула к быстрому внедрению корпоративной мобильности и связанной с ней автоматизации или, если хотите, коммодизации безопасности. В разрезе 2-5 лет ожидаем развитие «Встроенного ИИ», «Дешевых вычислений на конечных точках», а 5-10 лет - «Фабрик данных», «Частного 5G», SASE («Безопасный доступ как сервис»). Как мне кажется, движение в эту сторону и так активно идет, а новые технологии – это, скорее, просто упрощение и модернизация подходов Нулевое доверие («Zero trust», Безопасность как сервис, BYOD наивысшего уровня зрелости, Повсеместная контейнеризация и т.п. Периметра и так уже давно нет, видимо, скоро его не станет «совсем-совсем».

 

Выводы

Некоторые выводы Gartner я умышленно обошел стороной, поскольку они представляются делами уж совсем далекого будущего, либо лично мне менее интересными. Если сравнивать с предыдущими прогнозами Gartner, данный мне показался излишне однонаправленным и даже более осторожным. В остальном – обращаем внимание на то, что практическая безопасность (разве есть уже средства защиты от угроз новым технологиям? А ведь они уже среди нас!), увы, отстает от ИТ-трендов в целом, а злоумышленники, напротив, уже сегодня «вооружаются» самыми современными технологиями. Однако, принцип «когда петух клюнет» все же трансформируется в принцип «security by design», поэтому при сколь-нибудь широком распространении той или иной инновации, привлечение экспертизы ИБ неизбежно. Иначе – потребители самой технологии стремительно сокращаются. Мир слишком быстро меняется, и доверие – стало ключевой разменной монетой. А его, как известно, трудно заработать, но просто потерять.

Оставайтесь на светлой стороне.

Как новый ГОСТ по ГосСОПКА поможет выстроить процессы

В рамках руководства деятельностью технического комитета по стандартизации ТК362 («Защита информации») ФСТЭК любезно выложила проект нового ГОСТ «Защита информации. обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты. Термины и определения». В этой заметке все пересказывать не буду, хочу подсветить то, что показалось мне интересным. А это, ни много ни мало, попытка описания структуры «типового SOC» и «каталога СЗИ».

Формально цели разработки документа декларируются, как «нац. и вообще безопасности». Но суть – в попытке создания единого понятийного аппарата, причем амбициозно согласованного с остальной массой документов. Творческий подход заметен сразу, например, есть следующие «адаптированные» врезки, передающие может не каждую букву (в отличие от официальных НПА), но кратко суть.

Когда начинаешь читать по порядку сплошником текст, можно сперва заскучать. Чтобы вам этого не позволить, перемещаюсь в приложения и делюсь схемами. С них-то и надо было начинать документ, т.к. они отражают всю его суть. Начнем со схемы взаимосвязи базовых терминов.

А вот - та самая обещанная структура SOC.

«Почему он ее так назвал?» - спросите вы, «ведь здесь речь только о ЦЕНТРЕ ГОССОПКА, а не о субъектах». Справедливо, однако, в практике встречаешь кучу разных толкований и есть случае применения к себе субъектами КИИ «требований к средствам ГосСОПКА». А у нас, как известно, если четкой нормативки нет, то нужно попытаться использовать хоть какую-то. Вспомните хотя бы широкое применение и адаптирование «Методики моделирования нарушителя ФСБ…» от 2008 года не только в ИСПДн и не только по отношению к СКЗИ. Итак, запасаемся попкорном и наблюдаем, как центры ГосСОПКА (а мб и субъекты КИИ) будут отстаивать свою возможную точку зрения об отсутствии TIER1 (или L1), как класса.

Сколько раз я и коллеги поднимали утопическую, в общем-то, тему отсутствия перечня всех возможных классов и откуда их брать. Вот вам – сборная схема из разных документов регуляторов.

Очевидно, что по Gartner’у нужно добавить еще 2-3 десятка типов решений, но для Российских реалий и нашей нормативки и так выходит приличный перечень (за рамками стандартных «куплю СЗИ от НСД, МЭ, СОВ, антивирус и отстаньте»), на который можно будет официально ссылаться.

Чтобы не утомлять, приведу заключительный в заметке интересный момент, который как бы подсказывает ключевые процессы в SOC.

Можно долго улыбаться, но если посмотреть на схему, то она на самом деле перекликается с «настоящими» процессами SOC. Кроме того, действуя по ней, вы уж точно не упустите никаких «формальных» процедур.  

Выводы.

Казалось бы, новый ГОСТ только лишь структурирует термины, но благодаря их визуализации прослеживается и концепция выстраивания некоторых процессов.

С использованием нового ГОСТа, как минимум, можно проводить тренинги и семинары, чтобы наглядно погрузить в тему людей, в первый раз сталкивающихся с КИИ.

Используя ГОСТ можно наглядно доказывать свою позицию (регулятору, руководству) по выстраиванию процессов SOC. А если сделать хитрость и взять его за основу и дорисовать свои собственные элементы – то возможно получить работающий инструмент именно в ваших реалиях.

К общему понятийному «знаменателю» ГОСТа полезно также привести свои внутренние документы субъектам КИИ, чтобы не было противоречий в тех случаях, когда они писались в спешке или не сверялись с иной ИБшной нормативкой.

Я надеюсь, что этим документом взято начало целой серии полезных практических материалов по сложной теме КИИ, методическое обеспечение которой, мягко говоря, сильно отстает от реальных потребностей рынка. Не знаю, как вам, а мне заметна правильная тенденция выпуска практических документов под эгидой регуляторов, в том числе с идеями из зарубежных стандартов. Наступит ли закат построения лучших практик ИБ в России по блогам? Честно, не думаю ;)

Оставайтесь на светлой стороне.