Сегодня в сфере ИТ-безопасности царит полный бардак, и отчасти в этом виноват я. Тридцать лет назад мы с несколькими хорошими друзьями запустили первый в мире коммерческий межсетевой экран и помогли запустить то, что с тех пор превратилось в индустрию кибербезопасности стоимостью 200 миллиардов долларов.
В то время компании, которые я создал и в которые инвестировал, решали очень специфические проблемы безопасности: Check Point справлялась с атаками через Интернет на корпоративные сети, а Imperva обеспечивала безопасность веб-сайтов электронной коммерции. Я также выписал первый чек для компании Palo Alto, которая объединила несколько продуктов в одно решение.
Да, индустрия кибербезопасности развивается, но ее развитие обусловлено беспорядочным внедрением новых возможностей в области ИТ и безопасности в ответ на меняющиеся требования бизнеса, изменения ИТ-инфраструктуры и быстро меняющийся ландшафт угроз. Индустрия безопасности изначально была настроена на создание точечных решений, чтобы не отставать от новейших методов злоумышленников. Эта культура точечных решений, которую, по общему признанию, я помог создать, теперь стала главным врагом индустрии ИТ-безопасности.
Результаты говорят сами за себя: Среднее время выявления и локализации взлома в 2023 году составило 204 дня и 73 дня соответственно. Средняя сумма выкупа в 2023 году составила 1,54 млн долларов, что почти вдвое больше, чем в 2022 году (812 380 долларов), и почти в 10 раз больше, чем в 2020 году (170 404 доллара).
В конечном итоге корпоративные системы безопасности нацелены на достижение оптимального уровня безопасности. К сожалению, эта динамика "угроза — реакция" создает архитектуру ИТ-безопасности, которая сама становится фактором риска. Перегруженные ИТ-команды жонглируют десятками инструментов безопасности, одновременно обновляя продукты и приложения для защиты от новейших угроз. При таком количестве движущихся частей легко допустить ошибки, забыть о важных шагах или неправильно настроить инструменты.
Кроме того, предприятия теряют видимость, поскольку ценные данные о безопасности распределяются по множеству инструментов безопасности. Дело не в том, что у них нет информации о сохраняющейся угрозе: они не могут действовать в соответствии с ней, поскольку сигналы скрыты во множестве инструментов. Сбор этой информации и обслуживание самих дискретных инструментов требует таких специальных знаний и навыков, что в отрасли наблюдается известный дефицит специалистов по безопасности. Только самые обеспеченные ресурсами компании из списка Fortune 500 с огромными ИТ-командами могут (частично) справиться с этим хаосом ИТ-безопасности.
Этот хаос влияет на бизнес-операции не только в сфере кибербезопасности. Расширение деятельности в новых регионах требует большего уведомления, чтобы ИТ-команды могли внедрить множество инструментов. Непредвиденные события, такие как пандемия COVID-19, требуют огромных ресурсов и инвестиций для их устранения. Даже приобретение компаний задерживается из-за многомесячных усилий по интеграции ИТ-инфраструктуры.
Некоторые крупные компании отрасли кибербезопасности пытаются скрыть хаос с помощью продуманной упаковки, объединяя огромные портфели разрозненных продуктов, полученных в результате сотен приобретений, под общим брендом. Такой подход может обеспечить спокойствие отделов закупок благодаря единой спецификации материалов, но не лиц, принимающих решения, и операционных групп, отвечающих за безопасность компании.
Это не работает. Чтобы поддержать цифровую трансформацию бизнеса и ландшафта угроз, ИТ-безопасность также должна измениться.
Вместо того чтобы фокусироваться только на функциях безопасности ("что"), ИТ-безопасность должна учитывать и операции ("как"). Предприятиям нужны платформы, которые обеспечивают требуемую функциональную ценность, а также решают операционные задачи. Да, предприятиям требуется предотвращение угроз, защита данных и управление угрозами ("что"), но это не может идти в ущерб операционному опыту ("как").
И как выглядит этот опыт эксплуатации? Поскольку операционные проблемы возникли из-за слишком большого количества разрозненных продуктов, решение должно заключаться в их конвергенции в общую глобальную платформу, которая будет стабильно работать в масштабе для всех пользователей, устройств и приложений в любой точке мира. Поскольку множество разрозненных продуктов не позволяло ИТ-отделам справляться с непредвиденными ситуациями, глобальная платформа не должна требовать больших ресурсов для поддержания оптимальной производительности и безопасности.
Нам нужна автономная платформа, способная самостоятельно поддерживать свое развитие, отказоустойчивость, оптимальную производительность, масштабируемость, глобальный охват и уровень безопасности. В конечном итоге платформа должна позволить любому предприятию достичь оптимального уровня безопасности независимо от меняющихся потребностей бизнеса или ландшафта угроз, не требуя при этом огромных трудозатрат, труднодоступных навыков и значительных инвестиций в ресурсы.
Я работаю над созданием такой платформы с 2015 года, за четыре года до того, как компания Gartner ввела в обиход термин Secure Access Service Edge (SASE) — модель облачной архитектуры, в которой реализовано именно то, что я описал: объединение множества точечных сетевых и защитных возможностей в единую облачную платформу. Модель SASE определила способ, с помощью которого предприятия могут практически без усилий развернуть функции защиты данных и обнаружения угроз по всему миру для всех пользователей, сайтов и облачных ресурсов.
При этом SASE позволяет ИТ-отделу сосредоточиться на своей истинной ценности — удовлетворении потребностей бизнеса. Ни один поставщик или технология не могут удовлетворить и предугадать уникальные требования предприятия так хорошо, как ИТ-организация. SASE освобождает ИТ-отдел от большей части "черновой работы", чтобы обеспечить истинную ценность для предприятия. Благодаря надежным моделям искусственного интеллекта SASE может самостоятельно поддерживать оптимальный уровень безопасности. Благодаря конвергенции, автоматизации и автономности SASE снижает вероятность того, что кто-то допустит ошибку или что-то забудет, оставив брешь, через которую могут пройти злоумышленники.
Хотя "что" SASE, возможно, начиналось с защиты данных и обнаружения угроз, оно будет расширяться, охватывая другие области кибербезопасности, но никогда не в ущерб "как". Сегодня SASE стала умнее, расширившись, с одной стороны, на обнаружение угроз и реагирование на инциденты, а с другой — на защиту конечных точек. Но она должна продвигаться в этих новых областях без ущерба для "как", объединяя их в общую платформу.
Переосмыслив способы предоставления возможностей и создав новую структуру ИТ-безопасности, мы сможем расширить имеющиеся возможности, не теряя контроля над защитой. SASE может стать той преобразующей силой, в которой нуждается ИТ-безопасность: противоядием от хаоса, который я помог создать.
Шломо Крамер, соучредитель и генеральный директор компании Cato Networks