Я довольно часто слышу эту фразу, и многие реально в неё верят. Верят ровно до тех пор пока не столкнуться с последствиями этой веры. Это на самом деле распространённая проблема и она не специфична, она проявляет себя во всей красе до фига где, частичку этого, мы видим ежедневно сталкиваясь с реальностью вокруг нас.
Есть такая вселенная Warhammer, по ней написано множество книг, выпущено под сотню игр, и у неё довольно занятный лор.
Ну так вот, в этой вселенной есть орки. И они считают что если во что-то верить, то оно так и работает. Например: красная тачка едет быстрее, синий цвет приносит удачу, если доспех будет черного цвета то его невозможно будет пробить, а фиолетовый цвет вообще маскирует превращая орка в невидимку. Вы когда-нибудь видели фиолетового орка? Нет! А вот то-то же!
Но мы живём не во вселенной Warhammer, поэтому такая "бизусловна мега крутая палезная" фишка у нас не прокатит. За последние два года я лично дважды столкнулся с кибератакой, одна из которых привела к частичному восстановлению инфраструктуры. Знакомые коллеги работающие системными администраторами, также получили опыт восстановления после набегов злодеев.
Большинство не парится по поводу безопасности, ровно до тех пор пока не прилетит. А потом начинается разбор полётов, покажите мне пальцем, кто виноват, откуда прилетело, кто настраивал, кто нажимал кнопку, ГДЕ этот ...
Объективно руководство не ставило конкретной задачи, соответственно профильных специалистов нет, а у администраторов не хватает компетенций, хотя и подразумевается что права у всех правильные и верные, что пользователи имеют доступ только туда куда им выдали, и больше ни ни.
На практике, это распространенное заблуждение, и если негодник всё таки попадёт внутрь сети, то все остальное является лишь вопросом его опыта и времени. Хакеры готовы применять приёмы и методы о которых администраторы могут лишь догадываться, а если о чём то и знают, то полноценно защититься от этого нет возможности, ввиду фундаментального несовершенства используемых продуктов. И именно поэтому и появились такие продукты как IDPS, SIEM, SOAR, XDR и подобные.
Надо сказать что часть решений имеет очень много всего, прямо из коробки. Например мой хороший друг сказал, что ему сказали в ИБ, что после установки одного продукта, понадобится всего-то несколько человек для управлением ИБ. Я не берусь судить, так как друг сказал что их ИБ мега крутое, там самые опытные специалисты и там точно знают о чём говорят. То есть это не друг так утверждает. Это ему так сказали.
Как начинающий специалист, я знаком только с open source ИБ продуктами или продуктами которые доступны на время обучения на определённый срок. Например: The Hive, Cortex, SNORT, SIEM - ELK, ERD-Velociraptor и тому подобное. И глядя на открытые решения, мне совершенно непонятно как в даже небольшой компании, условно на 500 человек, с гибридной структурой можно все это мониторить в круглосуточном режиме в одну тушку, я уже не говорю о том, что настроить все это должным образом понадобится не один и не два месяца. При этом потребуется постоянный мониторинг и ресерч текущих как внутренних так и внешних угроз, не забывая про существующий зоопарк ПО и аппаратной части, которое надо перманентно обновлять, и затем ещё наверняка придётся дорабатывать из-за ложно-положительных срабатываний.
Возможно есть такие продукты, вроде условного KSC, который из коробки даёт что-то вроде поставил и забыл, но это только при первом приближении, так как и он не безупречен: агенты часто отваливаются, KES+EDR+агенты требуют обновления, при попытке полностью включить и настроить все компоненты, администратор неизбежно столкнётся с тем что ему надо будет регулярно вносить и править множество настроек. И это готовый и весьма удобный для использования продукт.
В своё время, из-за высокой нагрузки на работе , мне и этого стало не хватать, с целью экономии времени, я поставил low-code платформу n8n со своим AI агентом, скармливал нужные мне обезличенные логи для анализа. Так например можно получать ежедневные сводки о критическом состоянии нужных сервисов или потенциально опасных IP, в режиме реального времени.
Но, как ни крути, основным полем битвы всегда остаётся воздействие на самого сотрудника компании. Я имею ввиду любого сотрудника, от младшего помощника старшего дворника, до непосредственно руководителя. Большая часть атак которые привели к хоть сколько-нибудь успешным результатам произошли из-за невнимательности сотрудника: обычно это фишинг. Я не просто так выделил слово воздействие. Так как на сотрудника компании пытаются влиять злодеи, так и сама организация должна озаботиться тем, чтобы её сотрудники вели себя осторожно и были ознакомлены, а самое главное сформировали и выработали навык противодействия мошенникам.
Резюмирую вопрос: Ну кому мы нужны?
Отвечаю: Вы лично нет, а вот Ваши данные которые можно продать (или использовать как шантаж), или даже крах Вашей организации (которая и не нужна то никому, но просто под руку попалась) и последующий пиар, с целью найти клиента под конкретный заказ. Вполне подойдёт.