Сетчатая архитектура кибербезопасности: надежда или шумиха?



Прогнозы Gartner в отношении подходов, которые, по ее мнению, могут значительно повысить безопасность предприятия в ближайшие несколько лет, включают один из его собственных: ячеистая архитектура кибербезопасности (CSMA).

Аналитическая фирма назвала CSMA одной из главных технологических тенденций, за которой следует следить в 2022 году, назвав ее подходом, который может помочь организациям снизить стоимость инцидентов безопасности на 90% в течение следующих двух лет.

По мнению Gartner, потребность в таком подходе обусловлена ​​растущей изощренностью кибератак, миграцией активов в гибридное мультиоблако и внедрением моделей удаленной работы. В частности, тенденция к удаленной работе привела к тому, что организации поддерживают широкий спектр плохо интегрированных инструментов безопасности в различных средах.

Что такое CSMA и почему Гартнер так оптимистичен в этом отношении? По мнению Gartner, CSMA — это платформа для связывания разрозненных технологий в единое целое, в котором информация о безопасности и оповещения беспрепятственно передаются и сопоставляются между продуктами, чтобы обеспечить более быстрое обнаружение и реагирование.

По словам Gartner, «сетка кибербезопасности — это современный подход к обеспечению безопасности, который заключается в развертывании элементов управления там, где они больше всего нужны». По словам аналитической фирмы, вместо того, чтобы каждый инструмент безопасности работал изолированно, «сетка кибербезопасности позволяет инструментам взаимодействовать, предоставляя базовые службы безопасности и централизованное управление политиками и оркестровку». Gartner отмечает, что подход с ячеистой архитектурой позволяет организациям более эффективно распространять меры безопасности на распределенные активы за пределами традиционного корпоративного периметра.

Рик Тернер, главный аналитик Omdia, описывает CSMA как модульный подход, который централизует оркестровку политик безопасности, но распределяет применение там, где это необходимо. «По сути, каждый актив в инфраструктуре организации получает свой собственный условный периметр», — говорит он.

Права доступа регулируются централизованно стеком, состоящим из аналитики безопасности и информации об угрозах, структуры идентификации, управления политиками и позициями, а также единой панели мониторинга, которой команда безопасности должна управлять и объединять.

По словам Тернера, управляющий стек в структуре Gartner находится в центре сетки и взаимодействует с широким спектром средств управления безопасностью, в том числе на конечных точках, в облаке, в приложениях и электронной почте, данных, а также для управления идентификацией и доступом.

Огромный объем и скорость развертывания и разработки ИТ на типичном предприятии заставляют группы безопасности изо всех сил пытаться защитить многочисленные разрозненные проекты, все со своими специфическими требованиями безопасности и уровнями зрелости, добавляет Фернандо Монтенегро, старший главный аналитик Omdia. «Объединение всего этого в «сетку», подобную этой, — это способ позволить службе безопасности сохранить более жесткий контроль».

Он предсказывает, что внедрение CSMA будет зависеть от наличия достаточно мощной платформы для объединения различных технологий корпоративной безопасности в единую сеть. По словам Монтенегро, организационная согласованность между командой безопасности и остальной частью организации также будет иметь решающее значение. По его словам, хорошей отправной точкой для организаций на пути к архитектуре, подобной CSMA, является инфраструктура идентификации. Это потому, что личности людей и вещей играют центральную роль в том, что они могут и чего не могут делать в среде, подобной CSMA.

Идея или архитектура?
По словам Тернера, на данный момент CSMA — это не более чем идея и далека от формальной архитектуры. Это одна из многих идей, выдвинутых в качестве альтернативы традиционному подходу к корпоративной безопасности, построенному по принципу «замок и ров», который в последние годы испытал огромное напряжение в связи с дезагрегированием корпоративной инфраструктуры и приложений в облаке. Ускоренное внедрение удаленных и гибридных сред в ответ на пандемию COVID-19 сделало устаревшими старые модели безопасности, основанные на блокировании всего по периметру и доверии тем, кто находится во внутренних сетях.

«Именно здесь появляется предложение Gartner о ячеистом подходе к кибербезопасности, — говорит Тернер. «Он разработан, чтобы помочь организациям в процессе переосмысления».

Тернер сравнивает традиционный подход к обеспечению безопасности с пограничным контролем, когда кто-то, проникнув внутрь, может отправиться куда угодно и оставаться там нелегально даже после разрешенного срока пребывания.

«Напротив, [Gartner’s] подход разрешает вам въезжать в страну, но только в определенный город, только на ограниченный период, и следит за вами через систему видеонаблюдения на протяжении всего вашего пребывания», — говорит Тернер.

Иммиграционные власти отслеживают каждый момент и обеспечивают прекращение доступа по истечении разрешенного периода времени или раньше в случае любых нарушений политики.

Если это и звучит как нулевое доверие, то это потому, что так оно и есть, говорит Тернер. Идею сетки кибербезопасности можно рассматривать как способ организации корпоративной инфраструктуры кибербезопасности для обеспечения нулевого доверия — подход, который сначала сформулировал Forrester, а позже поддержал Gartner.

«Я думаю, что формулировка Gartner как ячеистой архитектуры кибербезопасности немного натянута, поскольку на данном этапе она носит скорее концептуальный, чем архитектурный характер», — говорит он.

Джон Пескаторе, директор по новым тенденциям в области безопасности в SANS Institute, рассматривает CSMA как переработанный подход к автоматизации и оркестровке безопасности. «По сути, для того, чтобы это работало, все инструменты безопасности и элементы управления должны взаимодействовать напрямую друг с другом и создавать или получать данные о безопасности», — говорит он.

Они также должны иметь возможность взаимодействовать с общей структурой идентификации предприятия, использовать стандартизированные языки политик и выполнять динамическое применение. Пескаторе предсказывает, что вероятность того, что все это произойдет — особенно с учетом того, что стандартных языков политики еще даже не существует — в течение 10 лет очень мала.

«Крупные поставщики, у которых есть по одному продукту, сразу же обратятся к этому», — говорит он. То же самое будет и с несколькими компаниями масштаба Google, у которых есть ресурсы для внутренней разработки кода, необходимого для ячеистой архитектуры. Но ожидайте низкого признания среди Fortune 500 и других организаций, говорит он.

https://cyberxhack.org/