Сказка о Большой Красной Кнопке

Сказка о Большой Красной Кнопке

Когда поднимаешься на ступеньку-другую вверх по корпоративной лестнице, начинаешь сталкиваться с различными вендорами и их предложениями. И с каждой ступенькой таковых становится всё больше, а предложения — всё красочнее и заманчивее.

Оказывается, достаточно просто купить некую финтифлюшку за миллион чего-нибудь — и она, используя все последние достижения AI, ML, BigData и блокчейна, одним махом сделает так, что все проблемы решатся, цели — будут достигнуты, а KPI заколосятся и зазеленеют так, как ещё никогда не зеленели.

Сегодняшний автор этой колонки видел множество подобных презентаций, а некоторые из рекламируемых продуктов даже застал внедрёнными. И ни разу ещё не было такого, чтобы внедрение демонстрировало что-то хоть отдалённо близкое к обещанной рекламой картинке. Кровавому энтерпрайзу обычно требуется в лучшем случае год, чтобы чудо-продукт просто заработал, — а потом ещё год, а то и два, чтобы завести в него нужные потоки данных, настроить логику работы и разобраться, что же теперь делать со всеми отчётами и оповещениями, которые он генерирует.

Когда слышишь речь очередного сейла, обещающего райские кущи, часто возникает труднопреодолимое желание в лучшем случае на него наорать, а то и вообще попросить его удалиться с помощью грубого физического воздействия. Из последних обещаний мне особенно запомнились:

• коробочка, которая может «целиком заменить аналитика SOC» на основе чудотворных ИИ-технологий;
• продукт, который полностью автоматически делает пентест всей сети компании и формирует по нему отчёт;
• платформа по поиску уязвимостей, которая не только все их находит, но ещё и автоматически патчит для любых ОС.

К сожалению, очень часто эти презентации демонстрируются высшему руководству потенциального заказчика в отсутствие на этой встрече его «технарей». А порой, в отчаянной попытке заработать себе премию, недобросовестные сейлы идут на совсем уж сомнительный этичности поступки. Так, недавно одному из руководителей высшего эшелона после полуночи пришло в мессенджере сообщение от ИБ-вендора, что их специалисты обнаружили серьёзнейшую уязвимость в веб-сервере компании, требующую немедленного реагирования. После ознакомления с техническими деталями выяснилось, что уязвимость заключалась в не полностью корректно сгенерированном SSL-сертификате одного из публично доступных сайтов. Вещь, безусловно, неприятная, но уж точно не критическая и даже близко не смертельная. Зачем компании, продающей услуги, портить себе репутацию подобным низкопробным спамом в полночь — для меня настоящая загадка.

На фоне подобных безумных, непонятно на кого рассчитанных презентаций особенно ценны разговоры с коллегами, в которых рассказывают о реальном опыте, реальных сроках и реальных результатах. Например, я на днях услышал рассказ о внедрении SOAR: спустя полгода-год после начала проекта удалось автоматизировать около 30% планируемых задач. Вот это — реальные цифры, а не рекламное «через неделю наступило счастье».

Какой же из всего этого следует вывод? Решающей все проблемы Большой Красной Кнопки не существует, что бы там ни вещали вендоры. А значит, везде всё так же требуется долгая, кропотливая и не очень-то благодарная работа по построению комплексной системы защиты и (что ещё сложнее) поддержанию и развитию этой системы. Ну и, конечно, любимая наша автоматизация — но это уже совсем другая история.