Coraz więcej producentów implementuje jako elementy rozwiązań ochronnych nowatorskie mechanizmy, bazujące m.in. na sztucznej inteligencji i głębokim uczeniu. Czy w praktyce można zauważyć ich zalety i czy klienci są ich świadomi?

Rozwiązania zabezpieczające środowiska IT to idealne miejsce do zastosowania uczenia maszynowego – przetwarzają ogromną ilość danych, nad którymi oko administratora już nie zapanuje. Tylko w ten sposób można skutecznie odpierać ataki typu zero-day. Narzędzia, które bazują na statycznych regułach polityki bezpieczeństwa już nie sprawdzają się, bo nie potrafią reagować w odpowiednio krótkim czasie na pojawiające się zagrożenia. Świetnym przykładem są stosowane w urządzeniach końcowych rozwiązania typu EDR, w których większość operacji i analizy incydentów jest wykonywanych przez sztuczną inteligencję. Im lepsze rozwiązanie, tym uzyskanie efektu tej analizy trwa krócej. Dzięki takiemu podejściu można wyeliminować nieskuteczne już rozwiązania antywirusowe bazujące na błyskawicznie dezaktualizujących się sygnaturach. Trzeba mieć jednak świadomość, że z drugiej strony mamy przestępców, którzy również te mechanizmy zaczynają wykorzystywać.

Jakimi kryteriami kierują się osoby decyzyjne w firmach poszukujące do współpracy integratorów lub dostawców zarządzanych usług bezpieczeństwa?

W kwestii bezpieczeństwa decyzja o współpracy bazuje głównie na zaufaniu. Jest ono nieodzownym elementem procesu zakupowego, cykli wdrożeniowych i dalszej współpracy. Bardzo ważnym elementem do rozmów z nowymi klientami są referencje, przykłady wdrożeń u klientów z podobnej branży. Cena, niestety, nie jest na drugim planie, chociaż my akurat nie traktujemy tego obszaru jako priorytetowego w procesie zdobywania klientów.

Czy w przypadku takich firm, jak Monolit IT, ma sens współpraca z innymi integratorami czy dostawcami usług zarządzanych przy obsłudze klientów?

W kontekście rozwiązań ochronnych taka współpraca często jest nieodzowna. Jest to tak szeroki obszar, że budowanie kompetencji w każdym możliwym zakresie jest bardzo trudne. Dlatego, gdy wchodzi w grę konieczność wdrożenia specjalizowanych rozwiązań, lepiej i taniej jest zaangażować podwykonawcę, niż budować kompetencje u siebie – te zresztą zawsze będą niższe niż u kogoś, kto wdrożył dane rozwiązanie kilkanaście razy. Natomiast taki model współpracy zawsze wymaga bardzo szczególnych uzgodnień z klientami.

Czy i jak często w trakcie pracy jako integrator zdarza się Wam zgłaszać w imieniu klienta jakieś przypadki służbom lub CERT-om?

Duzi klienci, jak banki, robią to samodzielnie. Tym mniejszym czasami pomagamy w poszukiwaniu źródeł ataku, aby mogli przygotować odpowiednią dokumentację do przedstawienia służbom. Natomiast dość często bierzemy na siebie korespondencję z producentami rozwiązań ochronnych w sytuacji, gdy nie doprowadziły one do zatrzymania ataku lub jakość ich pracy odbiegała od oczekiwań. Klienci zdają sobie sprawę, że taka sytuacja może mieć miejsce, ale zawsze oczekują reakcji producenta i wprowadzenia odpowiednich poprawek do swojego rozwiązania.

Coraz więcej producentów zaczyna samodzielnie świadczyć usługi w modelu MSSP, argumentując, że ich personel najlepiej poradzi sobie z przeciwdziałaniem skutkom ataku. Czy i jak duże jest to zagrożenie dla waszego biznesu?

Nie postrzegamy tego jako duże zagrożenie. Tego typu usługi są drogie, rzadko świadczone przez lokalny zespół, a poza tym dany producent zawsze bazuje niemal wyłącznie na swoich rozwiązaniach. Tymczasem mało który klient współpracuje tylko z jednym dostawcą, z reguły ma zdywersyfikowaną infrastrukturę. Jako ewentualne zagrożenie postrzegamy zainteresowanie coraz większej grupy klientów ofertą podmiotów świadczących usługi Security Operation Center w modelu outsourcingowym. Pomagają one odciążyć moce administracyjne klientów od bieżącego reagowania na incydenty. Siłą rzeczy też mniej inwestują oni wówczas we własne rozwiązania ochronne.

Nie muszą też poszukiwać inżynierów, co w dzisiejszych czasach jest wyjątkowo trudne…

Tak, pozyskanie wykwalifikowanego inżyniera specjalizującego się w bezpieczeństwie IT jest bardzo trudne i kosztowne, tymczasem zbudowanie własnego SOC-a wymaga pięciu lub więcej takich osób do obsługi w trybie ciągłym. A to już znacząca pozycja w budżecie, nawet dla dużych firm. Dodatkowo, samodzielne prowadzenie takiego projektu jest dość ryzykowne, ponieważ gdy dwie lub trzy osoby zdecydują się na zmianę pracodawcy, zagrożona będzie ciągłość funkcjonowania. Dlatego outsourcing w branży bezpieczeństwa docelowo może okazać się dominującym modelem.

Rozmawiał Krzysztof Jakubik

Andrzej Sobolewski Andrzej Sobolewski  

jest prokurentem Monolit IT. Wcześniej zarządzał działami sprzedaży u wiodących polskich integratorów. Ma ponad 20-letnie doświadczenie w branży IT. W tym okresie brał udział w projektach związanych z wdrażaniem systemów bezpieczeństwa i infrastruktury IT w niemalże wszystkich segmentach rynku – od bankowości poprzez produkcję w różnych branżach po instytucje rynku publicznego. Prywatnie miłośnik podróży i kultur dalekiego wschodu.