Платформизация сейчас на подъеме во многом потому, что команды по безопасности погрязли в «долге интеграции». Речь идет не о техническом долге в классическом смысле, а о накопленной цене поддержания десятков инструментов, потоков данных, панелей мониторинга, парсеров, коннекторов и рабочего процесса «еще одного шага» в рабочем состоянии, достаточном для прохождения аудита и, что более важно, для выживания в случае инцидента. Правда в том, что долг интеграции не просто замедляет вас; он создает слепые зоны, непоследовательную политику и хрупкие пути реагирования, которые дают сбой под давлением.
Почему платформатизация может быть по-настоящему хорошей
Когда это работает, платформатизация — это попытка погасить этот долг и восстановить согласованность. Преимущество заключается не столько в «единой панели мониторинга»: это косметический эффект. Преимущество — это общий способ отвечать на вопросы, которые важны каждый день: что подключено, какова его критичность, что изменилось, что подвержено риску и что мы собираемся с этим делать? Платформы, построенные на основе непрерывной разведки об активах, и которые обязательно включают как управляемые, так и неуправляемые устройства, призваны обеспечить согласованность этих ответов в ИТ, облаке и в сложных пограничных случаях в области операционных технологий (ОТ), Интернета вещей (IoT) и медицинских сред. Здесь есть прагматическая операционная выгода. Если платформа может непрерывно обнаруживать и классифицировать устройства и оценивать их состояние, вы уменьшаете количество раз, когда аналитикам приходится «реконструировать реальность» во время триажа. Это сокращает время на понимание и время на сдерживание, а также уменьшает вероятность того, что представление об активе или пользователе в одном инструменте незаметно расходится с представлением в другом. Есть и управленческая выгода. Платформа, способная применять согласованные средства контроля, такие как сегментация, решения о доступе и действия по реагированию, может сделать модель нулевого доверия (zero-trust) не просто направлением, а принудительной операционной моделью.
Почему и поставщики, и практики движутся в этом направлении
Категории безопасности и корпоративные силосы рушатся, потому что атаки их не признают. Противники уже рассматривают идентичность, конечные точки, сеть, программное обеспечение как услугу (SaaS), облако и ОТ как единую непрерывную поверхность. Платформы — это ответ поставщиков на эту реальность, но они также являются ответом практиков безопасности на ограничения штата и хрупкость заказных интеграций. Практики переходят к платформатизации, потому что они не могут позволить себе операционные накладные расходы на стек безопасности, который ведет себя как группа неуправляемых вундеркиндов. Поставщики движутся в этом направлении, потому что клиенты требуют меньше движущихся частей, и потому что общая модель данных — единственный способ сделать междоменные рабочие процессы кибербезопасности надежными в масштабе. И да, конечно, ИИ тоже втягивается в эту историю, но лучшая его версия — это не та, которую нам чаще всего предлагают — трюк с чат-ботом. Речь идет о снижении когнитивной нагрузки: организации работы по ролям и приоритетам, выявлении того, что изменилось и почему это важно, и удержании людей в контроле над действиями.
Долг интеграции не всегда исчезает, иногда он перемещается
Платформа может уменьшить долг интеграции, но она также может переместить его — в плоскость управления платформы, ее модель данных и экосистему интеграций. Здесь важно различие между реальной интеграцией и интеграционным театром. Ваш лучший тест — операционный: уменьшает ли платформа работу или переупаковывает ее? В истинной платформе ищите непрерывную разведку активов, а не периодическую инвентаризацию. Это означает динамическое обнаружение и классификацию, которые успевают за изменениями, и оценку состояния, которая остается актуальной по мере изменения устройств и конфигураций. Затем посмотрите, что произойдет, когда что-то изменится быстро. Новое устройство появляется в чувствительном сегменте, обнаруживается открытый сервис, падает уровень безопасности. В версии «интеграционного театра» три инструмента выдают оповещения, две панели мониторинга не согласны в том, что это за объект, и результатом становится заявка, которая лежит в очереди, пока кто-то разбирается, какую кнопку нажать. В интегрированной версии вся цепочка представляется как единый инцидент, единый связный нарратив, сшитый из общего контекста (идентичность актива, состояние, подверженность риску, поведение), с готовым к выполнению рекомендуемым рабочим процессом смягчения последствий — или автоматизированным реагированием, выполненным в рамках четко определенных защитных ограждений. Если поток распадается на ручные шаги, долг интеграции никуда не делся; он просто выглядит красивее. Наконец, обратите внимание на стратегию экосистемы, которая не требует полного отказа от всего, что у вас уже есть. Расширяемость — это актив, когда она встроена с самого начала: поддерживаемые интеграции, многократно используемые модули, открытые программные интерфейсы приложений (API) и четкий способ передачи контекста устройства/пользователя/сети в остальную часть вашего стека и управления рабочими процессами в сторонних инструментах.
Вопрос об единой точке отказа
Да, в худшем случае платформатизация может увеличить радиус поражения. Не только из-за сбоев, но и из-за компрометации плоскости управления или высокоэффективной некорректной конфигурации, которая быстро распространяется повсюду. Решение не в том, чтобы избегать платформ, а в том, чтобы рассматривать платформу как инфраструктуру Уровня 0 (Tier-0 infrastructure) и управлять ею соответствующим образом. Это означает контролируемые человеком шлюзы изменений для действий с большим радиусом поражения, строгое разделение обязанностей и пути восстановления, которые не зависят от того объекта, который вы пытаетесь восстановить. Это также означает проектирование принудительного исполнения таким образом, чтобы оно безопасно деградировало; средства контроля должны продолжать выполнять разумные, предсказуемые действия, если консоль недоступна, а не распахивать двери. При отсутствии такого архитектурного подхода вы не «упростили» риск; вы его сконцентрировали.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Rik Ferguson
