Каждый квартал в залах заседаний происходит разговор, который руководители по безопасности узнают не понаслышке. Директор по информационной безопасности (CISO) представляет ландшафт угроз. Совет директоров спрашивает, что нужно компании. Ответ почти всегда один — еще один инструмент. Еще одна платформа, еще один модуль, еще один поставщик для закрытия последней бреши. Бюджет утверждается. Инструмент развертывается. И через полгода разговор повторяется, потому что брешь на самом деле не закрылась. Она просто переместилась.
Этот шаблон повторяется десятилетиями. И он породил индустрию безопасности, которая чрезвычайно хорошо оснащена инструментами, но по-прежнему борется с той же фундаментальной проблемой, что и десять лет назад. Организации не могут последовательно отвечать на базовые вопросы о собственных средах. Какие существуют активы? Кто и что имеет к ним доступ? Что на самом деле происходит прямо сейчас во всех этих системах?
Инстинкт купить еще один инструмент понятен. Это ощущается как прогресс. Это удовлетворяет потребность совета директоров видеть действия. А поставщики очень хорошо упаковывают свои продукты как ответ на любую последнюю громкую угрозу. Но организации, которые действительно снижают риски, а не просто реагируют на них, поняли нечто, что скрывает цикл покупки инструментов. Самая ценная функция безопасности — это не обнаружение, предотвращение или реагирование. Это видимость (visibility).
Больше инструментов, те же слепые зоны
Большинство корпоративных групп безопасности могут назвать каждый инструмент в своем стеке. Очень немногие могут составить полную картину того, на что эти инструменты смотрят в совокупности, что остается между ними и за чем никто вообще не следит. Каждый инструмент приобретался для решения конкретной проблемы. Каждый из них делает то, для чего был разработан, достаточно хорошо. И все же общая позиция безопасности большинства организаций не улучшилась пропорционально этим инвестициям.
Представьте себе город, который постоянно нанимает все больше специализированных охранников, но никогда не составляет карту зданий, которые они защищают. Один охранник следит за парадным входом. Другой патрулирует паркинг. Третий контролирует погрузочную площадку. Каждый из них компетентен. Но никто из них не знает о незаметной боковой двери, добавленной во время ремонта три года назад. Охранники — не проблема. Проблема — в отсутствии карты.
Инструменты безопасности работают так же. Инструмент конечной точки видит активность на конечных точках. Инструмент облачной безопасности видит облачные конфигурации. Сетевой инструмент отслеживает шаблоны трафика. SIEM собирает журналы от всех них. Но ни один из них, по отдельности или вместе, не предоставляет единой картины среды в том виде, в каком она существует на самом деле. Каждый инструмент освещает свой угол. В промежутках между этими углами и обитают взломы.
Злоумышленники не прорываются сквозь вашу защиту. Они проходят между ней
Самые эффективные современные атаки не нацелены на область покрытия какого-либо одного инструмента. Они перемещаются по швам. Злоумышленник, скомпрометировавший действительный учетный набор данных, не вызывает срабатывания обнаружения на конечной точке. Злоумышленник, перемещающийся из одного облачного сервиса в другой с использованием законных отношений доверия, не вызывает сетевых оповещений. Злоумышленник, создающий новый автоматизированный учетный набор данных с использованием разрешений скомпрометированной учетной записи, не активирует сканер конфигураций.
Возвращаясь к аналогии с городом, это как если бы кто-то прошел мимо каждого охранника, используя действительный пропуск сотрудника. Ни один охранник не ошибся, пропустив его. Ошибка заключалась в том, что никто не вел карту, показывающую, какие двери этот пропуск должен открывать на самом деле, в какие здания этому человеку не следовало входить и какая последовательность проходов через точки доступа по всему городу составляет шаблон, заслуживающий расследования.
В беседах с руководителями служб безопасности в различных отраслях и компаниях разных размеров за последние несколько лет это разочарование проявляется наиболее последовательно. Инструменты работают. Оповещения срабатывают. Но никто не может восстановить полную картину произошедшего во всех системах, пока не пройдут дни или недели после того, как нанесен ущерб. Информация существовала в среде. Она просто не была связана.
Видимость — это не то же самое, что данные
Видимость — одно из тех слов, которое так часто использовалось в маркетинге безопасности, что утратило большую часть своего смысла. Каждый поставщик заявляет, что обеспечивает видимость. То, что большинство из них на самом деле предоставляют, — это данные. Журналы, оповещения, панели мониторинга, отчеты. Данные — это не видимость. Данные — это сырье. Видимость — это способность ответить на конкретный вопрос о вашей среде за минуты, а не дни, и доверять этому ответу.
Настоящая видимость означает знание того, что существует в вашей среде до того, как что-то пойдет не так, а не обнаружение этого во время последующего судебно-медицинского расследования. Это означает понимание взаимосвязей между системами, между пользователями и ресурсами, к которым они обращаются, между автоматизированными процессами и данными, к которым они обращаются. Это означает возможность отследить любую активность за пределами границ, а не только в пределах зоны покрытия одного инструмента.
Большинство программ безопасности сегодня богаты данными, но бедны видимостью. Они генерируют терабайты журналов, тысячи оповещений и сотни отчетов. И когда что-то идет не так, первые 48 часов по-прежнему тратятся на выяснение того, к чему имел доступ злоумышленник и какие системы были задействованы. Этот разрыв между данными и пониманием — это то место, где растут затраты на взлом, растягиваются сроки реагирования и подрывается доверие совета директоров.
Где сейчас самая большая слепая зона
Этот пробел в видимости проявляется по всему стеку безопасности, но есть одна область, где он вырос быстрее, чем осознает большинство организаций. Количество машинных и автоматизированных учетных данных в среднем предприятии незаметно превысило все остальные классы активов, отслеживаемые группами безопасности. Служебные учетные записи, ключи API, учетные данные для автоматизации, сторонние интеграции и теперь ИИ-агенты работают наряду с пользователями-людьми. Большинство из них были созданы кем-то, кто с тех пор перешел на другой проект или даже в другую компанию. Многие никогда не проверялись.
В результате среда, в которой фактический перечень того, кто и что может получить доступ к критически важным системам, обычно в несколько раз превышает то, что руководство считает. И именно в разрыве между предполагаемым и фактическим накапливается риск. Учетные данные, о которых никто не знает, — это учетные данные, за которыми никто не следит. Учетные данные, за которыми никто не следит, — это те, которые злоумышленник может использовать, не вызвав ни одного оповещения.
Эта проблема усугубляется внедрением ИИ, которое создает новые категории автоматизированного доступа быстрее, чем программы управления успевают их отслеживать. Но основная проблема не является специфичной для ИИ или какой-либо одной технологической тенденции. Это та же проблема видимости, которая существует уже десятилетие, ускоренная темпами, с которыми современные среды генерируют новые соединения, новые учетные данные и новые отношения доверия, которые остаются вне поля зрения инструментов, созданных для наблюдения за более узким периметром.
Вопрос, который совет директоров должен задавать вместо этого
Для членов совета директоров и старших руководителей, оценивающих инвестиции в безопасность, смена мышления проста в описании и сложна в реализации. Перестаньте спрашивать: «Защищены ли мы?» и начните спрашивать: «Что мы видим?»
Программа безопасности, которая может четко видеть свою среду, понимать взаимосвязи между системами и восстанавливать любую цепочку действий за считанные минуты, по своей сути более устойчива, чем программа с вдвое большим количеством инструментов, но вдвое меньшей видимостью. Инструменты важны. Но они важны только в том случае, если они построены на фундаменте реального знания о том, что существует.
Прежде чем утверждать следующую покупку инструмента, совету директоров следует задать своим руководителям по безопасности несколько вопросов. Есть ли у нас полный и актуальный перечень всего, что может получить доступ к нашим критически важным системам? Если завтра произойдет взлом, сможем ли мы восстановить, что произошло во всех системах, к которым обращался злоумышленник? Где находятся пробелы между нашими инструментами и кто следит за этими пробелами? Если ответы неопределенны, то самой высокодоходной инвестицией является не еще один уровень обнаружения поверх неполного фундамента. Это сам фундамент.
Лучшая инвестиция, которую совет директоров может сделать в 2026 году, — это не еще один инструмент. Это побуждение своих команд к тому, чтобы они обеспечили себе возможность видеть свою среду такой, какая она есть на самом деле, а не такой, какой они ее предполагают. Сначала нарисуйте карту. Все остальное строится на этом.
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jason Martin
