Результативные продукты – разговаривать с заказчиком про результат, а не про продукт
Ключевая задача современного подхода к информационной безопасности — говорить с заказчиком на языке результата, а не просто перечислять характеристики внедренных решений. Важно не то, какой продукт установлен, а то, какие угрозы он реально помогает обнаружить и предотвратить и, соответственно, какой профит приносит бизнесу.
«Мы часто видим, что заказчики используют наши продукты лишь на 20–30% от их реальных возможностей. Формально система внедрена, лицензии закуплены, но детектирование работает неэффективно, аналитики перегружены ложными срабатываниями, а ценные данные об атаках теряются в шуме. Наш подход к результативным внедрениям строится на принципе „кушаем слона по частям“: мы не заваливаем заказчика сработками, а вводим уровни контента base → advanced → expert, подсвечиваем критические риски и автоматизируем подключение источников. Подход HealthCare от наших партнеров из Innostage позволяет „раскрыть“ потенциал решений PT и сделать этот процесс системным и повторяемым на широкой массе заказчиков». — поделился Павлов Алексей, Директор по развитию продуктов Positive Technologies.
Чтобы подробнее раскрыть подход HealthCare, мы задали несколько вопросов Ильдару Гасимову, Руководителю центра сервисных услуг Innostage: почему бизнесу недостаточно просто поддержки, в чем отличие подхода HealthCare от классической техподдержки и как диагностика может превратиться в понятную дорожную карту (Roadmap).
Почему бизнесу недостаточно просто «поддержки»?
Многие компании внедряют инструменты безопасности, но сталкиваются с типовыми проблемами:
- Низкая рентабельность
Инструменты закуплены, но не окупаются, так как работают неэффективно. Бюджет тратится на «мертвые» инструменты и борьбу с шумом.
- Слепые зоны
Угрозы остаются незамеченными из-за неоптимальных правил корреляции и недостаточного покрытия инфраструктуры событиями.
- Операционный шум
Сотрудники ИБ тонут в ложных срабатываниях, не успевая реагировать на реальные атаки.
- Реактивная позиция
Служба ИБ вечно «тушит пожары», вместо того чтобы предотвращать их. Компания не выходит на новый уровень безопасности.
Проактивные сервисные услуги и подход HealthCare призваны решить именно эти «хронические болезни» инфраструктуры, превращая безопасность из навязчивого контролера в предсказуемого бизнес-партнера, который помогает компании расти устойчиво.
В чем отличие HealthCare от техподдержки?
Важно понимать разницу между этими двумя сущностями:
Техническая поддержка — это оперативная реакция на сбои и поддержка работоспособности продуктов:
- Оперативная реакция на инциденты и сбои
- Диагностика и устранение технических проблем
- Консультации по эксплуатации и администрированию
- Поддержка актуальности версий ПО и сигнатур
- Точечные настройки уже работающих продуктов
HealthCare — это глубокий аудит конфигураций и эффективности системы:
- Комплексный анализ настроек и рекомендации по улучшению
- Целенаправленное устранение недостатков, влияющих на производительность и точность работы
- Регулярный тюнинг и оптимизация настроек (снижение ложных срабатываний, повышение эффективности, выбор наиболее оптимальных настроек под конкретную задачу)
- Формирование отчетов с измерением эффективности работы продукта (сравнение «до/после»)
- Системный подход к развитию ИБ (масштабирование, обучение команды, интеграция с другими решениями)
HealthCare не заменяет техподдержку, а дополняет её, позволяя значительно улучшить эффективность решений и продемонстрировать их реальную ценность для бизнеса (отдачу от инвестиций в ИБ).
Как диагностика превращается в Roadmap?
Обычная диагностика выглядит так: пришли эксперты, поковырялись, выдали «простыню» с критическими замечаниями и ушли. Заказчик остается один на один с длинным списком технических проблем, не понимая, за что хвататься в первую очередь, сколько это стоит и когда это окупится. В итоге либо ничего не делается, либо делается хаотично, либо покупаются очередные «волшебные» инструменты, которые пылятся в углу.
В модели HealthCare диагностика — это не финальный отчет, а фундамент для дорожной карты (Roadmap). Мы не просто перечисляем проблемы, а упаковываем их в понятную структуру, которая отвечает на три главных вопроса бизнеса:
1. Техническая диагностика — создаем прозрачность
Анализ текущего состояния систем SIEM, VM, NAD, EDR, WAF, оценка полноты покрытия, выявление «слепых зон» и узких мест. Используем инструменты легкой самостоятельной проверки результативности (Dephaze, Knockin), чтобы заказчик наглядно увидел — работает ли инструмент и готова ли команда к реагированию.
2. Оценка процессов — ищем «узкие горлышки»
Анализ зрелости процессов управления уязвимостями, обработки инцидентов, формализации ролей и ответственности. Важно не только «кого ловим и как проверяем», но и выстроено ли взаимодействие с ИТ-службой, настроен ли белый список (далее whitelisting), понимает ли команда, что хорошо, а что плохо в сработках.
3. Формирование приоритезированного плана — дорожная карта
Задачи разделены на категории:
- Критические (быстрые победы) — то, что можно исправить быстро с максимальным эффектом
- Стратегические (системные улучшения) — долгосрочные изменения архитектуры и процессов
- Инструментальные — что докупить, а что малоэффективное или вовсе ненужное выбросить (оптимизация стека технологий)
- Метрики (KPI) и бенчмаркинг — как измерить прогресс и сравнить свой уровень с рынком
Итоговой ценностью подхода и его практическим результатом для компаний поделилась Екатерина Гафиятуллина, менеджер по развитию бизнеса Innostage, ответив на вопрос, что же в итоге получает бизнес.
Что получает бизнес в итоге?
Прозрачную картину текущего состояния
Мы визуализируем ландшафт безопасности, показываем «слепые зоны» и узкие места. Бизнес перестает гадать, эффективно ли работают вложенные в безопасность средства. Появляется бенчмаркинг — понимание, на что можно рассчитывать с текущим уровнем экспертизы и количеством ресурсов.
Понятный план действий
Задачи разбиты по приоритетам, срокам и ответственным. Команда понимает, за что хвататься в первую очередь, а что может подождать. Опыт становится повторяемым и масштабируемым.
Обоснование бюджета
Руководство видит, на что пойдут деньги и какой эффект это даст. Например: «вложив Х в настройку SIEM, мы снизим время детектирования атак с дней до часов» или «оптимизация правил корреляции сократит нагрузку на аналитиков на 40%»
Измеримый прогресс и динамику
Через полгода можно вернуться к метрикам и объективно оценить, стала ли защита лучше. Заказчик видит динамику и текущее состояние, понимает шаги своего роста. Безопасность перестает быть «черным ящиком» и превращается в управляемый процесс с понятными показателями эффективности.
Главный принцип: «кушаем слона по частям»
Не всем компаниям нужно защищаться сразу от APT-атак. Кому-то ценнее сделать первый шаг в текущий момент времени — настроить базовое детектирование, отсечь шум, научиться расследовать инциденты. Именно поэтому мы:
- Упрощаем контент по детектирующим технологиям, вводя уровни base → advanced → expert,
базовый → продвинутый → экспертный - Подсвечиваем критичное — критичные правила, критичные активы, риск-скоринг
- Автоматизируем подключение источников и настройку аудита
- Обучаем специалистов — как взаимодействовать с ИТ, как делать whitelisting, как расследовать инциденты
- Даем инструменты самопроверки, чтобы заказчик мог самостоятельно убедиться в эффективности продукта и готовности команды
Профилактика дешевле ликвидации — мы находим и лечим «хронические болезни» инфраструктуры до того, как они приведут к инциденту с репутационными и финансовыми потерями.
Безопасность из статьи расходов и навязчивого контролера превращается в предсказуемого бизнес-партнера, который помогает компании расти устойчиво, минимизируя риски и обеспечивая соответствие требованиям регуляторов.
