Новые тенденции рынка защитных решений для рабочих станций

Компания Gartner выпустила ежегодное исследование Magic Quadrant for Endpoint Protection Platforms, согласно которому «Лаборатория Касперского» уже пятый год подряд находится в квадрате лидеров. Для нас крайне важно, что, несмотря на растущие в последнее время темпы трансформации защитных решений, и следующие за ними изменения критериев оценки Gartner, мы сохраняем и улучшаем нашу позицию внутри этого критически значимого аналитического обзора.

Не менее критичны  и комментарии аналитиков о слабых и сильных сторонах наших решений. В этом году они нашли у нас немало плюсов и не так уж много минусов (среди «опасений» не перечислено ни одного критического недостатка).

И наконец отчет Gartner позволяет нам понять в каком направлении рынок защитных решений будет двигаться в ближайшем будущем.

Что такое квадрант?

Но для начала, давайте разберемся, что же такое Gartner Magic Quadrant и зачем он нужен. В первую очередь, не следует воспринимать его как просто некий сравнительный рейтинг, показывающий, чья защита эффективнее. Это скорее инструмент, позволяющий определить какой вендор больше подходит для решения тех или иных задач. И ориентирован этот инструмент прежде всего на IT-директоров или специалистов по IT безопасности на стороне конечных корпоративных пользователей.

Сам факт присутствия компании в квадранте Gartner уже говорит о том, что она востребована на рынке, соответствуют минимальным ожиданиям ведущих аналитиков с точки зрения технических возможностей продукта, и, на момент формирования исследования, состоятельна в своем коммерческом приложении. По двум шкалам — «стратегическому видению» (completeness of vision) и «эффективности реализации» (ability to execute) — Gartner условно разделяет компании на четыре сегмента: «Нишевые игроки», «Визионеры» (имеющие хорошее видение, но пока не реализовавшие все свои идеи), «Претенденты» (работающие качественно, но не предлагающие сильных идей) и «Лидеры» (имеющие хорошее видение и реализовывающие новые разработки). Разумеется, расположение компаний внутри квадрата имеет некоторое значение, но основная цель квадранта — именно показать в каком сегменте находится компания.

Для чего он нужен?

Несколько лет назад, мы проводили исследование, целью которого было выяснить, на чем основываются крупные компании при принятии решения о покупке защитного программного обеспечения. Судя по полученным данным, наибольшим авторитетом среди корпоративных заказчиков обладает именно Gartner. Во многих организациях шорт-лист поставщиков IT-решений вообще составляется исключительно из компаний-лидеров.
Так что вендору, не фигурирующему в этом исследовании, очень сложно убедить IT-департамент потенциального клиента хотя бы рассмотреть предложение о сотрудничестве. Особенно если речь идет об Enterprise-заказчике, который хочет иметь максимально эффективное решение и не желает идти на лишний риск. Так что для любой компании присутствие в квадранте, а тем более в сегменте лидеров — критически важное требование для эффективной работы в B2B-сегменте.

Откуда берется информация?

Следует понимать, что Gartner не столько формирует рынок исходя из своих требований, сколько следит за развивающими тенденциями и  ожиданиями клиентов. Информация, на основании которой формируется отчет, получается из четырех источников:

1. Заполняемой вендором анкеты, содержащей опросы о технологиях и планах. Причем заранее не известно по каким критериям в этом году будет формировать квадрант, и как аналитики будут оценивать тот или иной ответ.
2. Специально подготавливаемой презентации, в которой компания представляет элементы продукта, которые кажутся Gartner критичными. В случае с Endpoint Protection Platforms — это, чаще всего, управляющая консоль. При этом аналитики обязательно задают уточняющие вопросы, и некоторые из них могут оказаться достаточно неожиданными.
3. Информация, собранная от клиентов, которые активно используют решения компании. Причем, эта информация запрашивается у клиентов напрямую, а не проходит через каналы вендора.
4. Сторонние запросы, поступающие в Gartner. Если аналитики не видят интереса к продуктам компании, то она вряд ли может попасть в квадрат и уж точно не сможет стать лидером.

Каковы же новые тенденции?

Эксперты «Лаборатории Касперского» сходятся во мнении, что квадрант в этом году крайне интересен. Аналитики Gartner изменили критерии оценки того, что можbно считать хорошим бизнес-ориентированным решением для Endpoint-защиты.

Во-первых, изменилась степень важности наличия технологий EDR (Endpoint Detection and Response), и во-вторых, аналитики явно поменяли свое отношение к компаниям, пропагандирующим отказ от «сигнатурных» методов анализа.

Что касается важности EDR-технологий, то наши эксперты полностью согласны с тем, что эти методы необходимы для обеспечения комплексного контроля информационной инфраструктуры и считают, что EDR является одним из магистральных направлений развития технологий обнаружения неизвестных угроз. Сама по себе эта концепция не нова — термин начал использоваться еще в 2014 году. Gartner формулирует три основных требования к EDR-решениям. Они должны обеспечивать возможности:

• низкоуровневой визуализации всех процессов, которые происходят на конечной станции, в том числе и с отображением ретроспективной картины этих процессов;
•  обнаружения аномалий, инцидентов, новых угроз;
• сбора данных о поведении обнаруженной угрозы, формирования картины ее распространения, расследования инцидента и эффективного удаления обнаруженной угрозы.

Судя же по последнему «Магическому квадранту», можно говорить о том, что отсутствие EDR-технологий в ближайшем будущем с точки зрения Gartner станет серьезным минусом для решений, обеспечивающих комплексное обнаружение угроз. И такая позиция полностью соответствует нашему видению и стратегии развития наших продуктов.

Второе изменение еще более интересно. Раньше Gartner активно пропагандировал идею того, что сигнатурный антивирусный движок является базовой технологией, которая безусловно нужна для обеспечения полноценной многоуровневой защиты. Сейчас же в их оценках появился некий дуализм. С одной стороны, критерий good malware detection capabilities никуда не пропал, а с другой, вендоры отрицающие необходимость изучения вредоносного программного обеспечения, также получили неплохую оценку аналитиков.

Наши эксперты полагают, что концепция отказа от базовой технологии в пользу монотехнологической защитной системы — это интересная, но пока не доказанная гипотеза. Пока результативность такого метода не будет подтверждена систематическими текстами, говорить о его эффективности по меньшей мере рано. Как нам кажется, поощряя компании, развивающие такую концепцию, Gartner пытается подтолкнуть индустрию к поиску новых не-сигнатурных методов.

Мы также думаем, что монотехнологическская защита не может быть достаточно эффективной. Современный ландшафт угроз таков, что атаки имеют мультивекторный характер, то есть злоумышленники применяют разные тактики и методы проникновения (через электронную почту, внешние накопители, уязвимости в программном обеспечении, и т.д.), а также различные технологические методы заражения и обхода защитных технологий (например, использование краденной электронной подписи, различных методов маскировки кода или применение «бестелесных» зловредов). Следовательно, для их нейтрализации необходима мультиуровневая защита — основанная на комбинации различных методов и технологий. Злоумышленники постоянно ищут методы обмана защитных технологий и если в решении используется только один метод (пусть даже и очень совершенный), то риски возрастают многократно.

Сразу после появления на рынке, новая технология может показывать неплохие результаты, но чем дольше она доступна, тем чаще ее проверяют на прочность киберпреступники. И рано или поздно методы ее обхода будут найдены. Именно в этом и состоит преимущество многоуровневой защиты — несколько технологий постоянно подстраховывают друг друга, минимизируя шансы злоумышленников на успешную атаку.

Иными словами, будущее покажет, смогут ли монотехнологическе решения доказать свою эффективность в независимых тестированиях и реальных кейсах. Не исключено, что рано или поздно создатели таких решений все-таки придут к необходимости применения комбинации методов, набив немало шишек, причем не только себе, но и своим первым клиентам.  Пока же наши эксперты видят, что такой подход существенно уступает многоуровневым системам защиты и может создать существенные проблемы для пользователей.