Эдера спонсировал этот пост.
Я начал заниматься безопасностью в конце 2000-х, занимаясь обнаружением вторжений и реагированием на инциденты. С тех пор мир пережил облачный ренессанс, но мониторинг безопасности во многом выглядит прежним. Хотя обнаружение перешло от анализа сетевого трафика к проверке во время выполнения, большинство инноваций направлено на повышение вычислительной эффективности датчиков.
Мониторинг безопасности остается важным в облачных средах, но слишком часто его считают единственным аспектом безопасности. В 2025 году крупнейшие охранные компании по-прежнему создают прославленные информационные панели и генераторы журналов. Идея проста: облако небезопасно, поэтому следите за всем и предупреждайте инженеров, если что-то кажется подозрительным. До бесконечности.
Это отражает сизифову задачу по устранению уязвимостей в образах контейнеров — до тех пор, пока не появились защищенные образы от таких компаний, как Chainguard, Minimus и Docker. Эти компании не создавали улучшенных сканеров; они просто удалили уязвимости.
Вместо того, чтобы добавлять больше средств обнаружения во время выполнения, пришло время просто удалить уязвимости.
Фундаментальный недостаток в безопасности, прежде всего обнаружении
Журналы мониторинга не делают вычисления более безопасными — они просто сообщают вам, когда кто-то воспользовался существующей небезопасностью. Этот реактивный подход подобен установке камер наблюдения в доме без замков. Журналы безопасности также обременяют инженеров, которым приходится переводить экзотические системные вызовы ОС в поведение злоумышленника и принимать решения по реагированию на инциденты за доли секунды.
Журналы безопасности не просто отнимают ограниченные инженерные знания и время — они истощают ресурсы через дорогие системы управления информацией о безопасности и событиями (SIEM) и приемники журналов. В недавнем отчете Honeycomb говорится, что затраты на наблюдение обычно составляют от 15 до 25% счетов за инфраструктуру.
Экономика неустойчива. Мы направляем драгоценные ресурсы безопасности не на усиление и обеспечение безопасности вычислений с самого начала, а на создание улучшенных информационных панелей, выделяющих постоянно растущие списки уязвимостей, и сложных систем оповещения. Согласно отчету Пало-Альто «Реагирование на инциденты 2024 года», «почти 45% инцидентов приводят к потере данных менее чем за 24 часа». У защитников есть часы, а не дни, чтобы отреагировать, создавая невозможную гонку.
Реакция отрасли? Используйте ИИ, чтобы ускорить обнаружение. Но физика не лжет: независимо от того, насколько быстро обнаруживаются модели больших языков (LLM), они принципиально не могут предотвратить атаки, если базовые компоненты небезопасны по своей конструкции. Вы не можете контролировать свой выход из небезопасных настроек по умолчанию.
Революция в области профилактики уже здесь
Появляется новое поколение охранных компаний с радикально иной философией: предотвращать атаки, а не обнаруживать их. Это не постепенное улучшение — это сдвиг парадигмы, делающий традиционный мониторинг небезопасных дефолтов практически неактуальным.
Трансформация уже идет: организации устраняют уязвимости образов контейнеров перед развертыванием в рабочей среде — больше не нужно надеяться, что обнаружение во время выполнения обнаружит каждую уязвимость или вредоносный контейнер. Теперь команды предотвращают атаки на самом уровне среды выполнения контейнера. Вместо мониторинга атак во время выполнения такие компании, как Edera, создают защищенные среды выполнения, выход из которых архитектурно невозможен, предполагая совершенно новые стеки, безопасные по своей конструкции.
Почему профилактика выиграет рынок
Рыночный спрос на безопасность, ориентированную на предотвращение, возрастает по мере того, как организации сталкиваются с экономической реальностью: они тонут в предупреждениях безопасности. Среднестатистическое предприятие ежедневно получает более 11 000 предупреждений о безопасности, при этом команды безопасности расследуют менее 49 %, что приводит к неустойчивому выгоранию и ложным срабатываниям, которые можно устранить с помощью предотвращения.
Меры безопасности по умолчанию масштабируются независимо от размера инфраструктуры, сохраняя постоянные затраты по мере роста архитектуры, а мониторинг безопасности масштабируется линейно в зависимости от количества компонентов. Системы обеспечения соответствия все чаще отдают предпочтение превентивному контролю, а не реагированию, что позволяет легче продемонстрировать маловероятность атаки, чем доказать адекватное обнаружение и скорость реагирования.
Самое главное, не хватает квалифицированных инженеров по безопасности, которые могли бы укомплектовать SOC круглосуточно и без выходных и вручную расследовать оповещения, что делает снижение зависимости от людей в предотвращении не только привлекательным, но и необходимым для выживания организации.
Профилактика настолько хороша, что каждое предупреждение имеет цель
В вычислительных стеках, безопасных по своей конструкции, мониторинг играет другую роль. Безопасные настройки по умолчанию снижают инженерную когнитивную нагрузку из-за ложных срабатываний и затрат на инфраструктуру, а также делают большинство предупреждений неактуальными.
Это не теоретическое. Устранение поверхностей атак вместо мониторинга атак значительно снижает объем предупреждений, поскольку не существует основных уязвимостей, которые можно было бы использовать. Остальные предупреждения фактически требуют расследования.
Будущее операций по обеспечению безопасности выглядит радикально иным: инженеры сосредотачиваются на скорости и более быстрой доставке на рынок, а не на сортировке оповещений, группы реагирования на инциденты сокращаются, поскольку инциденты становятся редкими, инвестиции в SIEM смещаются в сторону аудита и соответствия требованиям, а не поиска угроз, а бюджеты на безопасность перераспределяются со инструментов обнаружения на платформы предотвращения.
Грядущая трансформация отрасли
Компании, доминирующие в следующем десятилетии в области безопасности, не создают более совершенные панели мониторинга или более быстрые системы оповещения — они создают вычислительные платформы, в которых атаки предотвращаются за счет конструкции, а не обнаруживаются постфактум.
Рынок реагирует. Компании по обеспечению безопасности, ориентированные на профилактику, отмечают беспрецедентный рост, в то время как традиционные поставщики SIEM и мониторинга борются с коммерциализацией. Предприятия, применяющие стратегии, ориентированные на профилактику, получают конкурентные преимущества: снижаются операционные накладные расходы, сокращаются требования к персоналу службы безопасности и значительно улучшаются показатели безопасности.
Эта трансформация не произойдет в одночасье, но она неизбежна. Закон Мура отдает предпочтение предотвращению, а не обнаружению, и экономика все чаще делает то же самое. Организации, распознавшие этот сдвиг на ранней стадии и инвестирующие в архитектуру, ориентированную на профилактику, смогут достичь принципиально более безопасных и оперативно эффективных позиций.
Сизифова задача реагирования на бесконечные предупреждения безопасности подходит к концу. Будущее принадлежит системам, в которых такие оповещения вообще никогда не генерируются.
Вопрос не в том, устареет ли мониторинг, а в том, как быстро ваша организация примет революцию в области профилактики, что сделает ее гораздо менее актуальной.
Edera переосмысливает среду выполнения контейнеров, обеспечивая оптимизацию ресурсов для рабочих нагрузок, не нарушая рабочие процессы разработчиков. Мы перепроектировали базовую архитектуру: решение проблемы начинается с аппаратного обеспечения, а не программного обеспечения. Наш подход устраняет разрыв между тем, как доставляются контейнеры, и тем, как они должны работать. Узнайте больше Последние новости от Edera ТЕНДЕНЦИОННЫЕ ИСТОРИИ YOUTUBE.COM/THENEWSTACK Технологии развиваются быстро, не пропустите ни одной серии. Подпишитесь на наш канал YouTube, чтобы смотреть все наши подкасты, интервью, демонстрации и многое другое. ПОДПИСАТЬСЯ Группа, созданная в Sketch. Джед Салазар — полевой технический директор Edera. Узнайте больше от Джеда Салазара
