О чем материал
Обсуждаем преимущества открытых инноваций, стратегии их внедрения и возможности монетизации.
За последние 20 лет open source инициативы в ИБ превратились из экспертного хобби в профессиональный стандарт: сегодня открытые проекты и методологии формируют костяк инструментов как для атакующих, так и для защитников. В свою очередь, GitHub стал глобальной библиотекой ИБ-знаний, благодаря которой все желающие могут участвовать в улучшении проектов, которыми пользуются безопасники по всему миру. Даже государственные CERT’ы и коммерческие SOC’и все чаще делятся индикаторами компрометации в публичных репозиториях.
Сегодня открытые проекты в ИБ делятся на три категории:
- Инструменты — от сканеров уязвимостей (например, Nessus) до фреймворков для пентеста (Metasploit). Служат «рабочим столом» специалиста, автоматизируют рутину и превращают сложные атаки в воспроизводимые сценарии.
- Методологии (MITRE ATT&CK или Kill Chain) переводят хаотичные действия хакеров в структурированные матрицы, превращая защиту в прогнозируемый процесс.
- Открытые стандарты (STIX/TAXII для обмена threat intelligence) и унифицированные форматы вроде Sigma для правил детектирования создают общий язык для SOC’ов, CERT’ов и независимых исследователей.
При этом существует мнение, что open source несовместим с коммерческой деятельностью. Однако многие компании успешно используют гибридный подход: часть продукта делают открытой, а все остальное оставляют проприетарным.
Баланс между открытостью и бизнесом
Можно выделить несколько стратегий использования открытых проектов в коммерческой деятельности.
Open-core-модель:
- Базовая версия продукта распространяется бесплатно, а расширенные функции (или премиум-сервисы) — на коммерческой основе.
- Примеры: Elasticsearch, Red Hat Linux, ClickHouse, GitLab.
Сопутствующие услуги:
- Компании монетизируют продукты за счет платной поддержки, кастомизации, облачных сервисов и консалтинга.
- Примеры: Cloudera CDH, WordPress, Google Play (как основа для монетизации Android).
Открытые инструменты и фреймворки:
- Публикация SDK, библиотек и платформ помогает привлечь разработчиков и создать вокруг продуктов активное комьюнити.
- Примеры: TensorFlow, PyTorch, Angular, React, Kubernetes, VSCode, Stripe.
Важно отметить, что использование подходов открытой разработки в коммерческой деятельности требует тщательного планирования и понимания рынка. В Positive Technologies мы создали для этого отдельный комитет по открытому коду (в некоторых компаниях он называется Open Source Program Office): собираем лучшие практики, проводим мозговые штурмы и совместно формируем внутреннее руководство по открытому коду.
К примеру, сегодня мы создаем экосистему открытых SDK, которая будет стимулировать инновации и ускорять разработку наших продуктов с учетом запросов рынка. Наши ключевые задачи:
- разработать SDK для ключевых продуктов компании;
- вовлечь сообщество в создание и тестирование новых идей;
- улучшать наши продукты на основе обратной связи от сообщества;
- повысить доверие к нашим продуктам через открытость и коллаборацию.
Так, разработанный сообществом проект mpsiemlib уже давно активно используется инженерами наших клиентов и партнеров для реализации идей по автоматизации работы с MaxPatrol SIEM и интеграции продукта со сторонними решениями. Кроме того, недавно мы опубликовали библиотеки py-ptsandbox и sandbox-cli для PT Sandbox и проект ptnad-client для PT NAD. Помимо самих библиотек, сообществу доступны примеры их практического применения для решения насущных ИБ-задач.
Стратегия, ориентированная на развитие технологий, а не отдельных продуктов, — ключ к успешному развитию компании. Любой продукт ограничен этапами разработки, роста, зрелости и упадка. Технология же, подобно живому организму, способна мутировать и совершенствоваться. Например, блокчейн начался с Bitcoin, но эволюционировал в смарт-контракты (Ethereum), NFT и решения для цепочек поставок.
Отметим, что для достижения баланса между открытостью и коммерческими интересами компании нужно учитывать взаимодействие сразу трех вовлеченных групп: бизнеса, разработчиков и экспертов-пользователей. Как же найти золотую середину?
Первый шаг — определить зоны открытости. Необходимо выделить ключевые компоненты продукта, которые обеспечивают его уникальность (конкурентное преимущество), и оставить их закрытыми. Например, отдельные алгоритмы или интеграции. При этом части кода, которые не угрожают монетизации продукта, но могут быть полезны сообществу, стоит выложить в паблик. Например, открытые библиотеки или инструменты для расширения функционала решения.
Следующий шаг — создать инфраструктуру для взаимодействия с сообществом. Необходимы понятные правила контрибуции, подробная документация и sandbox-среды для тестирования, чтобы разработчики легко могли внести свой вклад в проект. Также важно внедрить прозрачный процесс code review и сформировать публичный roadmap — все это будет стимулировать разработчиков.
Кроме того, необходимо запустить каналы обратной связи. Например, продуктовые форумы, голосования за отдельные фичи и бета-тесты. Также стоит вознаграждать пользователей за классные идеи, например, предоставляя им ранний доступ к новым функциям или присваивая статус соавтора. Это поможет повысить лояльность аудитории.
| Финансирование и гранты | Гранты на развитие, спонсорство открытых конференций или прямые инвестиции в перспективные проекты |
| Выделение ресурсов | Например, Google, Microsoft и Red Hat позволяют своим разработчикам тратить часть рабочего времени на развитие open source |
| Открытие собственных наработок | Полезные инструменты или фреймворки стоит сделать открытыми для сообщества |
| Участие в комьюнити | Важно выступать на конференциях, участвовать в дискуссиях, предоставлять площадки для обмена экспертизой и т. д. |
| Внедрение open source решений | Это не только способ сэкономить, но и возможность адаптировать эти решения под свои нужды, а также поучаствовать в их развитии |
| Поддержка образования и обучения | Многие инвестируют в обучение специалистов работе с open source. Это могут быть курсы, воркшопы, участие в хакатонах и т. д. |
Сообщество
Комьюнити всегда было одним из главных преимуществ open source проектов, поэтому в 2023 г. мы создали Security Experts Community. Это открытое сообщество ИБ-специалистов и платформа для коллаборации, где участники могут обмениваться экспертизой и тестировать новые идеи.
Так, одним из первых проектов нашего сообщества стал Open XP Rules — открытый репозиторий с правилами выявления атак на языке eXtraction and Processing (XP). Также мы разработали vscode-xp — расширение для Visual Studio Code для разработки и тестирования правил на языке XP. Оно предоставляет удобные инструменты для создания, редактирования и отладки правил.
Кроме того, мы запустили Open Security Week — инициативу для обмена опытом между ИБ-экспертами, в рамках которой проводим мероприятия для сообщества и выкладываем результаты общих исследований в паблик. Чтобы протестировать новый формат, мы провели спринт по написанию правил корреляции c помощью VSCode XP. В результате 15 участников всего за две недели написали 54 правила, которые можно использовать в MP SIEM, MP EDR, PT Sandbox и открытом проекте SOLDR.
Второй спринт Open Security Week был посвящен детектированию атак на macOS. Участники разработали 32 новых правила, которые значительно расширяют возможности обнаружения атак. Теперь в нашем открытом репозитории доступны нормализации событий и набор правил для macOS.
Отдельно отметим вклад экспертов PT ESC в развитие публичной экспертизы: в 2024 г. в рамках инициативы PT Rules мы открыли часть правил для выявления сетевых атак. В этом году мы продолжим развивать проект, следуя принципу экспертной открытости.
Помимо реализации собственных инициатив, мы стимулируем и поддерживаем движение OSS, принимая участие в различных конференциях. Например, в этом году на Positive Hack Days Fest мы запланировали масштабную программу в треке Open Source & Open Security. Ведущие эксперты обсудят развитие открытых проектов, их влияние на индустрию ИБ и способы эффективного взаимодействия всех игроков рынка в рамках сообщества. Помимо основной программы трека, мы проведем ярмарку открытых проектов, где любой желающий сможет лично пообщаться с создателями проектов — участников ярмарки.
Ждем вас на PHDays!
Будущее открытых проектов
Сегодня основной тренд open source — это коллаборация бывших конкурентов против общих угроз (например, Microsoft и Google в части OpenSSF). Однако за благими с виду намерениями скрывается борьба за влияние, ведь контроль над стандартами и инструментами — это контроль над развитием ИБ-отрасли. Так, крупные облачные провайдеры AWS и Google Cloud активно продвигают собственные открытые ИБ-решения. С одной стороны, это хорошие продукты, которые несут пользу индустрии. С другой — таким образом корпорации укрепляют экосистемную зависимость своих клиентов.
Основными драйверами развития открытых проектов в ИБ становятся альянсы, объединяющие государственные, корпоративные и академические силы, а также ИТ-гигантов, для которых кибербез уже стал неотъемлемым элементом корпоративной экосистемы.
- OpenSSF — инициатива Linux Foundation, созданная для решения системных проблем безопасности открытой экосистемы. Ее появление стало ответом на череду критических инцидентов (уязвимости в Heartbleed, Log4j), которые обнажили зависимость мировой ИТ-инфраструктуры от ненадежно поддерживаемых проектов с открытым кодом.
- OWASP — основанная в 2001 г. некоммерческая организация стала своего рода законодателем моды в безопасности веб-приложений и объединила разработчиков, исследователей и энтузиастов. OWASP не продвигает коммерческие решения, а фокусируется на создании общедоступных ресурсов для борьбы с уязвимостями.
- Консорциум OASIS Open выступает в роли архитектора протоколов для киберразведки и межсистемного взаимодействия. К примеру, стандарты OASIS легли в основу инфраструктуры современных SOC. Кроме того, консорциум курирует и другие проекты, так или иначе относящиеся к сфере ИБ: например, SAML (стандарт единой аутентификации) и MQTT (протокол IoT-устройств).
Будущее открытых проектов во многом зависит от того, смогут ли участники рынка преодолеть конфликт интересов. Возможно, решение заключается в уже упомянутых гибридных моделях open source, которые помогают удерживать баланс между коммерческой эффективностью продуктов и доверием сообщества.
В целом из элитарной дисциплины ИБ превратилась в навык, который можно освоить через коллаборацию. При этом открытость экспертизы порождает парадокс: инструменты, созданные для защиты, становятся учебными пособиями для хакеров, и наоборот. Сама природа open source, позволяющая мгновенно распространять сигнатуры угроз через платформы вроде SigmaHQ, становится двойным лезвием. Защитники оперативно закрывают 0-day-уязвимости и публикуют правила детектирования, а хакеры, анализируя эти же данные, адаптируют методы атак. Возникает ситуация, в которой обе стороны имеют доступ к одним и тем же инструментам и данным, что превращает кибербезопасность в гонку по интерпретации открытой информации.
Открытость экспертизы порождает парадокс: инструменты, созданные для защиты, становятся учебными пособиями для хакеров, и наоборот. Например, разработчик Mimikatz Бенжамен Дельпи изначально создавал утилиту для демонстрации атак на Windows, а теперь ее используют и красные, и синие.
***
Ясно одно: без объединения усилий защитников сохранить текущий статус-кво в этой гонке не получится. Для атакующей безопасности коллаборация происходит естественным образом, а у защитников возникают препятствия в виде интересов бизнеса и давления регуляторов. Совместное развитие технологий позволит бороться с усложнением угроз, а инициативы вроде нашего трека Open Source & Open Security помогут найти решение для сохранения хрупкого баланса между открытостью и безопасностью.
