Вендоры и подходы
Как вендоры подходят к обнаружению атак? 

• «Сетевые» вендоры действуют со стороны межсетевого экрана ()Check Point, FortiGate. Сетевая безопасность в решениях теперь дополнена программно-аппаратным комплексом для обнаружения целевых атак.
• Вендоры, защищающие конечные точки (Kaspersky). 
  Они специализируются на защите от вирусов на рабочих станциях и серверах, с центром защиты от целевых атак на конечных точках.
• Вендоры,занимающиеся только ATP, и поставляющие законченный программно-аппаратный комплекс,  встраиваемый в сеть и анализирующий данные, чтобы решить, вредоносный ли файл. 

Как Softline выбирает вендора?
Мы исходим из потребностей заказчика. 

Иногда у заказчика уже построена инфраструктура: /
у нас есть заказчик, развернувший McAfee, — не самое популярное обычно решение. Мы поставили ему систему предотвращения целевых атак от компании McAfee. Потому что в этом случае важна тесная интеграция с конечной рабочей станцией. Если у заказчика нет никаких наборов средств безопасности, то мы решаем задачу по защите сети комплексно. Если заказчик хочет защитить определенное направление, скажем, почту, то мы предоставим комбинированные решения.

Мы придерживаемся политики trusted advisor, — поставляем не "любимое" решение, а то, которое выполняет задачу заказчика.

Разные задачи – разные инструменты.

Эксплуатация решения ATP
Для его обслуживания не нужно больших ресурсов.
У некоторых решений есть функция загрузки кастомизированных образов ОС, но нужно ли это заказчику? Опыт показывает, что ему это интересно только первые полгода.
Никаких регламентов не требуется. ATP устанавливается прозрачно для пользователя. Администратору нужно только следить за тем, что система работает.

Как интегрируются установленные у заказчика средства защиты с новыми ATP-решениями?
Зависит от инфраструктуры:
Несколько популярных в СНГ вендоров (Cisco, Check Point, Fortinet) предлагают решение этого класса собственного производства. Это логично – администрировать моновендорную инфраструктуру проще, чем держать несколько производителей в своей сети.
У смешивания средств защиты есть плюсы, но только в случае, если мы отталкиваемся от соображений минимизации времени администрирования, с поправкой на старость существующей инфраструктуры и необходимую модернизацию.

ATP и пентесты
В нашей практике был случай, когда встретились пилотный проект по ATP (с одной стороны) и пентест (с другой стороны) — это нетипичная ситуация, но показательная. Ведь цель таких пентестов – испытание на уязвимость и способ спрогнозировать экономические потери в результате успешной атаки.

Пентесты в Softline
Разрабатывали одну из систем, и для оценки ее эффективности пригласили пентестеров. Тестировался не класс песочниц, где файл эмулируется в отдельной изолированной среде, а решение класса deception. По сути это honeypot (ловушка в сети) с различными сервисами и ОС, которые являются частью сети заказчика. И чтобы показать эффективность таких систем и направление развития атаки, проводятся пентесты.

Это дорого?
Зависит от того, на каком уровне и каким способом это применяется.
Недорогой вариант – это компонента в составе межсетевого экрана – 15% от стоимости файрвола. Но тут данные отправляются производителю, и не для всех организаций это приемлемо. 
Особенно для государственных структур, например, если облако находится в США. Помимо дешевизны, интеграционные возможности низки. Но как первый шаг защиты от подобных угроз такой метод сработает. Все сильно зависит от инфраструктуры и бюджета. Это дешевле, чем внедренные ранее межсетевые экраны, потому что производительность, требуемая от межсетевых экранов, не идет в сравнение с той же, но ATP. 

Цена зависит и от объемов обрабатываемых файлов в день, схемы развертывания. Например, есть возможность использования облачной песочницы. Можно использовать гибридную схему развертывания, когда файлы, не содержащие секретной информации и не составляющие коммерческой тайны, могут проверяться в облаке, например, .exe-файлы. А документы .pdf, .doc можно выполнять у себя, что поможет избежать издержек.