25.09.2015

Пассивная и активная безопасность. В чем разница?

Тренинг по промышленной ИБ подходит к концу и уже можно потихоньку начать делиться впечатлениями и мыслями. Тем более, что в отличие от первого, базового курса SANS, текущий на порядок интереснее. Начну с интересной иллюстрации уровня (можно его даже назвать уровень зрелости) ИБ промышленного предприятия. Хотя на самом деле, эта же градация может быть применена к любой организации или компании, независимо от отрасли, в которой она работает.



Идея иллюстрации заключается в том, что защиту надо строить, поэтапно наращивая ее возможности и потенциал; и не всегда надо стремиться к высшему, пятому уровню. Эта идея не нова, но я в первый раз сталкиваюсь с такой ее визуализацией. На первом, самом нижнем уровне речь идет о правильной архитектуре, то есть базисе для системы защиты. В случае с промышленными сетями сюда попадает сегментирование, управление цепочками поставок оборудования и запчастей, поддержка, управление патчами и обновлениями и т.п. Т.е. и к защите-то это даже не всегда относится - это именно основа.

На втором уровне у нас включается пассивная защита. Пассивная она потому, что не требует, ну или почти не требует, постоянного участия человека в процессе защиты. По сути речь идет о механической установке различных средств защиты, которые работают в соответствии с заданными политиками. К числу таких средств защиты относятся классические МСЭ, IDS/IPS, антивирусы, системы контроля доступа (NAC) и т.п. Вот этому и предыдущему уровням был посвящен первый курс SANS про промышленной ИБ (ICS410), о котором я уже писал ранее.

Следущий уровень подразумевает активное вовлечение человека в процесс защиты. Именно на этом уровне начинается внедрение систем мониторинга аномальной активности, систем управления логами и другого инструментария для управления инцидентами, подразумевающего непрерывное участие высококвалифицированного персонала, который способен обнаруживать то, что пропускается традиционными средствами сетевой безопасности. Сюда же относится и анализ вредоносного кода. Иными словами, к инструментам второго уровня добавляется аналитика и активное вовлечение человека.

Четвертый уровень (хотя грань между 3-и м 4-м достаточно условна) подразумевает высший пилотаж - выстраивание процесса Threat Intelligence, в рамках которого разрозненные следы несанкционированной активности, обнаруженные на предыдущем этапе, аккумулируются в индикаторах компрометации (IoC), в бюллетенях и отчетах об угрозах, в формализованном описании угроз, которые можно распространять широкой общественности, в том числе и в рамках специально созданных центров распределения информации об угрозах (ISAC или CERT или CSIRT).

Текущий курс, который я завершаю, посвящен третьему и четвертому уровням защиты. Надо ли всем стремиться попасть на самый последний, или хотя бы предпоследний уровень обеспечения ИБ? К счастью, нет. Многие, закрепившись на втором уровне, так на нем и остаются, не сталкиваясь с потребностью идти дальше. Им не нужны никакие SOCи, CSIRTы и другие аналитические подразделения. Им не нужны посменно работающие группы аналитиков и специалистов, реагирующих на инциденты. Их устраивает автоматическая защита, даруемая межсетевыми экранами, системами обнаружения вторжений и антивирусами. А все почему? Да потому, что они не сталкиваются с угрозами, требующими серьезной аналитики и присутствия человека.

Если посмотреть на следующую иллюстрацию, то мы увидим, что пассивная ИБ, - это как раз удел большинства малых и средних предприятий, не сталкивающихся с APT и целенаправленными угрозами. Зачем им тогда тратить деньги на избыточный и редко используемый на практике сервис? А вот для крупных корпораций, военных и ряда государственных структур, одними только, пусть и популярными и разрекламированными, средствами защиты не обойтись. Нужны еще инструменты для непрерывного мониторинга и люди, способные правильно пользоваться этими инструментами. Или, как вариант, возможно переложить эту задачу на внешних подрядчиков. Также становится понятно, почему услуги аутсорсинга ИБ (управление инцидентами, SOC, Threat Intelligence и т.п.) не настолько распространены и имеют очень узкую целевую аудиторию (правда, именно эта аудитория вполне денежная).


Вот такая интересная схема. Из нее становится понятно, что стремится к высшему уровню (как и к мировым рекордам и внедрению "лучших практик") надо далеко не всем и не всегда. Всему свое время и место. Главное, не упустить их...