9.6.16

Леди Гага, мода и поИБрякушки

Если посмотреть на бизнес-прессу в последнее время, то мы увидим, что тема кибербезопасности в разных ее проявлениях становится некоторым мейнстримом - ее даже на главные страницы "Коммерсанта", "Ведомостей", "РБК" выносят. С одной стороны это хорошо, а с другой очень напоминает мир моды с его непостоянством и регулярной сменой заглавных тем сезона.

В 2010-м году Франк Фернандес и Никола Формикетти создали для Леди Гага платье, целиком состоящее из мясных стейков. Это платье создало новое течение в моде, обыгрывающее ее скоротечность. И "мясное платье" - не единичный пример, который можно было бы посчитать случайностью. Анна Чонг создает создает платья из пармской ветчины, бекона и салями. Эми Гудхарт творит шапки и сумки из хлеба, а также брюки из вафель, Миа Гизандер сшила платье из капусты, а Уэсли Нолт прославился платьем из листьев артишока.

Леди Гага и ее мясное платье
Информационная безопасности в последнее время становится очень сильно похожей на мир моды. Если отвлечься и посмотреть ретроспективу событий последнего времени, то мы увидим, что сейчас, например, модна тема Security Operations Center и Threat Intelligence, год назад в фаворе была тема SIEM, еще раньше все говорили о сканерах исходных кодов, WAF и защите АСУ ТП. NGFW стали модными года 3-4 назад. До этого на вершине "Олимпа безопасности" главенствовали DLP-решения. Могу предположить, что в ближайшем времени станет модной тема UEBA, GRC и Security Analytics/Intelligence. Кстати, проследить за "модой" в ИБ можно по конференции RSA, задающим тон всей мировой отрасли кибербезопасности (я вот тут, тут, тут, тут и тут это уже делал).

И это именно мода, а не реальная потребность. Что, раньше не нужны были SOCи и SIEMы? Или не надо было анализировать исходники программного обеспечения? Или промышленные сети не подвергались атакам? А защита приложений? Она тоже стала актуальной совсем недавно или угрозы на прикладном уровне стали возникать задолго до ажиотажа вокруг темы NGFW? Наша отрасль очень подвержена модным течениям. И дело тут не только в законодательстве, задающем некий толчок развитию того или иного направления в области ИБ.

Тенденции законодательства по ИБ в России
Мы (я имею ввиду специалистов по ИБ и в среде заказчиков и в среде производителей) слишком зависимы от внешнего мнения. Вот сказали на RSA Conference, что тема работа с людьми будет очень важной и многие компании стали внезапно предлагать услуги по повышению осведомленности и внедрению культуры ИБ. А раньше они где были? Раньше не было такой потребности и человек не был самым слабым звеном? Вот стали на выставке RSA активно выставляться решения в области аналитики и визуализации ИБ и многие внезапно прозрели - нам же нужны такие же решения. А вендоры свои уже не первой свежести первый год известные продукты вдруг причислили к категории Security Analytics, Security Intelligence, Beyond SIEM. Зачем? Почему? Это уже дело десятое. И именно это следование тому, что говорит кто-то, а не тому, что реально нужно, и есть признак того, что наша отрасль схожа с модной индустрией.

Пару недель назад я в шутку написал заметку о том, что делать, когда у вас "все есть". Оказалось, что она многим понравилась и приведенные в ней таблицы - это именно то, чего не хватало. И вновь возникает вопрос - зачем? Почему нельзя поступить просто и так, как написано в учебниках - провести моделирование угроз и анализ рисков, определиться с тем, от чего надо защищаться (с учетом среднесрочной и, возможно, долгосрочной перспективы), составить список защитных мер и их альтернатив (компенсирующих мер) и начать их реализовывать? Это сложно? Это несолидно? Или это просто не модно?

На секции по SIEM на PHDays мы ровно об этом и говорили. Многие заказчики просто не знают, зачем им SIEM, что они хотят с помощью этого решения искать, что является нормальным, а что аномальным. В итоге деньги тратятся впустую и должного эффекта от приобретенного решения не проявляется. И так по многим направлениям, которые активно продвигаются на Западе или в России, но к которым не готовы сами заказчики. Их вынуждают/принуждают приобретать решения, чтобы не быть "не модным", "не в струе", "не учитывающим тенденций".

"IPS вышли из моды", "без облачной ИБ вам не обойтись", "песочница - это то, что "носят" в этом сезоне". Знакомо, да? Но нет никаких объяснений, почему IPS вышли из моды и почему песочница - это то, что вам не хватает. Что будет если вы не купите песочницу или SIEM? Никто этого не объясняет. На вас смотрят как нашкодившего малыша, который не ведает, что творит.

Чем же все-таки отличается модное средство защиты от немодного? Да по сути ничем. Оно тоже может вам помочь решить какие-либо проблемы ИБ. Только вот обычно за него надо платить больше или гораздо больше, чем за не менее эффективное, но при этом не распиаренное решение. А часто модная поИБрякушка вам попросту не нужна или вы до нее не созрели. Кстати, обратите внимание, фраза "не созрели" - это манипуляция. Примерно такая же как "ты не понимаешь модных тенденций". В обоих случаях не хочется казаться ретроградом или незрелым, а этого только и надо продавцу модных изделий, в том числе и в отрасли ИБ.

И выход из этой ситуации очень прост - не надо смотреть на моду и читать про тренды. Это как средняя температура по больнице или как ISO 27001, который представляет собой сборник мировых рекордов, а не набор повседневных рекомендаций. Исходите из своих потребностей и не ведитесь на рекламу средств защиты, пока сами не столкнетесь и не поймете, что они вам действительно нужны.

ЗЫ. И хорошо еще, что средства защиты еще не стали арт-объектом, как то же платье Леди Гага, размещенное в венском музее современного искусства.

ЗЗЫ. Написал и ужаснулся - это ж тогда и мой блог с рекомендациями "лучших собаководов" и "ассоциации стоматологов" перестанут читать :-) На мой блог все вышеописанное не распространяется :-) Я объективен как никто :-)

8 коммент.:

Сергей Городилов комментирует...

О, "ISO 27001 - сборник мировых рекордов"! И что теперь делать?

vsv комментирует...

Алексей, классно! Ты ввел очень важное определение "поИБрякушки". Я такие вещи называю "паньски вытребеньки"... Правильно!

Алексей Лукацкий комментирует...

Сергей: ничего не делать. Принять как данность. Стремиться к ним или нет - дело сугубо личное. Кому-то нравится быть рекордсменом

Алексей Лукацкий комментирует...

vsv: ;-)

Сергей Городилов комментирует...

Или принять за поИБрякушку от Алексея Лукацкого? :) Пока что понимаю, как Ваше мнение, но не данность. Оценка важная, но не решающая.

Сергей Городилов комментирует...

Потому как по Вашему, Алексей, рекордсменами можно назвать ученых, защищающих диссертации, экспертов ISO, экспертов регуляторов и НИИ. Они тоже своды практик, РД и учебники разрабатывают. Я бы не стал так критично относиться, а отнес бы ISO 27001 как минимум "к способам повышения Культуры ИБ". Потому как Вами то ничего не предложено взамен. Или предложите?

Алексей Лукацкий комментирует...

21-й приказ ФСТЭК чем плох? Или NIST CSF?

Сергей Городилов комментирует...

Документы вообще-то разного уровня. Но если преметно, то. Приказ 21 ФСТЭК плох тем, что в нём про организацию работ по защите ПДн ничего нет. Это просто классификатор мер и всё. А какие практики по организации защиты применять (по менеджменту ИБ) - нет ничего. Та же оценка соответствия и эффективности всей ИСПДн, включая информацию, ИС, людей и режимные меры, как в СТР-К или 17 приказе), здесь отсутствует. А вот NIST CSF включает вопросы менеджмента, выглядит более системными, а в части референсов почти по ВСЕМ мерам называет ISO 27001-2013. Более того, если Вы разбирались в ISO 27001, то в политике менеджмента ИБ должно быть определение перечня мер, на которые распространяется СМИБ, то есть она может ориентироваться не на все "рекорды", а только на часть. А вообще рекорды - это хорошо. Есть планка. Хуже, когда нет планки. А какое место занимает в Вашей классификации 17-й приказ ФСТЭК и методичку к нему?