Незапланированная заметка, навеянная тремя событиями. Началось все позавчера, когда Дима Мананников опубликовал в Фейсбуке заметку про безопасность смарт-контрактов, ICO и всего такого и, не увидя бурной дискуссии от коллег, высказал удивление сему факту. Мол, задача безопасника - отслеживать все новые бизнес-технологии и искать способы их безопасного внедрения/использования в бизнесе. Я ему возразил и в итоге завязалась дискуссия, в которой я высказал следующую мысль: "Безопасник в массе свой рядовой сотрудник, выполняющий трудовые обязанности с 10 до 6. Он ничем не отличается об уборщицы или бухгалтера. Им всем комфортно в своем болотце и менять что-то они будут только в экстренных ситуациях. Плюс образование, которое учит compliance и борьбе мо старыми угрозами. Отсюда все. Исключения бывают, но только подтверждают общее правило".
Подтверждение моему высказыванию я получил относительно недавно на одном крупном предприятии, которое любит выпячивать свою экспертизу в области ИБ. В рамках очередного моего приезда к ним и рассказа о том, как у нас в компании выстроен процесс реагирования на инциденты, я рассказал о сервисе Cisco Umbrella Investigate, позволяющего оперативно и без установки какого-либо железа и софта у заказчика (и даже без какой-либо их перенастройки и перенаправления трафика) проводить анализ инцидентов, связанных с Интернет-активностью. Решение заинтересовало заказчика, тем более, что он запустил свой SOC, в рамках которой работала группа по расследованию инцидентов и Threat Intelligence. От нас оперативно потребовали триальный доступ для тестирования, что мы и сделали. Прошел месяц. На очередной встрече у этого заказчика представитель группы реагирования на инциденты в присутствии большого руководства отчитался о завершении тестировании Investigate и нахождении ряда интересных кейсов. Руководство заинтересовалось и попросило показать систему в действии... И вот тут случился казус. Я с ноутбука зашел в панель аналитика и предложил представителю incident response team показать, что он обнаружил. Но в глазах его я увидел, что он в первый раз видит панель аналитика Investigate. Заподозрив неладное, я хотел спустить дело на тормозах, но большое руководство заказчика потребовало "красивых картинок и схем", за которыми последовал ужасный вывод - выяснилось, что IRT заказчика даже не активировало предоставленный им временный доступ и он, разумеется, уже "протух". Оставлю за рамками произошедший после этого разбор полетов, но меня неприятно поразило отношение некоторых безопасников к своим обязанностям. Чем-то это напомнило Советский Союз с его победными реляциями, отчетами о деятельности для галочки и очковтирательством :-(
Финальным аккордом стали комментарии Михаила Никишина к моей заметке про семинар Gartner, который высказал (да уже и не первый раз) мысль, что в нашей отрасли ИБ вообще нет безопасников (вспоминаем сентябрьский чеклист "настоящий ли ты безопасник?"), а только одни айтишники с их специфическим мышлением и способом решения задач. Не совсем я согласен с Михаилом, но доля истины в его словах есть. Кибербезопасность превратилась в обычную деятельность, как и сотни других профессий. И многие специалисты действительно работают с 10 утра и до 6 вечера, напрочь забывая про ИБ за пределами времени, установленного Трудовым Кодексом.
По сути, большинство "безопасников" действительно погрязли в своей зоне комфорта и выйти из нее зачастую не могут или не хотят. Лет 10 назад я приехал к одному знакомому, руководившему сектором ИБ в одной организации. Мы поговорили о том, о сем, и я предложил ему рассмотреть несколько технологий и решений, которые могли бы помочь ему в озвученных им проблемах. И что же вы думаете? Он отказался, сославшись на то, что его все и так устраивает, а новые решения - это новая головная боль, а ему хотелось бы сидеть на попе ровно и не напрягаться по поводу чего-то нового. Он до сих пор сидит на своей должности, не выходя из зоны комфорта, не занимаясь развитием. Хотя я и встречаю его регулярно на различных ИБ-тусовках, где он задает якобы каверзные вопросы, но в своей практике затем полученные знания никак не использует. Грустно это...
Дмитрий удивляется, почему безопасники не занимаются бизнес-стороной своей деятельности. Я же удивляюсь, почему они не занимаются даже просто новыми технологиями ИБ. NTA, EDR, UEBA, IAG/IGA, PAM, CASB, SDS, SDP, SOAR, DDP, SIG, RASP, SAT, NFT и др. Нет денег? Не смешите. Бюджеты у многих заказчиков измеряются сотнями миллионов, а то и миллиардами рублей. Они могут себе позволить эти решения и они им зачастую нужны. Но не используют. Потому что надо въезжать во все эти новомодные аббревиатуры, внедрять их, учиться им, объяснять руководству результаты и т.п. А зачем? Нормативка не требует, за инциденты не наказывают, эффективность никого не волнует. "И так сойдет", как говорилось в известном советском мультфильме.
Грустные размышления какие-то получились. Может я не прав? Может жду от безопасников чего-то чего не стоило бы? Фиг знает.
ЗЫ. Оказывается я про это два месяца назад писал, но другими словами :-) Наболело, значит. Ну да ничего. Повторенье - мать ученья.
ЗЗЫ. Дальше вернусь к темеSOCов.
Подтверждение моему высказыванию я получил относительно недавно на одном крупном предприятии, которое любит выпячивать свою экспертизу в области ИБ. В рамках очередного моего приезда к ним и рассказа о том, как у нас в компании выстроен процесс реагирования на инциденты, я рассказал о сервисе Cisco Umbrella Investigate, позволяющего оперативно и без установки какого-либо железа и софта у заказчика (и даже без какой-либо их перенастройки и перенаправления трафика) проводить анализ инцидентов, связанных с Интернет-активностью. Решение заинтересовало заказчика, тем более, что он запустил свой SOC, в рамках которой работала группа по расследованию инцидентов и Threat Intelligence. От нас оперативно потребовали триальный доступ для тестирования, что мы и сделали. Прошел месяц. На очередной встрече у этого заказчика представитель группы реагирования на инциденты в присутствии большого руководства отчитался о завершении тестировании Investigate и нахождении ряда интересных кейсов. Руководство заинтересовалось и попросило показать систему в действии... И вот тут случился казус. Я с ноутбука зашел в панель аналитика и предложил представителю incident response team показать, что он обнаружил. Но в глазах его я увидел, что он в первый раз видит панель аналитика Investigate. Заподозрив неладное, я хотел спустить дело на тормозах, но большое руководство заказчика потребовало "красивых картинок и схем", за которыми последовал ужасный вывод - выяснилось, что IRT заказчика даже не активировало предоставленный им временный доступ и он, разумеется, уже "протух". Оставлю за рамками произошедший после этого разбор полетов, но меня неприятно поразило отношение некоторых безопасников к своим обязанностям. Чем-то это напомнило Советский Союз с его победными реляциями, отчетами о деятельности для галочки и очковтирательством :-(
Финальным аккордом стали комментарии Михаила Никишина к моей заметке про семинар Gartner, который высказал (да уже и не первый раз) мысль, что в нашей отрасли ИБ вообще нет безопасников (вспоминаем сентябрьский чеклист "настоящий ли ты безопасник?"), а только одни айтишники с их специфическим мышлением и способом решения задач. Не совсем я согласен с Михаилом, но доля истины в его словах есть. Кибербезопасность превратилась в обычную деятельность, как и сотни других профессий. И многие специалисты действительно работают с 10 утра и до 6 вечера, напрочь забывая про ИБ за пределами времени, установленного Трудовым Кодексом.
По сути, большинство "безопасников" действительно погрязли в своей зоне комфорта и выйти из нее зачастую не могут или не хотят. Лет 10 назад я приехал к одному знакомому, руководившему сектором ИБ в одной организации. Мы поговорили о том, о сем, и я предложил ему рассмотреть несколько технологий и решений, которые могли бы помочь ему в озвученных им проблемах. И что же вы думаете? Он отказался, сославшись на то, что его все и так устраивает, а новые решения - это новая головная боль, а ему хотелось бы сидеть на попе ровно и не напрягаться по поводу чего-то нового. Он до сих пор сидит на своей должности, не выходя из зоны комфорта, не занимаясь развитием. Хотя я и встречаю его регулярно на различных ИБ-тусовках, где он задает якобы каверзные вопросы, но в своей практике затем полученные знания никак не использует. Грустно это...
Дмитрий удивляется, почему безопасники не занимаются бизнес-стороной своей деятельности. Я же удивляюсь, почему они не занимаются даже просто новыми технологиями ИБ. NTA, EDR, UEBA, IAG/IGA, PAM, CASB, SDS, SDP, SOAR, DDP, SIG, RASP, SAT, NFT и др. Нет денег? Не смешите. Бюджеты у многих заказчиков измеряются сотнями миллионов, а то и миллиардами рублей. Они могут себе позволить эти решения и они им зачастую нужны. Но не используют. Потому что надо въезжать во все эти новомодные аббревиатуры, внедрять их, учиться им, объяснять руководству результаты и т.п. А зачем? Нормативка не требует, за инциденты не наказывают, эффективность никого не волнует. "И так сойдет", как говорилось в известном советском мультфильме.
Грустные размышления какие-то получились. Может я не прав? Может жду от безопасников чего-то чего не стоило бы? Фиг знает.
ЗЫ. Оказывается я про это два месяца назад писал, но другими словами :-) Наболело, значит. Ну да ничего. Повторенье - мать ученья.
ЗЗЫ. Дальше вернусь к темеSOCов.
Так у нас инициатива всегда наказуема. Чего ради кто-то станет вылезать из зоны комфорта?
ОтветитьУдалитьОб этом и заметка :-(
ОтветитьУдалитьВерно и печально. На уровне наблюдений причин видится три: 1. Общая "мертвость" ряда организаций - декларируемые цели существования не соответствуют реальным. Отсюда нет требований к реальным результатам, но есть требования к победным реляциям, которые помогают "изобразить жизнь". 2. Страх "как бы что не вышло" и опасения лишний раз обратить на себя внимание своим предложением что-то новое внедрить. Из разряда плаката "деньги любят тишину" :). 3. Общая лень :-(
ОтветитьУдалить