За последний месяц я посетил несколько крупных мероприятий по ИБ - московский "Код ИБ. Профи", CISO Forum, питерский Код ИБ, SOC Forum в Казахстане, Cisco Connect и везде меня преследовало ощущение, что все-таки многолетняя ориентация на регуляторов сильно испортила современных безопасников, у которых сформировано неполноценное представление о том, для чего нужна кибербезопасность.
Возьмем, к примеру тему SOC. Да-да, вновь она. У нас в Кракове есть аутсорсинговый SOC, где мы часто слышим просьбу взять на мониторинг заказчика, у которого из всех средств защиты только МСЭ да антивирус. Но дело даже не в том, что тут нечего эффективно мониторить. Проблема в другом. На вопрос, есть ли у заказчика люди, которые готовы реагировать на инциденты или хотя бы принимать рекомендации от SOC, ответ часто отрицательный. То есть столь разрекламированный SOC воспринимается только как центр мониторинга, хотя эту функция является для SOC не основной. Мониторинг - это всего лишь прелюдия перед реагированием. Зачем вам видеть проблему и не иметь возможность как-то среагировать на нее? Получается безопасность на полшишечки.
В управлении уязвимостями та же проблема. Производители сканеров выпускают решения для поиска уязвимостей, но потребителю нужно другое - устранение дыр. А эту тему никто производители ИБ не копают - слишком она сложна и плохо автоматизируема. Заказчики, кстати, тоже часто подменяют одну задачу другой. Устранение дыр они отдают своим айтишникам. Мол, я сканер запустил, 100500 страниц отчета со списком дыр сгенерил, а дальше пусть уже ИТ разбирается - им за это деньги платят. Опять безопасность на полшишечки.
Что у нас еще из популярных тем? Threat Intelligence. Очень часто она ассоциируется с фидами и индикаторами компрометации. Сколько источников фидов нам нужно? Пять? Десять? Сто? Тысяча? И мало кто задумывается, что Threat Intelligence - это информация об угрозах и нарушителях, которая используется для принятия решений. Ключевое тут "принятие решений", а не "информация об угрозах". Та же проблема присуща и системам обнаружения вторжений, которые часто оценивают по числу сигнатур обнаруживаемых атак, а не по возможностям предотвращения, блокирования и интеграции с другими средствами защиты.
Что у нас еще из актуального? Измерения ИБ. Все гоняются за метриками, которые должны показать вклад ИБ в бизнес; ну или не в бизнес. Но... и тут у нас безопасность не до конца, на полшишечки. Измерение же ИБ нужно не само по себе, а для принятия решений по результатам измерений. Вот хотим измеряем мы число инцидентов ИБ и ставим себе цель сделать это число менее 100 в месяц. Но чтобы это сделать, нам нужно внедрять мероприятия, которые позволят снизить это число, а они могут быть достаточно непростыми и длительными. Или метрика для оценки времени между обнаружением уязвимостью и ее закрытием. Этот временной параметр должен уменьшаться, но сделать это не так уж и просто и потребует налаживания контакта с той же ИТ-службой и внедрением ряда организационных и технических мероприятий.
В конце концов ИБ у нас тоже часто на полшишечки. Мы боремся с хакерами или выполняем требования регуляторов, но бизнесу нужно иное. Ему нужно увеличивать прибыль. Или выручку, Или долю рынка. Да мало ли что ему нужно. Но точно не выполнять требования регуляторов, которые рассматриваются как налог (хотя штраф за невыплату этого налога меньше дневной зарплаты гендиректора) и не с хакерами бороться, которые гораздо менее опасны и гораздо дешевле чиновников и иных облеченных властью людей. Но мы упорно держимся за эту историю и киваем на регуляторов, которые нам помогают чувствовать свою нужность :-(
Выйти же из этого тупика достаточно просто. Называется этот метод "Пять "Зачем" или "Пять "Почему" и заключается он в том, чтобы найти причинно-следственные связи в том или ином явлении. В нашем случае мы при запуске любого проекта/программы/инициативы по ИБ должны задать вопрос "Зачем?" или "Почему?" и делать так пять раз, задавая этот вопрос на предыдущий ответ. В итоге мы должны найти первопричину, то есть понять, зачем мы занимаемся ИБ? Правда, у этого метода есть и недостаток - неспособность задающих вопросы выйти за пределы своих знаний. И если они ограничены только угрозами и compliance, то к бизнесу даже "Пять "Почему" не дадут подобраться - безопасник просто не знает о задачах, стоящих перед бизнесом :-(
ЗЫ. А впереди еще несколько крупных мероприятий по ИБ - PHDays, ITSF, Offzone, ICC и думаю там тоже будет немало безопасности на полшишечки. Кстати, фраза "на полшишечки" пришла из наркоторговли - так определяли дозу марихуаны, приготавливаемой из шишек конопли. А уж потом эта фраза пошла дальше, не сильно изменившись по сути.
Возьмем, к примеру тему SOC. Да-да, вновь она. У нас в Кракове есть аутсорсинговый SOC, где мы часто слышим просьбу взять на мониторинг заказчика, у которого из всех средств защиты только МСЭ да антивирус. Но дело даже не в том, что тут нечего эффективно мониторить. Проблема в другом. На вопрос, есть ли у заказчика люди, которые готовы реагировать на инциденты или хотя бы принимать рекомендации от SOC, ответ часто отрицательный. То есть столь разрекламированный SOC воспринимается только как центр мониторинга, хотя эту функция является для SOC не основной. Мониторинг - это всего лишь прелюдия перед реагированием. Зачем вам видеть проблему и не иметь возможность как-то среагировать на нее? Получается безопасность на полшишечки.
Шишки конопли, от которых и пошло выражение "на полшишечки", отражающее дозировку |
Что у нас еще из популярных тем? Threat Intelligence. Очень часто она ассоциируется с фидами и индикаторами компрометации. Сколько источников фидов нам нужно? Пять? Десять? Сто? Тысяча? И мало кто задумывается, что Threat Intelligence - это информация об угрозах и нарушителях, которая используется для принятия решений. Ключевое тут "принятие решений", а не "информация об угрозах". Та же проблема присуща и системам обнаружения вторжений, которые часто оценивают по числу сигнатур обнаруживаемых атак, а не по возможностям предотвращения, блокирования и интеграции с другими средствами защиты.
Что у нас еще из актуального? Измерения ИБ. Все гоняются за метриками, которые должны показать вклад ИБ в бизнес; ну или не в бизнес. Но... и тут у нас безопасность не до конца, на полшишечки. Измерение же ИБ нужно не само по себе, а для принятия решений по результатам измерений. Вот хотим измеряем мы число инцидентов ИБ и ставим себе цель сделать это число менее 100 в месяц. Но чтобы это сделать, нам нужно внедрять мероприятия, которые позволят снизить это число, а они могут быть достаточно непростыми и длительными. Или метрика для оценки времени между обнаружением уязвимостью и ее закрытием. Этот временной параметр должен уменьшаться, но сделать это не так уж и просто и потребует налаживания контакта с той же ИТ-службой и внедрением ряда организационных и технических мероприятий.
В конце концов ИБ у нас тоже часто на полшишечки. Мы боремся с хакерами или выполняем требования регуляторов, но бизнесу нужно иное. Ему нужно увеличивать прибыль. Или выручку, Или долю рынка. Да мало ли что ему нужно. Но точно не выполнять требования регуляторов, которые рассматриваются как налог (хотя штраф за невыплату этого налога меньше дневной зарплаты гендиректора) и не с хакерами бороться, которые гораздо менее опасны и гораздо дешевле чиновников и иных облеченных властью людей. Но мы упорно держимся за эту историю и киваем на регуляторов, которые нам помогают чувствовать свою нужность :-(
Выйти же из этого тупика достаточно просто. Называется этот метод "Пять "Зачем" или "Пять "Почему" и заключается он в том, чтобы найти причинно-следственные связи в том или ином явлении. В нашем случае мы при запуске любого проекта/программы/инициативы по ИБ должны задать вопрос "Зачем?" или "Почему?" и делать так пять раз, задавая этот вопрос на предыдущий ответ. В итоге мы должны найти первопричину, то есть понять, зачем мы занимаемся ИБ? Правда, у этого метода есть и недостаток - неспособность задающих вопросы выйти за пределы своих знаний. И если они ограничены только угрозами и compliance, то к бизнесу даже "Пять "Почему" не дадут подобраться - безопасник просто не знает о задачах, стоящих перед бизнесом :-(
ЗЫ. А впереди еще несколько крупных мероприятий по ИБ - PHDays, ITSF, Offzone, ICC и думаю там тоже будет немало безопасности на полшишечки. Кстати, фраза "на полшишечки" пришла из наркоторговли - так определяли дозу марихуаны, приготавливаемой из шишек конопли. А уж потом эта фраза пошла дальше, не сильно изменившись по сути.