30.4.19

Безопасность на полшишечки

За последний месяц я посетил несколько крупных мероприятий по ИБ - московский "Код ИБ. Профи", CISO Forum, питерский Код ИБ, SOC Forum в Казахстане, Cisco Connect и везде меня преследовало ощущение, что все-таки многолетняя ориентация на регуляторов сильно испортила современных безопасников, у которых сформировано неполноценное представление о том, для чего нужна кибербезопасность.

Возьмем, к примеру тему SOC. Да-да, вновь она. У нас в Кракове есть аутсорсинговый SOC, где мы часто слышим просьбу взять на мониторинг заказчика, у которого из всех средств защиты только МСЭ да антивирус. Но дело даже не в том, что тут нечего эффективно мониторить. Проблема в другом. На вопрос, есть ли у заказчика люди, которые готовы реагировать на инциденты или хотя бы принимать рекомендации от SOC, ответ часто отрицательный. То есть столь разрекламированный SOC воспринимается только как центр мониторинга, хотя эту функция является для SOC не основной. Мониторинг - это всего лишь прелюдия перед реагированием. Зачем вам видеть проблему и не иметь возможность как-то среагировать на нее? Получается безопасность на полшишечки.

Шишки конопли, от которых и пошло выражение "на полшишечки", отражающее дозировку 
В управлении уязвимостями та же проблема. Производители сканеров выпускают решения для поиска уязвимостей, но потребителю нужно другое - устранение дыр. А эту тему никто производители ИБ не копают - слишком она сложна и плохо автоматизируема. Заказчики, кстати, тоже часто подменяют одну задачу другой. Устранение дыр они отдают своим айтишникам. Мол, я сканер запустил, 100500 страниц отчета со списком дыр сгенерил, а дальше пусть уже ИТ разбирается - им за это деньги платят. Опять безопасность на полшишечки.

Что у нас еще из популярных тем? Threat Intelligence. Очень часто она ассоциируется с фидами и индикаторами компрометации. Сколько источников фидов нам нужно? Пять? Десять? Сто? Тысяча? И мало кто задумывается, что Threat Intelligence - это информация об угрозах и нарушителях, которая используется для принятия решений. Ключевое тут "принятие решений", а не "информация об угрозах". Та же проблема присуща и системам обнаружения вторжений, которые часто оценивают по числу сигнатур обнаруживаемых атак, а не по возможностям предотвращения, блокирования и интеграции с другими средствами защиты.

Что у нас еще из актуального? Измерения ИБ. Все гоняются за метриками, которые должны показать вклад ИБ в бизнес; ну или не в бизнес. Но... и тут у нас безопасность не до конца, на полшишечки. Измерение же ИБ нужно не само по себе, а для принятия решений по результатам измерений. Вот хотим измеряем мы число инцидентов ИБ и ставим себе цель сделать это число менее 100 в месяц. Но чтобы это сделать, нам нужно внедрять мероприятия, которые позволят снизить это число, а они могут быть достаточно непростыми и длительными. Или метрика для оценки времени между обнаружением уязвимостью и ее закрытием. Этот временной параметр должен уменьшаться, но сделать это не так уж и просто и потребует налаживания контакта с той же ИТ-службой и внедрением ряда организационных и технических мероприятий.

В конце концов ИБ у нас тоже часто на полшишечки. Мы боремся с хакерами или выполняем требования регуляторов, но бизнесу нужно иное. Ему нужно увеличивать прибыль. Или выручку, Или долю рынка. Да мало ли что ему нужно. Но точно не выполнять требования регуляторов, которые рассматриваются как налог (хотя штраф за невыплату этого налога меньше дневной зарплаты гендиректора) и не с хакерами бороться, которые гораздо менее опасны и гораздо дешевле чиновников и иных облеченных властью людей. Но мы упорно держимся за эту историю и киваем на регуляторов, которые нам помогают чувствовать свою нужность :-(

Выйти же из этого тупика достаточно просто. Называется этот метод "Пять "Зачем" или "Пять "Почему" и заключается он в том, чтобы найти причинно-следственные связи в том или ином явлении. В нашем случае мы при запуске любого проекта/программы/инициативы по ИБ должны задать вопрос "Зачем?" или "Почему?" и делать так пять раз, задавая этот вопрос на предыдущий ответ. В итоге мы должны найти первопричину, то есть понять, зачем мы занимаемся ИБ? Правда, у этого метода есть и недостаток - неспособность задающих вопросы выйти за пределы своих знаний. И если они ограничены только угрозами и compliance, то к бизнесу даже "Пять "Почему" не дадут подобраться - безопасник просто не знает о задачах, стоящих перед бизнесом :-(

ЗЫ. А впереди еще несколько крупных мероприятий по ИБ - PHDays, ITSF, Offzone, ICC и думаю там тоже будет немало безопасности на полшишечки. Кстати, фраза "на полшишечки" пришла из наркоторговли - так определяли дозу марихуаны, приготавливаемой из шишек конопли. А уж потом эта фраза пошла дальше, не сильно изменившись по сути.

4 коммент.:

Ryi комментирует...

Не нужны никакому Бизнесу никакие Безопасники.
Идеал бизнеса, это когда бабки из воздуха появляются и падают на голову счастливому хозяину. Но так не бывает, нужно нести сопутствующие расходы. Людей нанимать чтобы они вели процессы (а они такие сякие, не хотят работать за еду, роботами их заменить , роботами!), приобретать инструменты и помещения и прочее прочее. Безопасник в этой касте, где-то в самом низу, как ни изворачивайся, если только не основной профиль бизнеса, эта самая Безопасность.
Поэтому регулятор, лучший друг Бещопасника. Бизнес и рад бы забить на всю эту ненужную фигню. Делать бабки любыми методами и средствами. Но государство не отстаёт и нудит что-то про выполнение требований.

Unknown комментирует...

Регулятор не друг, абсолютно. И для безопасности просто враг. Все что сейчас есть это не работающая судебная система. Когда будет работающая судебная система, когда бизнес на шкуре прочуствует риски, когда заплатит штрафы итд...тогда бизнес поймет необходимость, а все эти регуляторы это псевдобезопасность оссобенно в госсекторе, где нельзя купить рутокен за госденьги годами, потому что она проходит как флешьнакопитель и таких проблем море....

Алексей Лукацкий комментирует...

Unknown: навязывание через штрафы тоже не работает. Во-первых, на всех не хватит проверяющих, а во-вторых, штрафы копеечные. Тут по-другому нужно тему двигать...

Алексей Лукацкий комментирует...

Ryi: это же не так все :-) Айтишники тоже ходят и доказывают свою нужность бизнесу. И хозяйственники. И операционка. И все. Чем безопасность хуже? Нужно просто понимать, ЧТО ты защищаешь и ЗАЧЕМ это бизнесу (что он потеряет, если этого не будет, и что он приобретет)? А если парить бизнес эфемерными штрафами и непонятными требованиями, то он да, будет это все игнорить. Compliance - это налог. А налоги у нас принято оптимизировать. Делать обязательный минимум и все. Так и с ИБ. Поэтому она в загоне и находится. У налоговой зато есть козырь в виде фискальной службы и штрафов за несоблюдение НК. А у ФСТЭК/ФСБ нет.