Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

Недостаточная квалификация ИБ-специалистов в практической безопасности

Наш опыт показывает, что используемые технологии и инструменты обеспечения ИБ могут опережать квалификацию специалистов, работающих с ними. Компании имеют мощные технологии и решения, такие как SIEM, DLP, IPS, NGFW, WAF и т.д., но они не до конца понимают, как применять их с максимальной пользой для безопасности бизнеса. ИБ-отдел ежедневно получает сотни и тысячи событий от различных средств защиты. Что с ними делать дальше?

«Тест» на реального безопасника должен обязательно включать следующие вопросы:

- Знаете ли вы, как происходят современные атаки на корпоративные системы?

- Имеете ли вы представление, как думают и действуют злоумышленники?

- Имеется ли у вас опыт проведения пентестов?

- Как вы узнаете, что вас взломали? Имеется ли у вас опыт расследования реальных инцидентов?

Для эффективного использования этих решений нужны высококвалифицированные аналитики с разными специализациями: им необходимы глубокое понимание архитектуры Windows и Unix-систем, знания сетевых протоколов и архитектуры веб-приложений, опыт проведения пентестов и анализа защищенности, разработки сигнатур, парсеров и скриптов, опыт анализа Malware. И это далеко не полный список требуемых компетенций. Как найти таких специалистов? Самый быстрый и, наверное, самый дорогой вариант – на рынке. Правда, такие аналитики в дефиците и одним специалистом здесь не обойтись, если, к примеру, у вас есть SIEM, IPS и DLP одновременно. Второй вариант – вырастить специалистов внутри компании. Но на это потребуются годы, и удержать их потом будет сложно. Третий, как нам кажется, оптимальный вариант – воспользоваться услугами компаний-экспертов в области ИБ. В нашей практике есть несколько примеров, когда компании внедрили у себя SIEM-систему, но так и не научились ею пользоваться. При этом проект по внедрению SIEM – очень дорогое удовольствие. С другой стороны, есть и успешные внедрения (в основном это банки и крупные финансовые организации): компании смогли создать команду «спецназа ИБ», способную адекватно реагировать на возникающие угрозы.

Ситуационный подход к ИБ

Несмотря на то что стандарты управления ИБ существуют уже много лет (возьмем, к примеру, стандарт ГОСТ Р ИСО/МЭК 17799 от 2005 года), в ряде случаев мы видим либо отсутствие у заказчика системы управления ИБ, либо существование ее только на бумаге. Результат такого подхода: латаем «дыры» по факту их возникновения, существующие проблемы пытаемся решить установкой новых технических средств ИБ, опыт приобретаем путем проб и ошибок, ответственность за инциденты возлагаем на ИБ-отдел. Даже если компания имеет в штате квалифицированных безопасников и внедрила ряд современных технических средств, при отсутствии выстроенных и работающих процессов ИБ все это не будет давать нужного эффекта. IPS работает с политиками и сигнатурами по умолчанию, SIEM используется только как система Log Management, на сервере отсутствует антивирус, в правилах межсетевого экрана permit ip any any – со всем этим мы сталкиваемся в наших проектах. Для того чтобы исправить ситуацию, необязательно иметь сертифицированную систему менеджмента ИБ. Опыт нескольких наших заказчиков доказывает, что пусть и небольшая, но действительно работающая политика управления ИБ позволяет устранить большинство пробелов в системе информационной безопасности.

Не хватает людей

Еще одна из распространенных проблем – нехватка людей в отделе ИБ. С каждым завершенным внедрением на плечи безопасников ложатся дополнительные задачи по эксплуатации новых систем защиты. К примеру, для полноценного администрирования и эксплуатации одной только подсистемы обнаружения вторжений требуется, как минимум, 1–2 выделенных специалиста. В случае же внедрения центра оперативного управления и реагирования на инциденты ИБ (Security Operation Center) необходимо 7–8 человек для обеспечения его бесперебойной круглосуточной работы. Но порой один специалист отвечает сразу за 3–5 подсистем ИБ, например, занимается мониторингом и администрированием SIEM, DLP и DAM одновременно. И не факт, что к этому списку в будущем не добавится еще какая-нибудь система. В одном из банков из ТОП 50 за все подсистемы ИБ отвечают 2 специалиста (SIEM, DLP, Web Gateway, E-mail Gateway, FW, IPS, антивирус, Integrity Control, DAM). Неудивительно, что они могут выделять время только на системное администрирование средств защиты и на устранение сбоев в их работе. Также нехватка людей приводит к низкой вовлеченности специалистов заказчика в процесс внедрения. Из-за этого внедренцам не всегда удается передать необходимые знания о внедряемых решениях, а проект может затягиваться. Но самое важное – от вовлеченности инженеров заказчика в проект зависит качество последующей эксплуатации внедренной системы.

Решить или в принципе не допустить подобную проблему может руководство ИБ-службы компании: нужно понятно и доступно обосновать необходимость выделения новых штатных единиц или передачи части функций ИБ на аутсорсинг.

Формальный подход к ИБ

К сожалению, некоторые компании внедряют системы ИБ исключительно для соответствия требованиям регуляторов. Безопасность при таком подходе выглядит красиво только на бумаге, на деле средства защиты работают с настройками по умолчанию или могут быть даже не задействованы. Из нашего опыта такие компании чаще встречаются в государственном секторе и ТЭК. Говорить об эффективности ИБ в данном случае не приходится.

Неэффективное взаимодействие служб ИБ и ИТ

Службы ИБ и ИТ неразрывно связаны в современной корпоративной системе компании. Эффективность работы каждой из служб напрямую зависит от успешности их взаимодействия. При этом наш опыт показывает, что их сотрудничество далеко не всегда выстроено эффективно. Вместо совместной работы по достижению общих бизнес-целей по ряду причин между службами часто возникают конфликты. Приведем примеры. В компании X настройки политик безопасности администрирования межсетевых экранов, прокси-серверов и антиспам-шлюзов выполняет служба ИТ (так сложилось исторически). Фактически ответственность размыта между ИТ и ИБ: формально ИТ-шники не отвечают за систему ИБ, при этом безопасники не имеют необходимых технических компетенций и не могут контролировать выполнение политик безопасности. Отсутствие нужных компетенций негативно сказывается и на авторитете мнения безопасников в глазах ИТ-шников при обсуждении общих технических вопросов.

В компании Y служба ИБ является частью ИТ-департамента и/или подчиняется ему. При разрешении спорных вопросов между специалистами ИБ и ИТ последнее слово остается за ИТ. Вопросы безопасности остаются неучтенными или решаются по остаточному принципу. Например, мы внедряли в компании решение класса Security Gateway Appliance для обеспечения контроля доступа сотрудников к ресурсам Интернет. При обсуждении выбора протокола аутентификации пользователей ИТ-департамент сделал выбор в пользу менее безопасного протокола, не взирая на доводы безопасников.

Специфика взаимодействия подразделений ИТ и ИБ в обоих случаях значительно усложняет процесс внедрения ИБ-систем и негативно влияет на общий уровень информационной безопасности компании.

Мы рассмотрели лишь некоторые причины неэффективного использования внедренных ИБ-решений. Отметим, что в условиях кризиса, когда бюджеты контролируются особенно тщательно, компании все больше концентрируют усилия на повышении отдачи от уже существующих ИБ-систем. Способствовать этому может использование процессного подхода, повышение квалификации ИБ-специалистов и использование услуг аутсорсинга ИБ.