Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?
Информационная безопасность Информационная безопасность

«Внедрили SIEM. Обеспокоенность выросла, безопасность – пока нет». Кулуарный разговор на ИБ-конференции

Главная>Информационная безопасность>Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?
Информационная безопасность Тема номера

Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

Дата публикации:
18.02.2016
Посетителей:
96
Просмотров:
93
Время просмотра:
2.3

Авторы

Автор
Сергей Павленко Заместитель руководителя департамента проектирования и внедрения Центра информационной безопасности компании «Инфосистемы Джет»
Приходилось ли вам сталкиваться с ситуациями, когда внедренные продукты и решения ИБ не оправдывали ваши ожидания и ожидание бизнеса? Мы постоянно проводим работы на площадках заказчиков и видим, как развивается их ИБ изнутри. На основе нашего опыта мы выделили основные «камни преткновения», которые могут приводить к низкой отдаче от внедренных ИБ-решений.

 

 

Все очень быстро меняется

 

Сложность систем ИТ и ИБ сегодня растет очень быстро. Виртуализация, облака, мобильные устройства, удаленный доступ и т.д. – все это значительно усложняет ландшафт угроз и требует построения более сложных систем ИБ. В ответ на новые угрозы вендоры ежегодно предлагают десятки новых решений для защиты бизнеса. И это может порождать хаос в головах безопасников. Во-первых, разобраться в этом множестве новых продуктов по защите информации очень непросто. Только на изучение рассылок вендоров о новых продуктах и актуальных угрозах, посещение тематических вебинаров/семинаров и т.д. у специалиста ИБ может уйти значительная часть рабочего времени. Естественно, немногие могут себе это позволить. Во-вторых, благодаря профессиональной работе маркетинга производителей многие безопасники воспринимают эти новые решения как «волшебные» таблетки. Купили, поставили – проблема решена. Разобраться в этом хаосе и выбрать оптимальное решение поможет специализированная ИБ-компания, которая будет выступать в роли независимого консультанта. При выборе такого партнера в первую очередь необходимо обратить внимание на его опыт и репутацию в ИБ-консалтинге.

Авторы

Недостаточная квалификация ИБ-специалистов в практической безопасности

 

Наш опыт показывает, что используемые технологии и инструменты обеспечения ИБ могут опережать квалификацию специалистов, работающих с ними. Компании имеют мощные технологии и решения, такие как SIEM, DLP, IPS, NGFW, WAF и т.д., но они не до конца понимают, как применять их с максимальной пользой для безопасности бизнеса. ИБ-отдел ежедневно получает сотни и тысячи событий от различных средств защиты. Что с ними делать дальше?

 

«Тест» на реального безопасника должен обязательно включать следующие вопросы:

- Знаете ли вы, как происходят современные атаки на корпоративные системы?

- Имеете ли вы представление, как думают и действуют злоумышленники?

- Имеется ли у вас опыт проведения пентестов?

- Как вы узнаете, что вас взломали? Имеется ли у вас опыт расследования реальных инцидентов?

 

Для эффективного использования этих решений нужны высококвалифицированные аналитики с разными специализациями: им необходимы глубокое понимание архитектуры Windows и Unix-систем, знания сетевых протоколов и архитектуры веб-приложений, опыт проведения пентестов и анализа защищенности, разработки сигнатур, парсеров и скриптов, опыт анализа Malware. И это далеко не полный список требуемых компетенций. Как найти таких специалистов? Самый быстрый и, наверное, самый дорогой вариант – на рынке. Правда, такие аналитики в дефиците и одним специалистом здесь не обойтись, если, к примеру, у вас есть SIEM, IPS и DLP одновременно. Второй вариант – вырастить специалистов внутри компании. Но на это потребуются годы, и удержать их потом будет сложно. Третий, как нам кажется, оптимальный вариант – воспользоваться услугами компаний-экспертов в области ИБ. В нашей практике есть несколько примеров, когда компании внедрили у себя SIEM-систему, но так и не научились ею пользоваться. При этом проект по внедрению SIEM – очень дорогое удовольствие. С другой стороны, есть и успешные внедрения (в основном это банки и крупные финансовые организации): компании смогли создать команду «спецназа ИБ», способную адекватно реагировать на возникающие угрозы.

 

Ситуационный подход к ИБ

 

Несмотря на то что стандарты управления ИБ существуют уже много лет (возьмем, к примеру, стандарт ГОСТ Р ИСО/МЭК 17799 от 2005 года), в ряде случаев мы видим либо отсутствие у заказчика системы управления ИБ, либо существование ее только на бумаге. Результат такого подхода: латаем «дыры» по факту их возникновения, существующие проблемы пытаемся решить установкой новых технических средств ИБ, опыт приобретаем путем проб и ошибок, ответственность за инциденты возлагаем на ИБ-отдел. Даже если компания имеет в штате квалифицированных безопасников и внедрила ряд современных технических средств, при отсутствии выстроенных и работающих процессов ИБ все это не будет давать нужного эффекта. IPS работает с политиками и сигнатурами по умолчанию, SIEM используется только как система Log Management, на сервере отсутствует антивирус, в правилах межсетевого экрана permit ip any any – со всем этим мы сталкиваемся в наших проектах. Для того чтобы исправить ситуацию, необязательно иметь сертифицированную систему менеджмента ИБ. Опыт нескольких наших заказчиков доказывает, что пусть и небольшая, но действительно работающая политика управления ИБ позволяет устранить большинство пробелов в системе информационной безопасности.

 

Не хватает людей

 

Еще одна из распространенных проблем – нехватка людей в отделе ИБ. С каждым завершенным внедрением на плечи безопасников ложатся дополнительные задачи по эксплуатации новых систем защиты. К примеру, для полноценного администрирования и эксплуатации одной только подсистемы обнаружения вторжений требуется, как минимум, 1–2 выделенных специалиста. В случае же внедрения центра оперативного управления и реагирования на инциденты ИБ (Security Operation Center) необходимо 7–8 человек для обеспечения его бесперебойной круглосуточной работы. Но порой один специалист отвечает сразу за 3–5 подсистем ИБ, например, занимается мониторингом и администрированием SIEM, DLP и DAM одновременно. И не факт, что к этому списку в будущем не добавится еще какая-нибудь система. В одном из банков из ТОП 50 за все подсистемы ИБ отвечают 2 специалиста (SIEM, DLP, Web Gateway, E-mail Gateway, FW, IPS, антивирус, Integrity Control, DAM). Неудивительно, что они могут выделять время только на системное администрирование средств защиты и на устранение сбоев в их работе. Также нехватка людей приводит к низкой вовлеченности специалистов заказчика в процесс внедрения. Из-за этого внедренцам не всегда удается передать необходимые знания о внедряемых решениях, а проект может затягиваться. Но самое важное – от вовлеченности инженеров заказчика в проект зависит качество последующей эксплуатации внедренной системы.

 

Решить или в принципе не допустить подобную проблему может руководство ИБ-службы компании: нужно понятно и доступно обосновать необходимость выделения новых штатных единиц или передачи части функций ИБ на аутсорсинг.

 

Формальный подход к ИБ

 

К сожалению, некоторые компании внедряют системы ИБ исключительно для соответствия требованиям регуляторов. Безопасность при таком подходе выглядит красиво только на бумаге, на деле средства защиты работают с настройками по умолчанию или могут быть даже не задействованы. Из нашего опыта такие компании чаще встречаются в государственном секторе и ТЭК. Говорить об эффективности ИБ в данном случае не приходится.

 

Неэффективное взаимодействие служб ИБ и ИТ

 

Службы ИБ и ИТ неразрывно связаны в современной корпоративной системе компании. Эффективность работы каждой из служб напрямую зависит от успешности их взаимодействия. При этом наш опыт показывает, что их сотрудничество далеко не всегда выстроено эффективно. Вместо совместной работы по достижению общих бизнес-целей по ряду причин между службами часто возникают конфликты. Приведем примеры. В компании X настройки политик безопасности администрирования межсетевых экранов, прокси-серверов и антиспам-шлюзов выполняет служба ИТ (так сложилось исторически). Фактически ответственность размыта между ИТ и ИБ: формально ИТ-шники не отвечают за систему ИБ, при этом безопасники не имеют необходимых технических компетенций и не могут контролировать выполнение политик безопасности. Отсутствие нужных компетенций негативно сказывается и на авторитете мнения безопасников в глазах ИТ-шников при обсуждении общих технических вопросов.

 

В компании Y служба ИБ является частью ИТ-департамента и/или подчиняется ему. При разрешении спорных вопросов между специалистами ИБ и ИТ последнее слово остается за ИТ. Вопросы безопасности остаются неучтенными или решаются по остаточному принципу. Например, мы внедряли в компании решение класса Security Gateway Appliance для обеспечения контроля доступа сотрудников к ресурсам Интернет. При обсуждении выбора протокола аутентификации пользователей ИТ-департамент сделал выбор в пользу менее безопасного протокола, не взирая на доводы безопасников.

Специфика взаимодействия подразделений ИТ и ИБ в обоих случаях значительно усложняет процесс внедрения ИБ-систем и негативно влияет на общий уровень информационной безопасности компании.

 

По данным PWC? в России в 2015 году

 

Мы рассмотрели лишь некоторые причины неэффективного использования внедренных ИБ-решений. Отметим, что в условиях кризиса, когда бюджеты контролируются особенно тщательно, компании все больше концентрируют усилия на повышении отдачи от уже существующих ИБ-систем. Способствовать этому может использование процессного подхода, повышение квалификации ИБ-специалистов и использование услуг аутсорсинга ИБ.

Уведомления об обновлении тем – в вашей почте

История одного DLP-расследования

Мы все привыкли к тому, что в каждой уважающей себя компании есть DLP-система, этим уже никого не удивишь. Я расскажу вам историю, как экспресс-расследование инцидента позволило купировать утечку конфиденциальной информации и пресечь работу инсайдера.

Комплекс защиты от утечек информации «Дозор-Джет»: общая архитектура и функциональные возможности

Комплекс защиты от утечек информации «Дозор-Джет» представляет собой DLP-систему, ядром которой является «Система архивирования и анализа «Дозор-Джет», вот уже более 10 лет развиваемая компанией «Инфосистемы Джет».

Контроль контролирующих, или Расширение возможностей DLP-систем

Если ваши сервисы работают без сбоев, можете смело их продавать. Эту несложную аксиому понимают владельцы любого бизнеса, вне зависимости от его масштаба или сферы деятельности.

Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ

Общеизвестно, что страховые компании избавляют нас от рисков, связанных с потенциальным ущербом. Но насколько они сами могут быть застрахованы от угроз информационной безопасности? Об этом и многом другом мы поговорим сегодня с Ларисой Борисевич , начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ.

«Инфаркт или паранойя? Что можно узнать о своих сотрудниках с помощью современных DLP-решений»

В современном мире самое ценное, чем обладает человек, - это информация. Успеха достигает тот, кто не просто владеет информацией, но и умеет ее анализировать и правильно распоряжаться полученными результатами.

SIEM в России — состояние и перспективы рынка

В дискуссии приняли участие Артем Медведев, Евгений Афонин, Александр Чигвинцев, Михаил Чернышев, Алексей Горелышев, Олег Бакшинский

Простая методика принятия решения по инцидентам, выявленным DLP

DLP-системы или их упрощенные аналоги (системы контроля работы сотрудников) используются во многих организациях, обеспокоенных угрозой утечки информации или инцидентами экономической безопасности

Волков бояться? Или все-таки в лес?

Если в компании встает вопрос о расследовании утечек информации, то, как правило, существуют те или иные признаки того, что подобная утечка вообще произошла

Круглый стол: «Лаборатория Касперского», Positive Technologies, R-Vision, Group-IB, UserGate и «Гарда Технологии» об изменениях в ИБ-отрасли

Как изменилась роль ИБ-отрасли за последние месяцы? Какова кадровая ситуация в сфере информационной безопасности? Почему далеко не все отечественные ИБ-решения нуждаются в доработке? Как относиться к Open Source (спойлер — единого мнения нет)?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня