Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?
Информационная безопасность Информационная безопасность

«Внедрили SIEM. Обеспокоенность выросла, безопасность – пока нет». Кулуарный разговор на ИБ-конференции

Главная>Информационная безопасность>Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?
Информационная безопасность Тема номера

Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

Дата публикации:
18.02.2016
Посетителей:
244
Просмотров:
243
Время просмотра:
2.3

Авторы

Автор
Сергей Павленко Заместитель руководителя департамента проектирования и внедрения Центра информационной безопасности компании «Инфосистемы Джет»
Приходилось ли вам сталкиваться с ситуациями, когда внедренные продукты и решения ИБ не оправдывали ваши ожидания и ожидание бизнеса? Мы постоянно проводим работы на площадках заказчиков и видим, как развивается их ИБ изнутри. На основе нашего опыта мы выделили основные «камни преткновения», которые могут приводить к низкой отдаче от внедренных ИБ-решений.

 

 

Все очень быстро меняется

 

Сложность систем ИТ и ИБ сегодня растет очень быстро. Виртуализация, облака, мобильные устройства, удаленный доступ и т.д. – все это значительно усложняет ландшафт угроз и требует построения более сложных систем ИБ. В ответ на новые угрозы вендоры ежегодно предлагают десятки новых решений для защиты бизнеса. И это может порождать хаос в головах безопасников. Во-первых, разобраться в этом множестве новых продуктов по защите информации очень непросто. Только на изучение рассылок вендоров о новых продуктах и актуальных угрозах, посещение тематических вебинаров/семинаров и т.д. у специалиста ИБ может уйти значительная часть рабочего времени. Естественно, немногие могут себе это позволить. Во-вторых, благодаря профессиональной работе маркетинга производителей многие безопасники воспринимают эти новые решения как «волшебные» таблетки. Купили, поставили – проблема решена. Разобраться в этом хаосе и выбрать оптимальное решение поможет специализированная ИБ-компания, которая будет выступать в роли независимого консультанта. При выборе такого партнера в первую очередь необходимо обратить внимание на его опыт и репутацию в ИБ-консалтинге.

Недостаточная квалификация ИБ-специалистов в практической безопасности

 

Наш опыт показывает, что используемые технологии и инструменты обеспечения ИБ могут опережать квалификацию специалистов, работающих с ними. Компании имеют мощные технологии и решения, такие как SIEM, DLP, IPS, NGFW, WAF и т.д., но они не до конца понимают, как применять их с максимальной пользой для безопасности бизнеса. ИБ-отдел ежедневно получает сотни и тысячи событий от различных средств защиты. Что с ними делать дальше?

 

«Тест» на реального безопасника должен обязательно включать следующие вопросы:

- Знаете ли вы, как происходят современные атаки на корпоративные системы?

- Имеете ли вы представление, как думают и действуют злоумышленники?

- Имеется ли у вас опыт проведения пентестов?

- Как вы узнаете, что вас взломали? Имеется ли у вас опыт расследования реальных инцидентов?

 

Для эффективного использования этих решений нужны высококвалифицированные аналитики с разными специализациями: им необходимы глубокое понимание архитектуры Windows и Unix-систем, знания сетевых протоколов и архитектуры веб-приложений, опыт проведения пентестов и анализа защищенности, разработки сигнатур, парсеров и скриптов, опыт анализа Malware. И это далеко не полный список требуемых компетенций. Как найти таких специалистов? Самый быстрый и, наверное, самый дорогой вариант – на рынке. Правда, такие аналитики в дефиците и одним специалистом здесь не обойтись, если, к примеру, у вас есть SIEM, IPS и DLP одновременно. Второй вариант – вырастить специалистов внутри компании. Но на это потребуются годы, и удержать их потом будет сложно. Третий, как нам кажется, оптимальный вариант – воспользоваться услугами компаний-экспертов в области ИБ. В нашей практике есть несколько примеров, когда компании внедрили у себя SIEM-систему, но так и не научились ею пользоваться. При этом проект по внедрению SIEM – очень дорогое удовольствие. С другой стороны, есть и успешные внедрения (в основном это банки и крупные финансовые организации): компании смогли создать команду «спецназа ИБ», способную адекватно реагировать на возникающие угрозы.

 

Ситуационный подход к ИБ

 

Несмотря на то что стандарты управления ИБ существуют уже много лет (возьмем, к примеру, стандарт ГОСТ Р ИСО/МЭК 17799 от 2005 года), в ряде случаев мы видим либо отсутствие у заказчика системы управления ИБ, либо существование ее только на бумаге. Результат такого подхода: латаем «дыры» по факту их возникновения, существующие проблемы пытаемся решить установкой новых технических средств ИБ, опыт приобретаем путем проб и ошибок, ответственность за инциденты возлагаем на ИБ-отдел. Даже если компания имеет в штате квалифицированных безопасников и внедрила ряд современных технических средств, при отсутствии выстроенных и работающих процессов ИБ все это не будет давать нужного эффекта. IPS работает с политиками и сигнатурами по умолчанию, SIEM используется только как система Log Management, на сервере отсутствует антивирус, в правилах межсетевого экрана permit ip any any – со всем этим мы сталкиваемся в наших проектах. Для того чтобы исправить ситуацию, необязательно иметь сертифицированную систему менеджмента ИБ. Опыт нескольких наших заказчиков доказывает, что пусть и небольшая, но действительно работающая политика управления ИБ позволяет устранить большинство пробелов в системе информационной безопасности.

 

Не хватает людей

 

Еще одна из распространенных проблем – нехватка людей в отделе ИБ. С каждым завершенным внедрением на плечи безопасников ложатся дополнительные задачи по эксплуатации новых систем защиты. К примеру, для полноценного администрирования и эксплуатации одной только подсистемы обнаружения вторжений требуется, как минимум, 1–2 выделенных специалиста. В случае же внедрения центра оперативного управления и реагирования на инциденты ИБ (Security Operation Center) необходимо 7–8 человек для обеспечения его бесперебойной круглосуточной работы. Но порой один специалист отвечает сразу за 3–5 подсистем ИБ, например, занимается мониторингом и администрированием SIEM, DLP и DAM одновременно. И не факт, что к этому списку в будущем не добавится еще какая-нибудь система. В одном из банков из ТОП 50 за все подсистемы ИБ отвечают 2 специалиста (SIEM, DLP, Web Gateway, E-mail Gateway, FW, IPS, антивирус, Integrity Control, DAM). Неудивительно, что они могут выделять время только на системное администрирование средств защиты и на устранение сбоев в их работе. Также нехватка людей приводит к низкой вовлеченности специалистов заказчика в процесс внедрения. Из-за этого внедренцам не всегда удается передать необходимые знания о внедряемых решениях, а проект может затягиваться. Но самое важное – от вовлеченности инженеров заказчика в проект зависит качество последующей эксплуатации внедренной системы.

 

Решить или в принципе не допустить подобную проблему может руководство ИБ-службы компании: нужно понятно и доступно обосновать необходимость выделения новых штатных единиц или передачи части функций ИБ на аутсорсинг.

 

Формальный подход к ИБ

 

К сожалению, некоторые компании внедряют системы ИБ исключительно для соответствия требованиям регуляторов. Безопасность при таком подходе выглядит красиво только на бумаге, на деле средства защиты работают с настройками по умолчанию или могут быть даже не задействованы. Из нашего опыта такие компании чаще встречаются в государственном секторе и ТЭК. Говорить об эффективности ИБ в данном случае не приходится.

 

Неэффективное взаимодействие служб ИБ и ИТ

 

Службы ИБ и ИТ неразрывно связаны в современной корпоративной системе компании. Эффективность работы каждой из служб напрямую зависит от успешности их взаимодействия. При этом наш опыт показывает, что их сотрудничество далеко не всегда выстроено эффективно. Вместо совместной работы по достижению общих бизнес-целей по ряду причин между службами часто возникают конфликты. Приведем примеры. В компании X настройки политик безопасности администрирования межсетевых экранов, прокси-серверов и антиспам-шлюзов выполняет служба ИТ (так сложилось исторически). Фактически ответственность размыта между ИТ и ИБ: формально ИТ-шники не отвечают за систему ИБ, при этом безопасники не имеют необходимых технических компетенций и не могут контролировать выполнение политик безопасности. Отсутствие нужных компетенций негативно сказывается и на авторитете мнения безопасников в глазах ИТ-шников при обсуждении общих технических вопросов.

 

В компании Y служба ИБ является частью ИТ-департамента и/или подчиняется ему. При разрешении спорных вопросов между специалистами ИБ и ИТ последнее слово остается за ИТ. Вопросы безопасности остаются неучтенными или решаются по остаточному принципу. Например, мы внедряли в компании решение класса Security Gateway Appliance для обеспечения контроля доступа сотрудников к ресурсам Интернет. При обсуждении выбора протокола аутентификации пользователей ИТ-департамент сделал выбор в пользу менее безопасного протокола, не взирая на доводы безопасников.

Специфика взаимодействия подразделений ИТ и ИБ в обоих случаях значительно усложняет процесс внедрения ИБ-систем и негативно влияет на общий уровень информационной безопасности компании.

 

По данным PWC? в России в 2015 году

 

Мы рассмотрели лишь некоторые причины неэффективного использования внедренных ИБ-решений. Отметим, что в условиях кризиса, когда бюджеты контролируются особенно тщательно, компании все больше концентрируют усилия на повышении отдачи от уже существующих ИБ-систем. Способствовать этому может использование процессного подхода, повышение квалификации ИБ-специалистов и использование услуг аутсорсинга ИБ.

Уведомления об обновлении тем – в вашей почте

«Инфаркт или паранойя? Что можно узнать о своих сотрудниках с помощью современных DLP-решений»

В современном мире самое ценное, чем обладает человек, - это информация. Успеха достигает тот, кто не просто владеет информацией, но и умеет ее анализировать и правильно распоряжаться полученными результатами.

Средства анализа в «Дозор-Джет»

Требование, которое стояло перед системами защиты от утечек на протяжении нескольких последних лет, выполнено: сегодня контролю подвергаются все или практически все каналы утечки информации. Проблема сегодняшнего дня – как в этом непрерывно растущем потоке данных найти утечку.

Интегрировать нельзя игнорировать

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

Интернет – взгляд на психологию пользователей и безопасность в организации

21-й век. Локальные конфликты, пробки и повышение цен на бензин. Люди вольно или невольно получают и обрабатывают огромные информационные потоки.

Контроль контролирующих, или Расширение возможностей DLP-систем

Если ваши сервисы работают без сбоев, можете смело их продавать. Эту несложную аксиому понимают владельцы любого бизнеса, вне зависимости от его масштаба или сферы деятельности.

Заглянуть в цифровую черную дыру

При упоминании Big Data у окружающих появляется мысль о том, что речь идет о передовых технологиях, о новых невероятных возможностях для хранения, обработки и анализа данных, но так ли это на самом деле

Не совсем информационная безопасность

Информационная безопасность – одна из самых обсуждаемых тем в ИТ

DLP-отношения: от рабочей рутины до судебных процессов

Кто кому должен: обязанности компаний и сотрудников? Как регламентировать работу с конфиденциальной информацией? DLP-кейсы: почему компания может проиграть дело? Чек-лист: как оформлять данные из DLP для судебного разбирательства?

5.0 - стоила ли игра свеч?

Мир не стоит на месте, и нам хочется продолжать соответствовать запросам клиентов и очевидным требованиям рынка

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня