Журнал "Information Security/ Информационная безопасность" #1, 2024

Черный ящик с сюрпризами Казалось бы, для службы информа- ционной безопасности закрытость внут- ренней "кухни" должна быть нормой, но непрозрачность процессов ИБ стано- вится проблемой при распределении бюджетов, так как отсутствие понимания со стороны руководителей организации приводит к выделению финансирования, не соответствующего потребностям. При поверхностной оценке результа- тов работы и директивном назначении приоритетов в условиях ограниченных ресурсов нередко выстраивается выгля- дящая внешне логично, но малоэффек- тивная система защиты, оказываются неприкрытыми "фланги". Вот почему эффективность киберза- щиты бизнеса напрямую зависит от про- зрачности работы ИБ-департамента для высшего руководства. Вопрос в балансе: что именно необходимо показывать? Почему нет ясности Управленцам нужна общая картина: что и с какой целью уже сделано, какие работы требуются, чтобы избежать кри- тичных последствий для организации. Нужен перевод с организационного языка на язык ИБ и обратно. Пока этого нет, ИБ остается для топ-менеджмента "черным ящиком". Внести ясность помогла бы достаточно простая и гибкая методика выстраивания связей между бизнес-процессами и сред- ствами защиты информации, запрос на которую актуален не первое десятиле- тие. Среди главных причин отсутствия такой методики – растущая сложность процес- сов и продуктов. В ИБ существуют мно- гообещающие фреймворки, посвящен- ные описанию тактик защиты и атаки, имеются описания лучших практик для проведения аудита, продвигаются стан- дарты обеспечения безопасности прило- жений. Однако подходы к созданию систем защиты продолжают быстро раз- виваться, эволюционировать. Развитие неизбежно: усложняются как сами объекты защиты (при этом растут шансы допустить ошибки), так и инстру- ментарий атакующих, что снижает "порог вхождения в злоумышленники". Эволюция выводит на первый план комплексные, часто нетривиальные и нестандартные решения, поэтому пока рано говорить о единых межотраслевых стандартах: конвейер хорош там, где детали достаточно стандартизованы и производятся в пределах обозначенных допусков. Кстати, о допусках. Один из подходов в ИБ сформулирован как "безопасность через неясность", то есть непрозрачность в ИБ – дополнительная мера защиты. Приведу аналогию: закрывать все двери города даже не просто одинаковым зам- ком, а замком одного типа – очевидно, плохая идея. В то же время оформлять фасады зданий в городе в гармонирую- щих стилях – вполне распространенная практика. Получается, что пока методология носит достаточно общий характер и зани- мается "фасадами", она распространяет- ся в сфере ИБ, несмотря на ограничен- ную эффективность. Конкретика же должна оставаться секретом, и многие безопасники считают, что не лучшая идея – допускать бизнес-методологов к "замочной скважине". У бизнеса схожая позиция: большие объемы данных, необходимые для нор- мальной аналитики на стыке бизнеса и ИБ, являются крайне чувствительными для основной деятельности. Во многом именно поэтому на данный момент адап- тировать лучшие практики приходится самостоятельно. Неопределенность растет и за счет вариативности используемых инстру- ментов. Богатый выбор производителей средств защиты – источник проблем и возможностей, о которых стоит пого- ворить отдельно. Все чаще встречается стратегия, осно- ванная на автоматизации работы с дан- ными. Векторы ее развития: от общих, обзорных метрик – к производным; от ручной аналитики и инсайтов – к гибким автоматизированным моделям, рабо- тающим с большим набором данных, обогащенным связями и подсвечиваю- щим закономерности. Такое поэтапное движение направлено на экономию вре- мени и снижение вероятности утечки чувствительных данных. Но не всегда результат совпадает с желаемым. Рассмотрим три варианта, по которым, как правило, оказывается построена система защиты современного пред- приятия. Вариант 1. Почти недостижимый идеал Наибольшую киберустойчивость гарантирует глубоко эшелонированная защита, в которой одно решение частич- но заходит в зону ответственности дру- гого. Узлы, защищенные единственным СЗИ или только в одном аспекте (например, только антивирусом), – потенциальное слабое звено. Иногда единственное сред- ство защиты на узле отключают по какой- то причине, а информации об этом не оказывается в центре принятия решений. Такие узлы наиболее часто становятся начальными или промежуточными точка- ми успешных атак злоумышленников. Слабо защищенные участки инфра- структуры возникают также после сбоя, ошибки в проектировании или конфигу- рировании отдельных компонентов системы защиты, а иногда и в результате невыявленной атаки. Такие участки не контролируются ни одним средством безопасности и не видны администра- торам, но считаются защищенными. 62 • УПРАВЛЕНИЕ От черного ящика к прозрачности: что CEO должен знать об ИБ очему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью? П Евгений Сурков, менеджер продуктов компании Innostage Бизнесу придется и дальше развиваться в условиях многообразия концепций построения систем защиты. Это не проблема, если высшее руководство понимает, что и как именно происходит в ИБ-подразделении организации. Для понимания необходимо построение целостного ИБ-ландшафта с единой гибко настраиваемой витриной данных. Фото: Innostage