Журнал "Information Security/ Информационная безопасность" #1, 2024

Дублирование средств защиты и эше- лонирование системы информационной безопасности радикально снижает веро- ятность появления слепых пятен. MSSP (Managed Security Service Provi- der – компании-провайдеры, которые предоставляют услуги по обеспечению информационной безопасности) широко используют дублирование функций. Типичные примеры – проверка одних и тех же подозрительных объектов, при- ходящих от их заказчиков, антивирусами разных производителей, получение дан- ных об уязвимостях и угрозах (индика- торов компрометации) от нескольких поставщиков. Примеры такого дублирования на сто- роне заказчика: сканирование одних и тех же узлов или сетей разными про- дуктами, наличие схожих инструментов мониторинга в разных службах. Совмест- ное использование разных подходов и продуктов позволяет обогащать базо- вые данные, полнее исследовать инфра- структуру, дает более глубокий опыт специалистам. Несмотря на то что дублирование систем одного или близких классов спо- собно обеспечить наивысший уровень безопасности, прибегают к нему чаще всего только при выборе конечной систе- мы. Чтобы постоянно успешно применять этот подход, необходимо соблюдать два условия: глубокая собственная экспер- тиза в ИБ и значительные ресурсы. Но одновременное наличие того и другого в организациях встречается нечасто. Вариант 2. Мультивендорный ИБ-ландшафт Вполне рабочий вариант: комплекс- ная эшелонированная защита без дуб- лирования. Разумный компромисс, в котором разные решения дополняют друг друга с минимальным пересече- нием функциональных возможностей. К примеру, в случае отключения End- point-компонента заражение узла можно отслеживать сетевым экраном с систе- мой предотвращения вторжений (NGFW) по нетипичной сетевой актив- ности или попытке обращения к подо- зрительному внешнему узлу. Самое главное – видеть, какие средства защи- ты отключены или неисправны. В этом помогает центральный узел контроля. Центр управления безопасностью поз- воляет с меньшими затратами добиться информирования об одних и тех же угрозах, получая информацию от средств защиты разных классов. Эффект почти так же хорош, как при функциональном дублировании. Подключение в единую систему СЗИ различных классов от разных произво- дителей снижает время реагирования на атаки. Даже в случае выхода из строя нескольких отдельных средств защиты время распознавания и реакции в боль- шинстве случаев остается допустимым. При этом требования к вычислительным ресурсам у данного варианта системы защиты заметно ниже, как и стоимость владения, которая приемлема для боль- шей части организаций, особенно если вендоры обеспечивают совместимость своих решений с продуктами других раз- работчиков, не являются сторонниками политики vendor lock-in. В линейке средств защиты каждого вендора зачастую имеется продукт, кото- рый более приспособлен к задачам и реалиям конкретного заказчика, чем решения данного класса других про- изводителей или продукты иных классов того же разработчика. Это позволяет заказчикам выстроить свой ИБ-ланд- шафт, выбирая элементы, наиболее под- ходящие для отдельных задач, зон ответ- ственности и сегментов инфраструктуры. Итоговая система безопасности созда- ется во время серии проектов внедрения или с помощью отдельного интегра- ционного проекта. Для успешной реализации мультивен- дорного подхода необходимо одновре- менное выполнение хотя бы двух из перечисленных ниже условий. 1. Работа толкового интегратора на проекте создания системы защиты. 2. Готовность производителей идти навстречу ожиданиям клиента при интег- рации своих продуктов. 3. Наличие системообразующего про- дукта – связующего звена, уже совме- стимого с продуктами выбранных вен- доров, на котором можно построить свою методологию объединения. Вариант 3. Метавселенная ИБ или "зоопарк решений"? Нередки случаи, когда в попытке реа- лизовать один из позитивных сценариев организации вместо эффективной систе- мы защиты получают беспорядочный набор не связанных между собой фраг- ментов. Часть продуктов в таких "зоо- парках" может использоваться не по пря- мому назначению, а другие – быть непра- вильно настроены. Каждый из этих про- дуктов в отдельности может обладать полезными свойствами, но их разроз- ненное внедрение не позволяет исполь- зовать их потенциал на должном уровне. Чтобы превратить подобные разроз- ненные наборы в полноценную систему защиты, необходимо дооснастить их связующим звеном, создать на его осно- ве панель управления всей системой защиты и планомерно подключать к нему продукт за продуктом. Иногда имеет смысл провести одновременно аудит и интеграцию проекта. Зачастую для этих работ приходится привлекать уже крупного специализи- рованного интегратора, ведь у боль- шинства компаний, собравших "зоопар- ки", не хватает собственного опыта либо ресурсов для превращения их в работо- способное комплексное решение. Резюме Бизнесу придется и дальше разви- ваться в условиях многообразия кон- цепций построения систем защиты. Это не проблема, если высшее руководство понимает, что и как именно происходит в ИБ-подразделении организации. Для понимания необходимо построение целостного ИБ-ландшафта с единой гибко настраиваемой витриной данных. А в качестве бонуса это упростит соз- дание наиболее эффективной (по соот- ношению "цена/качество") эшелониро- ванной защиты, включающей продукты различных классов от разных произво- дителей. В основе управления защитой нахо- дится компонент мониторинга и анали- тики, привязывающий данные из разных источников к структуре бизнес-процес- сов компании. Поставляемая такой системой управ- ления обратная связь поможет адек- ватно оценивать действия ИБ-подраз- делений и своевременно выделять тре- буемые им ресурсы, в полном соответ- ствии с общими приоритетами бизнеса. Если собственных возможностей пока не хватает – мало свободных рук – к системе можно подключить MSSP- компании, а к процессу ее создания – интегратора. l • 63 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: pxhere.com