Выбор эффективных ИБ-решений в условиях неопределенности
В условиях динамично меняющегося ИТ-ландшафта и постоянно растущей интенсивности кибератак руководители служб по ИБ сталкиваются с рядом факторов неопределенности, которые требуют новых подходов к управлению безопасностью. Как CISO справляться с этой ситуацией — рассказывает Дмитрий Пудов, заместитель генерального директора NGR Softlab.
Факторы неопределенности
Неопределенность для CISO кажется абсолютно привычной средой. Ведь одна из основных функций CISO – управление рисками информационной безопасности, которые по своей природе заставляют CISO жить в категориях вероятностей и неопределенности контекста.
И это характерно не только для CISO – каждый менеджер так или иначе сталкивается с неопределенностью в своей работе. Ключевая функция любого менеджера принимать и реализовывать решения. Но сложность этой работы заключается в том, что у вас редко бывает всеобъемлющий набор аргументов для принятия однозначного решения и часто вы очень упрощаете модель мира для выбора из дерева решений.
Почему об этом актуально говорить сейчас? На мой взгляд, несмотря на прошедший шок после 2022 года, уровень неопределенности все еще экстремально высок:
Интенсивность атак остается высокой. Статистика и сообщения пострадавших организаций свидетельствуют о сохраняющейся высокой частоте кибератак.
ИТ- и ИБ-ландшафт все еще очень динамичный. Быстрая эволюция технологий и решений создает постоянно меняющуюся среду для ИБ-специалистов.
Сложности с человеческим ресурсом. Нехватка квалифицированных кадров в сфере ИБ затрудняет эффективную реализацию мер безопасности.
Низкая экспертиза по новым решениям. Увеличение количества решений не привело к росту компетенций интеграторов и вендоров, что создает проблемы с выбором и внедрением оптимальных решений.
Как это влияет на качество мониторинга и контроля?
Один из традиционных подходов «надо просто найти готовое решение» ― уже не работает. Во-первых, далеко не во всех нишах есть готовое российское решение, а там, где есть, выбор может быть сильно ограничен. Во-вторых, функциональность решений или их нефункциональные качества (масштабируемость, отказоустойчивость, интероперабельность и т.п.) могут отсутствовать или не соответствовать вашим ожиданиям. В-третьих, заказчики вынуждены компенсировать нехватку на рынке экспертизы своими ресурсами, самостоятельно анализируя и сравнивая решения, внедряя их и самостоятельно, интегрируя их с меняющимся ИТ-ландшафтом.
Высокая динамика изменений приводит к снижению уровня контроля. Раньше безопасность строилась просто: компания приобретала решение, инвестировала в политики, процедуры, формализацию, развитие (адаптировала существующие практики под себя) и качество внутреннего сервиса ИБ. Однако сегодня это не работает, потому что меняются операционные системы, инфраструктурные и ИБ-решения ― «лучшие практики» перестают действовать или еще не успели формироваться в новой реальности и плохо тиражируются. Остается придумывать все новые и новые компенсирующие меры, которые позволят удерживать риск в разумных пределах. Сейчас в российских компаниях часто, как никогда ранее, встречается большое количество реализаций эшелонированной защиты, предусматривающей несколько дополняющих друг друга защитных мер на случай, если какой-либо элемент управления безопасностью не сработает или окажется уязвимым). Многие прибегают к эшелонированной защите, приобретая несколько решений или дополняя иностранное решение новым российским и создавая многоуровневую систему безопасности. И это не потому, что эти организации достигли определенной зрелости, а потому, что у них нет уверенности ни в одном из решений. Платить за это приходится усложнением архитектуры и повышенной нагрузкой на человеческий ресурс.
Сложности выбора: свойства эффективных решений
При этом, если речь идет о руководящих позициях, решение необходимо принимать стратегическое, неограниченное данным моментом. CISO становятся своего рода венчурными инвесторами не только потому, что инвестирование отличается горизонтом планирования, но и потому, что они инвестируют в «будущий» продукт, а не в текущую его версию. Поэтому важно выделить ряд свойств продуктов, которые необходимо рассматривать наряду с функциональными и нефункциональными характеристиками.
На мой взгляд, в текущей ситуации одним из наиболее важных свойств эффективных решений является интероперабельность ― открытость решений для интеграции с постоянно меняющимся окружением. Отчасти это противопоставление закрытым экосистемам. За красивыми концепциями и презентациями иногда может стоять vendor lock-in (т.е. привязка к поставщику) — бизнес-модель, в которой устанавливается зависимость потребителя от продуктов и услуг одного поставщика, намеренно создаются осложнения для смены поставщика из‑за высоких затрат на переход. В моменте организация может предпочесть решение, состоящее из 5–6 продуктов, хорошо интегрированных между собой. И, кажется, это закрывает ряд задач и снимает сложности с интеграцией, но стратегически это путь в никуда. Совокупная стоимость подобных комплексных решений (где синергия достигается только при использовании широкого перечня продуктов/технологий) может вас неприятно удивить, как и будущие операционные затраты и отсутствие переговорной позиции. Идеальная совместимость нескольких продуктов может превратиться в кошмар, если вы решите заменить некоторые элементы на более производительные и экономически оправданные.
И еще одно свойство ― легкость масштабирования логики принятия решений/детекта. Конечно, производители зачастую берут вопрос развития контента на себя, но очень важно, чтобы решения предоставляли эту возможность пользователю. Так вы не станете заложником плана развития вендора и его внутренней приоритезации запросов клиентов. По мере повышения зрелости функции ИБ в организации эти механизмы будут все больше востребованы.
Интеллектуальность решений сейчас так же имеет важное значение. К традиционным вызовам, таким как 0-day / 1-day, эволюция техник, нехватка экспертов/экспертизы, рост объема информации, которые покрываются обычно контент-паками от производителя, добавляются факторы, которые создают энтропию для принятия решений. А именно: новые системы, отсутствие опыта и наработок, сложности интеграции, отсутствие необходимых данных. Рост когнитивной нагрузки заставляет искать новые инструменты, способные сохранить производительность и эффективность офицеров ИБ (иногда вопрос стоит вообще в сохранении профессионалов в своей команде). При этом организации уже не готовы идти на компромисс – обеспечение киберустойчивости для многих является приоритетной задачей. Несмотря на изменения, требуется быть готовым к актуальным угрозам, не быть заложником логики или скорости обновления контента продуктов. Самым распространенным на рынке проявлением интеллектуальности продуктов является их способность выявлять аномальное/нестандартное поведение контролируемых элементов. Ведь любой инцидент — это всегда отклонение от нормального поведения (не стоит правда забывать, что не любое отклонение является инцидентом). Подобные решения могут быть универсальными, либо специализированными. Первые хорошо масштабируются, работают как универсальная платформа, реализуя различные запросы ИБ для анализируемых данных. Вторые позволяет реализовывать те или иные алгоритмы в составе продукта, зачастую являясь его модулем и опираюясь на обрабатываемые продуктом данные.
Но я не думаю, что есть много компаний, способных собрать и удержать команду дата-сайентистов, аналитиков ИБ, инженеров, разработчиков соблюдая при этом принцип экономической эффективности.
Отдельно стоит выделить готовность производителя оперативно реагировать на запросы клиентов и предсказуемость вендора. Пожалуй, нет ни одного российского производителя, который сказал бы, что не готов к этому, но важно, чтобы за этим следовали реальные действия. Если у вас есть возможность проанализировать дорожные карты развития продуктов за несколько предыдущих лет – все встанет на свои места.
Сложности выбора: такие решения существуют?
В портфеле NGR Softlab представлены продукты, которые закрывают комплекс задач информационной безопасности и обладают свойствами эффективных решений:
Dataplan ― интеллектуальная платформа для решений задач ИБ. С помощью этого продукта вы можете существенно расширить аналитические возможности подразделения ИБ: можно подключать любые данные, анализировать любые сущности, добавлять новые модели. Для выявления аномалий уже есть готовый модуль поведенческой аналитики (UBA/UEBA), который позволяет настроить профили и логику работы с помощью мышки в несколько кликов.
SIEM-система Alertix. Все функции доступны через API, возможно подключение внешних хранилищ, корреляция без нормализации (работа с нечеткой логикой), выявление аномалий пользователей, хостов и процессов.
Система управления привилегированным доступом (Privileged Access Management, PAM) Infrascope. Infrascope имеет модуль автоматизации задач, богатый API, контроль через политики и гибкие сценарий применения. Есть модуль поведенческой аналитики.
Кроме того, Alertix и Infrascope имеют сценарии применения без использования интерфейса. API и средства автоматизации способны превратить эти продукты в идеальных помощников вне зависимости от масштабов инфраструктуры и сложности ваших бизнес-процессов, о существовании которых знают только профильные администраторы.
Заключение
Состояние неопределенности требует от CISO более взвешенного подхода при стратегическом планировании и выборе решений, на которые он готов опираться в своей работе. Наряду с функциональными и нефункциональными характеристиками продуктов необходимо рассматривать ряд свойств способных сформировать стратегическое преимущество для подразделения и компании в будущем.