Здравствуйте уважаемые читатели, недавно думал на тему применимости различных услуг в области ИБ и вот что получилось.
В настоящее время многие разработчики предлагают централизованные решения по контролю состояния информационной безопасности и выявлению вредоносной (хакерской) активности в информационных системах компаний и организаций следующего характера:
- у потребителя услуги устанавливается устройства, выступающее в роли агента, собирающего информацию обо всех событиях в информационной системе (полностью или выборочно, зависит от решения) компании, по мере необходимости устройства могут быть дополнены программными агентами устанавливающимися непосредственно на компоненты ИТ-инфраструктуры;
- полученная информация передается на сервера компании, предоставляющей услугу;
- на серверах компании, используя базу знаний организации и опыт ее специалистов, из всего объема информации выделяется вредоносная (хакерская) активность, а так же события, которые могут вызвать негативные последствия для компании потребителя услуги, затем производится разбор этих инцидентов;
- потребителю в реальном времени оказываются услуги по ликвидации последствий или противодействию выявленным угрозам.
Подобного рода продукты имеются у Cisco (Sourcefire), Check Point, Palo Alto Networks и Symantec.
В таком подходе, есть, конечно же, значительные плюсы:
- потребителю услуги нет необходимости досконально разбираться во всех нюансах проблематики обеспечения информационной безопасности, он сразу получает готовое решение, причем практически не тратиться на поддержку его работоспособности (однозначно меньшие затраты на содержание персонала по ИБ; заплатив раз потребитель получает уже готовый комплекс средств и технологий, а не вынужден приобретать все время новые и новые элементы (ну только затраты на обновление решения и техническую поддержку);
- удобное увеличение и масштабирования функционала такой услуги. В зависимости от потребностей Заказчик может расширить услугу по мониторингу и реагированию на необходимые компоненты ИТ-инфраструктуры. Задача Заказчика сказать – «Хочу», а компетентные компании предложат варианты решения этой задачи. В этой связи всё более плотная интеграция средств и систем защиты между собой играет на руку поставщику услуг и ускоряет процесс внедрения.
- компания, предоставляющая подобную услугу, однозначно должна иметь обширную базу знаний и разбора инцидентов в области информационной безопасности, кроме того в ее штате находятся специалисты, уровень подготовки и практические навыки которых позволяет им грамотно реагировать на те или иные нарушения требований информационной безопасности и действия хакеров и потребителю услуги нет необходимости содержать в своем штате значительного количества сотрудников, расследующих инциденты информационной безопасности и разрабатывающих меры по противодействию действиям нарушителей.
Но есть и минусы от реализации такого подхода. Нет, это не слабость технологии или ее практической реализации. Основной минус - это зависимость потребителя услуги от принятого поставщиком услуги решения, как рассматривать то или иное событие, как инцидент или как рядовое событие. Кроме того поставщик может быть заинтересован в «замалчивании» отдельных инцидентов по умыслу или по принуждению. Хотелось бы обратить внимание, что все эти продукты предлагаются в основном иностранными вендорами. С учетом сложившейся внешнеполитической ситуацией и возможными санкциями по отношению к нашей стране, имеются значительные риски в реализации данных решений.
К таким рискам можно отнести:
- умышленное «замалчивание» выявленных поставщиком услуг инцидентов информационной безопасности или их неверное толкование;
- настройка агентов на мониторинг событий, не несущий серьёзной опасности для бизнес-процессов компании по причине или халатного отношения к работе или нежелания глубоко вникать в организацию работы Заказчика, а желания быстро штамповать шаблонные решения;
- введение в заблуждение потребителя услуги об опасности его информационным ресурсам в ходе реализации того или иного, выявленного агентом инцидента и/или события;
- возникает вопрос доверия к поставщику услуги. Этот вопрос может быть выражен как в обеспечении конфиденциальности, так и в обеспечении доступности услуги. Заказчик должен быть уверен, что информация об его инцидентах не при каких обстоятельствах не попадёт в третьи руки. И, зачастую, компаниям не достаточно «бумажки», в которой поставщик обязуется обеспечить полную неприкосновенность данных, последние события в мире, а именно санкции против России и информация, опубликованная Э. Сноуденом, заставляют задуматься о ценности таких «бумажек». Также, Заказчик должен быть уверен, что система обработки инцидентов будет доступна и находится в рабочем состоянии 24/7. Факт невозможности проконтролировать работоспособность может отталкивать компании от таких услуг;
- оказание злонамеренного воздействия на информационную систему потребителя услуги с использованием функциональных возможностей внедренных агентов.
В свете изложенного материала стоит обратить внимание на однозначную заинтересованность отечественных вендеров в разработке подобного рода решений. Но некоторые решения отечественных разработчиков опираются, к сожалению, опираются все-таки на серверы и центры принятия решения, находящиеся «за рубежом». А такой подход не снимает ранее указанных рисков. Поэтому особый интерес у потребителей подобного рода услуги в области информационной безопасности логично будут вызывать отечественные поставщики, использующие собственные центры обработки событий и анализа на территории Российской Федерации.
В завершении хотелось бы заметить, что отечественными компаниями пока это направление развивается незначительно. Этому есть свои причины:
- большинство компаний, работающих с государственным сектором, проявляют слабый интерес к такому направлению деятельности. Их работы «вращаются» в части выполнения требований по информационной безопасности, определенных регуляторами, а в руководящих документах такой подход к вопросам обеспечения информационной безопасности практически не описан и требования по построению такой системы взаимодействия нет;
- большинство отечественных решений, в том числе сертифицированных, предназначены для своевременного выявления предпосылок возникновения инцидентов (различных видов уязвимостей), они не реализуют полный цикл действий по управлению инцидентами;
- у мелких и средних компаний зачастую отсутствует вообще какая-нибудь заинтересованность в обеспечении информационной безопасности до тех пор, пока из-за действий нарушителей компания не понесет ощутимые финансовые потери;
- крупные компании, которые могли бы заинтересоваться подобными проектами, зачастую «стесняются» раскрывать свои инциденты информационной безопасности посторонним, либо, с учетом участия иностранных центров обработки информации об инцидентах, не торопятся разворачивать у себя подобные решения.
Хотя по сути, подобного рода решения являются довольно «удобными» для отдельно взятой компании в качестве средства закрытия большинства угроз информационной безопасности ее ресурсам, не требующих от компании значительных затрат на постоянное поддержание своих информационных ресурсов в защищенном состоянии.
Автор: as1x