Wednesday, April 20, 2016

Tuesday, April 19, 2016

Соответствие Спроса и Предложения

Так сложилось, что сегодня, общаясь с приятелями, я в разном контексте и абсолютно от разных людей услышал, по сути, один вопрос - почему, несмотря на то, что мы все тут CISO встречаемся и, вроде как, друг друга понимаем, читаем одни и те же книжки, однако, как правило, на предприятии все наоборот: культивируем перегибы, охотимся на ведьм, осваиваем бюджеты, вместо решения конкретных задач... - в общем, делаем типовые действия по инерции, ошибочность которых вполне очевидна. Я не раз утверждал, что Умный учится на своих ошибках, и поэтому не отвергаю необходимость хождения по граблям, однако, сколько же можно делать одно и то же!? А ответ прост - столько, сколько соответствует нашему пониманию. К сожалению, единственный инструмент дифференциации "правильно" от "неправильно" - это наше понимание действительности, этакая наша собственная Модель зрелости. Говоря максимально предметно: чтобы понимать, что "правильно" - это  на самом деле правильно ("правильно" - то, что лучше адаптировано к фактической действительности), нужно иметь определенную Модель зрелости, наша Модель зрелости - характеризует нашу способность выбирать из возможных вариантов развития наиболее правильный. В целом, это то же, что опыт и профессионализм, однако мысль поста - другая, а именно - для осознания действительной необходимости того  или иного продукта (не важно, будь то коробка или сервис) нужно иметь определенную Модель зрелости. Не достигнув определенной модели зрелости мы не будем в состоянии выбрать правильный продукт, а если даже выберем, мы не сможем его использовать эффективно. Как не странно на первый взгляд, второй исход для производителя еще более неудачен - его продукт будет неэффективен и никто не будет разбираться в причинно-следственной связи о том, что его не умеют использовать, или используют неправильно, или не использую вовсе. Тень неудачи продукта в конкретном случае упадет на производителя и мы получим эффект отсутствующей плитки.

В то время, когда я поступал в институт, на вступительных экзаменах по математике к разряду сложных относилась задача на минимизацию чего-либо: дана какая-то геометрическая фигура, в ней проведены какие-то замысловатые линии, которые соединены каким-то отрезком, задача - определить минимальный этот отрезок. В целом, в математике есть неплохой инструмент для эффективного решения таких задач - производная. В основной программе школы в то время (сейчас не знаю) не было производной, поэтому абитуриент был не обязан это знать, и вынужден был решать задачу геометрически... такое решение, безусловно, можно было бы найти, однако это более чем неэффективно и по трудозатратам и по "красоте", но можно, хотя и больше напоминало бы историю о необходимости спалить лес для приготовления яичницы. Я был "продвинутым" и в 11-м классе я знал что  такое производная и как этим пользоваться, поэтому задача для меня свелась к построению функции и ее исследованию через производную.

Ровно также и в жизни: чтобы приобретать эффективные продукты (сервисы и\или технологии) надо, как минимум, понимать что они есть и в чем их эффективность перед другими, возможно, имеющими даже аналогичную классификацию, а дополнительно - надо уметь ими правильно пользоваться, чтобы продукт раскрывался на все 100% своего функционала, показывая максимальную эффективность и результативность. 
К сожалению, как невозможно первокласснику объяснить все преимущества производной, так и безопаснику на определенном уровне своей Модели зрелости невозможно объяснить необходимость того или иного продукта. Очень важно понимать, что это и не хорошо и не плохо. Очевидно, почему это плохо, - потому что действительно качественные решения остаются аутсайдерами, поскольку способность понимания этого качества предъявляет определенные требования к потребителю, который действительно должен быть профессионалом. Но это и не плохо, поскольку, как я отмечал выше, профессиональный инструмент в неумелых руках, как минимум, не приносит ожидаемого эффекта (что плохо для производителя!!), а, как максимум, может сотворить беду, поэтому пускай лучше автоматом пользуется тот, кто умеет из него стрелять, а мартышка никогда не примеряет очки.
Еще один важный момент для понимания, что, как правило, руководитель имеет команду, соответствующую ему по пониманию действительности. Относительно этого поста это означает, что, как правило, и руководитель и подчиненный имеют одну Модель зрелости. Различие в Модели зрелости приведет к тому, что либо подчиненный сам уволится, потеряв надежду выровнить с собой руководство, либо руководство уволит невыравниваемого с собой подчиненного. Работающие долго команды, как правило, имеют одну Модель зрелости. Это не стоит понимать буквально, что набор предметных знаний руководителя и подчиненного одинаков, но он эквивалентен с учетом уровня позиции. Поясню проще: CEO подбирает CISO эквивалентного своей Модели зрелости в области безопасности на уровне CEO, т.е. если для CEO безопасность - это антивирус, на позицию CISO будет взят человек с таким же концептуальным пониманием, но, может быть, с более глубокими техническими знаниями, например, тот, кто был админом антивируса в бэкграунде. CISO, который будет "на другой волне" не пройдет по квалификационным требованиям, даже если он будет говорить правильные вещи, очевидные с точки зрения более высокого уровня Модели зрелости (понятно, что под уровнем Модели зрелости здесь следует понимать степень приближенности к фактической действительности). Здесь этот несчастный, своеобразная белая ворона, может быть сравним с Гигантами прошлого, чьи изобретения и произведения искусства опережали свое время и не были по достоинству оценены при жизни авторов.
В общем, идея понятна, теперь давайте разберемся что же можно сделать творцам шедевров, чтобы потребителям, находящимся на уровне ВАЗ2106 уметь предоставлять BMW5.
1. Если вопрос себестоимости просто не стоит (понятно, что делать BMW дороже чем Жигули), то можно про BMW говорить категориями, применимыми к Жигулям. Т.е. свой высокотехнологический продукт продавать в "обертке", понятной потребителю (~махорка американская). Понятно, что для разного потребителя "обертка" будет разная. Причем здесь нет никакой лжи - это аналогично изложению на понятном языке.
2. Если вопрос себестоимости стоит, то здесь надо бить на компоненты и группировать их в пакеты, соответствующие разным Моделям зрелости. При переходе на новую Модель - предлагать новые фичи. Да, да, комплектации продуктов надо компановать не только на основе каких-то сценариев использования, но и на основе потребностей (способностей понимания, Модели зрелости) потенциального клиента. Не надо предлагать сигары тому, кто курит махорку и т.п.
3. Ну и, конечно, надо бороться с невежеством. В понятной доступной форме объяснять проблематику и рассказывать о том, как эти проблемы могут быть решены - так будет повышаться Модель зрелости потребителя, и это позволит нам всем в целом повысить среднюю Модель зрелости в отрасли и тем самым сделать Мир лучше!


Friday, April 15, 2016

Аутсорсинг мониторинга и реагирования на инциденты

Вчера общался с коллегами на тему SOC.
Наиболее любопытной мне показалась все еще актуальная проблема распространенности категоричного взгляда на вещи. Да, мы все постоянно твердим, что Мир не черный или белый, а серый, причем весьма неравномерно. Однако, эта простая аналогия, почему-то, не способствует вытеснению безапелляционных мнений о невозможности аутсорсинга безопасности, или ИТ, или их части.

Известно мнение о принципиальной разнице подхода Великих и Обычных. Обычный - находит в себе слабые стороны и пытается их развить до среднего уровня. Великий - пытается найти в себе сильные стороны и развить их до максимально возможного совершенства. Нетрудно догадаться, что стратегия Великих дает больший результат с несравненно меньшими усилиями. Однако, почему-то, классическая литература и классическое образование культивирует в нас мнение, что надо идти путем Обычных: находить в себе слабости и пытаться с ними бороться.... Далее не хочется эту развивать на масштабы истории и будущего Человечества, - может, как-нибудь позже я об этом порассуждаю, сделав очередной общественно-значимый пост, возможно, и без очевидной связи с ИБ.

Из этой, т.н. "Стратегии Великих", важно понять, что принцип использования и развития сильных сторон актуален и применительно к аутсорсингу. Не надо заниматься тем, что не есть ваша сильная сторона, и сокрушаться по этому поводу. Особенно неразумно этим заниматься, если есть кто-то доступный, кто делает это много лучше. Но правильно заниматься тем, что является вашей сильной стороной или тем, что никто кроме вас не сделает. Последнее (на всякий случай сделал его курсивом) должно стать принципом вашего планирования развития.

Не надо заниматься анализом малвари самому, когда есть антималварные вендоры, которые делают это много лучше. Не надо бороться с проблемами мировой кибер-безопасности, но займитесь своими внутренними делами. С профессионалами должны иметь дело профессионалы. С вас достаточно умения поставить задачу и принять результат. Да, это предполагает определенные знания, но, я вас уверяю, их недостаточно, чтобы это делать самому на профессиональном уровне.

Итак, что же получается. 
Сильные стороны интерпрайзной ИБ: 
- она знает чего боится - понимая свои корпоративные бизнес-процессы она понимает что критично, может правильно расставить приоритеты и сформулировать цели;
- она знает свою инфраструктуру и приложения, что позволяет понять потенциальное "поле боя";
- она знает своих работников - вопросы кадровой безопасности, лояльности сотрудников очень важны и это обязательно следует анализировать (немного этой темы я коснулся здесь);
Очевидно, что все эти сильный стороны корпоративной ИБ - слабые стороны аутсорсера, но, с другой стороны, профессиональный сервис:
- видит глубже и шире проблему, поскольку у него больше опыта, он от большего количества клиентов имеет данные, поэтому "новая" для вас атака, может быть известной для профессионального сервиса, а вместе с тем известным станет и контекст атаки - цели атакующего, инструменты, TTP; да и вообще, понимание того видите ли вы атаку или легальную активность для профессионального сервиса много четче;
- профессионален в специальных областях: пентест, реверс, форенсика, анализ малвари и т.п., поскольку эти ребята изо дня в день это делают, и это - их основная работа.

Проанализируйте свои возможности и возможности потенциальных аутсорсеров под призмой развития сильных сторон, думаю, это поможет вам определиться с вопросом где проходит граница между "делать самому" и "купить на рынке".