Безопасность - это искусство Компромисса
В прошлый раз мы узнали, что для построения своего Центра компетенции по ИБ (a.k.a. SOC) крайне полезно иметь, как минимум, сетевую доступность до всех обслуживаемых объектов, иначе, централизованно (не обязательно в одну географическую локацию) собрать все логи технически невозможно.
Тем не менее, в силу различных обстоятельств, многие территориально-распределенные корпорации разделяют не только расстояния, но и "воздушные зазоры", "однонаправленные шлюзы", "защищенные межсетевые экраны", "демилитаризованные зоны" и прочие контроли ИБ. Конечно же, резко рушить все эти старательно возведенные границы - неправильно, поскольку, действительно, более или менее без риска можно соединять только сети с одинаковым уровнем ИБ, а сети с разным уровнем ИБ рекомендуется соединять через что-то из указанного выше, например, ДМЗ. В "уровень ИБ", помимо всего прочего, следует включать и уровень сервисов ИБ, т.е. покрытие сервисами ИБ в соединяемых [без препон] сетях должно быть одинаковым. Также, в прошлый раз мы узнали, что одним из простых способов обеспечения единого уровня сервиса ИБ является реализация компонент этого сервиса одной командой. Конечно же, в каждый островок LAN можно высадить по локальной группе ИБ и всех их организовать в одну команду, но это не будет иметь экономической выгоды (ну, конечно же, не беря во внимание социальную ответственность по созданию множества рабочих мест) и едва ли сможет называться Центром компетенции по ИБ, о чем мы тоже узнали в прошлый раз.
И вот здесь - самое время на своем опыте убедиться в том, что Безопасность - это Компромисс - где для Вас больше риска: (1) в отсутствии какого-либо контроля ИБ в изолированных друг от друга островках LAN или (2) использовании облака любимого MSSP с подключением через Интернет? Несмотря на то, что выбор здесь, полагаю, для большинства очевиден, позволю себе все-таки пояснить. Поскольку в островке LAN по-любому есть Интернет, компрометация тамошних систем - риск более чем материальный, а достучаться до него со всей своей ИБ кроме как через Интернет - невозможно, следовательно, собирать логи будем через Интернет. В целом, ничего нового, - все коммерческие SOC-и так и работают - тащат логи к себе в инфраструктуру, где их всячески обрабатывают и рапортуют Заказчику инциденты. Но концептуально здесь наблюдается интересная вещь: различными способами изоляции мы вытеснили сервисы Бизнеса в Интернет, и вместе с ними - сервисы ИБ, а позже выяснили, что агрессивная среда Интернет стала для нашей инфраструктуры средой консолидации, позволяющей строить централизованные сервисы, а "Облако MSSP" - единственный быстрый вариант обеспечения одинакового уровня сервиса мониторинга ИБ для корпорации без единой инфраструктуры, состоящей из островков LAN без сетевой доступности между ними. Кроме этого, есть дополнительные "плюшки" (не беря во внимание, что единое информационное пространство надо еще построить, а на это могут уйти годы, с учетом количества задействованных участников-строителей - человеко-века):
1. Логи в Облако MSSP через Интернет уезжают быстрее, чем если бы они путешествовали по корпоративным WAN-каналам, до централизованного места сбора и анализа.
2. Если из этого же облака MSSP приезжает детектирующая логика, то из Интернет она приезжает быстрее, чем из централизованного места в корпоративной сети, проползая через все имеющиеся шлюзы и WAN-каналы.
3. Тут все преимущества MSSP, который видит не только вашу инфраструктуру, но и другие, поэтому у него тупо больше опыта - он ловит рыбу в разных частях Мирового океана, вы - только в одной своей заводи.
4. Не надо думать, что ваши логи у MSSP в больше опасности, чем у вас. Там люди не менее квалифицированы чем ваши ИТ\ИБ, дополнительно есть догворные обязательства, которые могут более полно отражать ваши риски, чем должностные инструкции ваших работников или работников на удаленных площадках.
В сухом остатке, если вы осознали необходимость операционной безопасности и даже Центра компетенции по ИБ (== SOC), но ИТ-инфраструктура не готова обеспечить вам желаемый уровень централизации, Облако MSSP - отличный быстрый старт, который позволит вам уже сейчас работать в режиме, аналогичном наличию Центра компетенции по ИБ, находясь еще в условиях сетевой "феодальной раздробленности".
3 comments:
Крайне спорно. Чтобы не писать много, сразу почему я бы не отдал свои журналы в облако:
1. Ситуация с необходимостью сокращать издержки приводит к тому, что в российских MSSP будут работать вчерашние студенты, качество которых, как специалистов, сомнительно.
2. Ответственность хорошо прописывается в договорах, но на деле, когда MSSP не выдержит SLA, тому будет миллион причин, каждая из которых будет более чем убедительной.
3. Недавний псевдо-инцидент с утечкой базы Инфовоча (17.4.17), говорит нам о том, что на рынке ИБ, который просто обязан быть наполнен людьми с высокими моральными качествами, на самом деле заправляют обычные манагеры, как те, что пытаются нам втюхать утюг и "удивительное предложение" одномоментно.
Ну и последнее. Если мои островки в интернете, то MSSP для них такой же островок, соответственно задержки в передаче данных ну никак не являются причиной отдаться третьей компании. Отсутствие экспертизы, лень и особенности траты денег - да. Длинна пинга - нет.
Про особенности траты денег - ты не находишь диким, что компании могут потратить ХХХ рублей на приобретение услуг на рынке, но не могут Х на покупку специалиста или выращивание своих?
Описанные тобой риски - типовые риски любого аутсорсинга, которые каждый для себя решает сам. Мы про это много писали, вот одно из последних.
Чем сложнее технологии, тем сложнее делать все самому. И вот тут приходят приоритеты, определение которых - и есть работа нормального "манагера". В бытовых вещах мы уже не делаем многие вещи сами: не строим дома в городе, а покупаем кем-то построенные квартиры, в которых уже, наверно, не делаем сами ремонт, а также потребляем готовые сервисы - отопление, электричество, водоснабжение, канализация; мы не перемещаемся сами между странами и городами, а пользуемся самолетами, поездами, кораблями, приобретая их сервис; мы не чиним сами машины, потому что они стали сложными и даже уже не любой сервис в состоянии починить любую машину, так как нужна квалификация, опыт, инструменты, оборудование; мы не шьем себе одежду; несмотря на очень небольшое и стремительно уменьшающееся количество волос на голове я все же доверяюсь парикмахеру, который, скорее всего "вчерашний студент" (и, скорее, вообще не парикмахер по образованию!) и риск того, что он не выдержит SLA (как по времени, так и по качеству сервиса) весьма материален и все, чем я смогу его наказать - просто не воспользоваться его услугами в будущем; мы доверяемся врачам, которые, порой знают наши самые большие тайны даже лучше нас самих, а догадки об уровне ИБ в медучреждениях позволяет предположить, что для получения доступа к этой информации достаточно желания, об этической стороне вопроса написаны просто миллионы букв, а с их "профессионализмом", думаю сталкивался каждый. В общем, проблемы все те же, просто технологическая эволюция немного опережает майндсет, следствием чего являются подобные, несколько анахроничные, мысли.
Хотя про облака, мы тоже не раз писали, вот снова все о том же :)
Если обобщить все, что ты написал - речь идет о приобретении объекта или услуги, о смене права собственности или о возможности быстро и дешево сменить поставщика.
Когда ты замкнешься на MSSP, это будет очень жесткий вендорлок - коннекторы, форматы логов, способы сбора и поставки, процедуры реагирования. Кроме того, ты должен понимать, что отдашь на сторону всю свою подноготную, например, журналы в которых регистрируется не только попытка неудачного входа, но и пароль, который пробовали...
Есть граница, между тем, что можно отдать в паблик (а отдавая что-то в облако, нужно понимать, что отдаешь это всему интернету, но с некоторыми оговорками) и то, что должно остаться в доме. Именно это я ожидаю увидеть в заметках, в которых призывают переезжать в облака или приобретать аутсорс услуги. У всех эта граница своя, но она должна быть!
Post a Comment