BIS Journal №1(44)/2022

4 апреля, 2022

Управлять не умеем мониторить. Заметки безопасника

Известное «казнить нельзя помиловать» как нельзя лучше применимо к ситуации в службах информационной безопасности. При очередном стимуле извне – регуляторном окрике или приходе новой технологии – службы ИБ начинают метаться, задаваясь вопросом: управлять или мониторить?

Вопрос можно назвать вечным. Например, автор сталкивается с его многочисленными реинкарнациями и их пульсирующими следами ещё с 2003 года и начинает считать его всё более одиозным, то есть не столько вечным или вечно актуальным, сколько опасно навязчивым для нервной системы безопасника.

Итак, управлять или мониторить? Для примера возьмём Active Directory, в работе которой иностранный регулятор нашёл недостатки, и служба ИБ иностранной компании раздумывает, не взять ли её под управление.

 

Управлять не умеем, мониторить. ЗА

  • службы ИБ обычно не имеют достаточного масштаба (сил и средств) для поддержки 24 на 7 ключевых ИТ-сервисов;
  • по этой же причине у служб ИБ, как правило, не развиты эксплуатационные процессы, нет круглосуточной поддержки и практически отсутствует культура uptime-fist;
  • управление ИТ-сервисами размывает фокус информационной безопасности и перегружает и так перегруженного CISO.

 

Управлять не умеем, мониторить. ПРОТИВ

  • уровень формализации процессов поддержки силами ИТ не всегда позволяет доказать регуляторам, что управление ключевыми сервисами авторизации и аутентификации происходит профессионально;
  • замедление времени реагирования на инциденты.

 

Управлять, не умеем мониторить. ЗА

  • найти инженеров по управлению Active Directory гораздо проще, чем SOC-аналитиков;
  • SOC может иметь очередь use cases на годы вперёд и без детальной проработки Active Directory (как цинично для многих технических экспертов это ни звучит);
  • лучший контроль за загрузкой инженеров Active Directory повысит вероятность наличия у них времени на тщательное ухаживание за своим AD-огородом.

 

Управлять, не умеем мониторить. ПРОТИВ

  • мониторить всё равно надо учиться, и делать это быстро – систем всё больше, и все на управление не возьмёшь;
  • инфраструктурная точка отказа в управлении – это неблагодарная работа и бессонные ночи, когда отказ всё же случается.

 

В целом можно и управлять, и мониторить, важно помнить два момента. Первый – решение это нужно принять с коллегами, которые, если что, подставят плечо или будут решать ситуацию, если наша служба ИБ её не потянет. И второй – CISO должно быть комфортно жить с этим решением, поэтому лично я по умолчанию выбрал бы «управлять не умеем, мониторить».

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.11.2023
Хакеры провели почти 290 тысяч успешных атак на клиентов банков
28.11.2023
«Тинькофф» запретил сотрудникам работать из других стран. Но есть исключения
28.11.2023
300 млрд рублей к 2027 году. В России появится акселератор для вывода игр за рубеж
28.11.2023
До 2030 года Россия потратит 25 млрд рублей на развитие кибербеза
28.11.2023
Клиенты банков теперь смогут переводить средства за рубеж через СБП
27.11.2023
Нацпроект профинансируют за счёт новых акцизов и сборов
27.11.2023
ЛК — о росте числа скамерских атак на российских бухгалтеров
27.11.2023
Роскомнадзор разъяснил порядок функционирования системы «Антифрод»
27.11.2023
Как банкам и бизнесу защитить недвижимость с помощью еженедельного мониторинга
27.11.2023
В России появится единая социальная цифровая платформа

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных