BIS Journal №1(44)/2022

4 апреля, 2022

Управлять не умеем мониторить. Заметки безопасника

Известное «казнить нельзя помиловать» как нельзя лучше применимо к ситуации в службах информационной безопасности. При очередном стимуле извне – регуляторном окрике или приходе новой технологии – службы ИБ начинают метаться, задаваясь вопросом: управлять или мониторить?

Вопрос можно назвать вечным. Например, автор сталкивается с его многочисленными реинкарнациями и их пульсирующими следами ещё с 2003 года и начинает считать его всё более одиозным, то есть не столько вечным или вечно актуальным, сколько опасно навязчивым для нервной системы безопасника.

Итак, управлять или мониторить? Для примера возьмём Active Directory, в работе которой иностранный регулятор нашёл недостатки, и служба ИБ иностранной компании раздумывает, не взять ли её под управление.

 

Управлять не умеем, мониторить. ЗА

  • службы ИБ обычно не имеют достаточного масштаба (сил и средств) для поддержки 24 на 7 ключевых ИТ-сервисов;
  • по этой же причине у служб ИБ, как правило, не развиты эксплуатационные процессы, нет круглосуточной поддержки и практически отсутствует культура uptime-fist;
  • управление ИТ-сервисами размывает фокус информационной безопасности и перегружает и так перегруженного CISO.

 

Управлять не умеем, мониторить. ПРОТИВ

  • уровень формализации процессов поддержки силами ИТ не всегда позволяет доказать регуляторам, что управление ключевыми сервисами авторизации и аутентификации происходит профессионально;
  • замедление времени реагирования на инциденты.

 

Управлять, не умеем мониторить. ЗА

  • найти инженеров по управлению Active Directory гораздо проще, чем SOC-аналитиков;
  • SOC может иметь очередь use cases на годы вперёд и без детальной проработки Active Directory (как цинично для многих технических экспертов это ни звучит);
  • лучший контроль за загрузкой инженеров Active Directory повысит вероятность наличия у них времени на тщательное ухаживание за своим AD-огородом.

 

Управлять, не умеем мониторить. ПРОТИВ

  • мониторить всё равно надо учиться, и делать это быстро – систем всё больше, и все на управление не возьмёшь;
  • инфраструктурная точка отказа в управлении – это неблагодарная работа и бессонные ночи, когда отказ всё же случается.

 

В целом можно и управлять, и мониторить, важно помнить два момента. Первый – решение это нужно принять с коллегами, которые, если что, подставят плечо или будут решать ситуацию, если наша служба ИБ её не потянет. И второй – CISO должно быть комфортно жить с этим решением, поэтому лично я по умолчанию выбрал бы «управлять не умеем, мониторить».

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

21.06.2024
ЛК: Решение Минторга США способствует развитию киберпреступности
21.06.2024
Минпромторг: Нужно сфокусироваться на защищённых мобильных ОС
21.06.2024
От соцсетей до сайтов госорганов. Минцифры снимает маски с фишеров
21.06.2024
Прокуратура создаёт неприятный для телеком-компаний прецедент
21.06.2024
Тульская компания обворована после целенаправленной фишинговой атаки
20.06.2024
Хакер IntelBroker собирает внушительное «бизнес-портфолио»
20.06.2024
ФАС: Запрет пока не применим к интеллектуальной собственности
20.06.2024
Япония прокладывает скоростную трассу в мир телемедицины и VR
20.06.2024
НСПК подверглась DDoS-атаке. Отмечаются перебои с транзакциями
19.06.2024
Технологический суверенитет: инновации, импортозамещение, кадры

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных