BIS Journal №1(44)/2022

4 апреля, 2022

Управлять не умеем мониторить. Заметки безопасника

Известное «казнить нельзя помиловать» как нельзя лучше применимо к ситуации в службах информационной безопасности. При очередном стимуле извне – регуляторном окрике или приходе новой технологии – службы ИБ начинают метаться, задаваясь вопросом: управлять или мониторить?

Вопрос можно назвать вечным. Например, автор сталкивается с его многочисленными реинкарнациями и их пульсирующими следами ещё с 2003 года и начинает считать его всё более одиозным, то есть не столько вечным или вечно актуальным, сколько опасно навязчивым для нервной системы безопасника.

Итак, управлять или мониторить? Для примера возьмём Active Directory, в работе которой иностранный регулятор нашёл недостатки, и служба ИБ иностранной компании раздумывает, не взять ли её под управление.

 

Управлять не умеем, мониторить. ЗА

  • службы ИБ обычно не имеют достаточного масштаба (сил и средств) для поддержки 24 на 7 ключевых ИТ-сервисов;
  • по этой же причине у служб ИБ, как правило, не развиты эксплуатационные процессы, нет круглосуточной поддержки и практически отсутствует культура uptime-fist;
  • управление ИТ-сервисами размывает фокус информационной безопасности и перегружает и так перегруженного CISO.

 

Управлять не умеем, мониторить. ПРОТИВ

  • уровень формализации процессов поддержки силами ИТ не всегда позволяет доказать регуляторам, что управление ключевыми сервисами авторизации и аутентификации происходит профессионально;
  • замедление времени реагирования на инциденты.

 

Управлять, не умеем мониторить. ЗА

  • найти инженеров по управлению Active Directory гораздо проще, чем SOC-аналитиков;
  • SOC может иметь очередь use cases на годы вперёд и без детальной проработки Active Directory (как цинично для многих технических экспертов это ни звучит);
  • лучший контроль за загрузкой инженеров Active Directory повысит вероятность наличия у них времени на тщательное ухаживание за своим AD-огородом.

 

Управлять, не умеем мониторить. ПРОТИВ

  • мониторить всё равно надо учиться, и делать это быстро – систем всё больше, и все на управление не возьмёшь;
  • инфраструктурная точка отказа в управлении – это неблагодарная работа и бессонные ночи, когда отказ всё же случается.

 

В целом можно и управлять, и мониторить, важно помнить два момента. Первый – решение это нужно принять с коллегами, которые, если что, подставят плечо или будут решать ситуацию, если наша служба ИБ её не потянет. И второй – CISO должно быть комфортно жить с этим решением, поэтому лично я по умолчанию выбрал бы «управлять не умеем, мониторить».

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.10.2024
Ответственен ли TikTok за влияние на выборы? Узнаем в ноябре
04.10.2024
Банки смогут блокировать вызывающие подозрение операции с цифровым рублём
04.10.2024
Роскомнадзор присмотрится к серийной передаче ПДн россиян за рубеж
04.10.2024
Банк России: НСПК — арбитр в системе универсального QR-кода
04.10.2024
Технология NASA позволит обмениваться HD-видео с марсианами
03.10.2024
ООО на смарт-контрактах. Минфин даст дорогу киберпредпринимателям
03.10.2024
Банк России прописал требования по работе с ГИС электронного правительства
03.10.2024
В госсекторе удвоился спрос на серверы для работы с ИИ
03.10.2024
Банкиры будут проверять ментальное состояние потенциальных заёмщиков?
03.10.2024
Девиз кибергода в Европе — ThinkB4UClick. На повестке — борьба с социнженерами

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных