BIS Journal №1(44)/2022

4 апреля, 2022

Управлять не умеем мониторить. Заметки безопасника

Известное «казнить нельзя помиловать» как нельзя лучше применимо к ситуации в службах информационной безопасности. При очередном стимуле извне – регуляторном окрике или приходе новой технологии – службы ИБ начинают метаться, задаваясь вопросом: управлять или мониторить?

Вопрос можно назвать вечным. Например, автор сталкивается с его многочисленными реинкарнациями и их пульсирующими следами ещё с 2003 года и начинает считать его всё более одиозным, то есть не столько вечным или вечно актуальным, сколько опасно навязчивым для нервной системы безопасника.

Итак, управлять или мониторить? Для примера возьмём Active Directory, в работе которой иностранный регулятор нашёл недостатки, и служба ИБ иностранной компании раздумывает, не взять ли её под управление.

 

Управлять не умеем, мониторить. ЗА

  • службы ИБ обычно не имеют достаточного масштаба (сил и средств) для поддержки 24 на 7 ключевых ИТ-сервисов;
  • по этой же причине у служб ИБ, как правило, не развиты эксплуатационные процессы, нет круглосуточной поддержки и практически отсутствует культура uptime-fist;
  • управление ИТ-сервисами размывает фокус информационной безопасности и перегружает и так перегруженного CISO.

 

Управлять не умеем, мониторить. ПРОТИВ

  • уровень формализации процессов поддержки силами ИТ не всегда позволяет доказать регуляторам, что управление ключевыми сервисами авторизации и аутентификации происходит профессионально;
  • замедление времени реагирования на инциденты.

 

Управлять, не умеем мониторить. ЗА

  • найти инженеров по управлению Active Directory гораздо проще, чем SOC-аналитиков;
  • SOC может иметь очередь use cases на годы вперёд и без детальной проработки Active Directory (как цинично для многих технических экспертов это ни звучит);
  • лучший контроль за загрузкой инженеров Active Directory повысит вероятность наличия у них времени на тщательное ухаживание за своим AD-огородом.

 

Управлять, не умеем мониторить. ПРОТИВ

  • мониторить всё равно надо учиться, и делать это быстро – систем всё больше, и все на управление не возьмёшь;
  • инфраструктурная точка отказа в управлении – это неблагодарная работа и бессонные ночи, когда отказ всё же случается.

 

В целом можно и управлять, и мониторить, важно помнить два момента. Первый – решение это нужно принять с коллегами, которые, если что, подставят плечо или будут решать ситуацию, если наша служба ИБ её не потянет. И второй – CISO должно быть комфортно жить с этим решением, поэтому лично я по умолчанию выбрал бы «управлять не умеем, мониторить».

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных