BIS Journal №1(48)2023

9 марта, 2023

«На уровне организации киберразведка нецелесообразна»

НА УРОВНЕ КОРПОРАТИВНОЙ ИБ

Если размышлять о том, каким образом повысить осведомлённость специалистов компании о происходящем в сфере корпоративной ИБ, стоит принимать во внимание ряд соображений. 

Во-первых, роль человеческого фактора. Часто именно люди становятся тем фактором, который приводит к краже или компрометации корпоративных данных. Поэтому повышение именно их осведомлённости должно стать одним из обязательных инструментов ИБ. Причём работу следует вести по нескольким направлениям сразу. С одной стороны, рассказывать об угрозах ИБ, о методах, используемых злоумышленниками, о том, как их можно избежать, как проверять получаемую информацию. С другой стороны, информировать об ответственности за утечку информации, об использовании средств контроля информационных потоков. Вместе это должно удержать от неблаговидных поступков как халатных сотрудников, так и нелояльный персонал, готовый сливать данные. 

Во-вторых, не стоит преувеличивать значение данных, добываемых с помощью технических систем, например, за счёт анализа ресурсов Darknet и открытого интернета — всего того, что сегодня называют киберразведкой. 

Киберразведка — это специфическая деятельность, требующая ресурсов и особых компетенций от сотрудников. На практике она не всегда целесообразна и часто не окупается. По крайней мере, не для каждого вендора и не для каждого сегмента. Если же говорить о борьбе с внутренними угрозами, гораздо полезнее будет информация из курилки. Ежедневная деятельность специалистов по ИБ не требует глубокого погружения в тему киберразведки и постоянного мониторинга даркнета. Даже если это реализовать, не будет много пользы от полученной информации. 

Гораздо интереснее выглядит идея объединения сведений из различных источников в рамках центров реагирования на киберугрозы, к которым подключено значительное число крупных организаций. Вероятность довести нужные сведения до целевого адресата в этом случае будет гораздо выше. 

В-третьих, помимо киберугроз, приходящих извне, для компании имеют значение различные аспекты экономической безопасности. Идея объединения разных аспектов безопасности под единым «зонтиком» одной системы вполне логична: смешение функциональности продуктов различных классов и даже размытие границ самих классов представляется мне естественным в стремлении обеспечить комплексную защиту корпоративных ресурсов. 

 

ВЕКТОР ИНТЕГРАЦИИ СИСТЕМ

Сегодня стоит говорить о векторе создания экосистем для обеспечения безопасности от различных угроз. Никаких методологических препятствий для этого я не вижу. Наоборот, это правильно, поскольку помогает выстраивать бесшовную защиту, обогащать данные, а использование общих архивов данных ещё и позволяет экономить на создании и обслуживании хранилищ. 

Это не только даёт единый для всех продуктов интерфейс и политики безопасности, но и в некоторых случаях обеспечивает синергический эффект. Как, например, использование DLP и DCAP-систем: от них можно получить пользу и по отдельности, но лишь совместно они дадут полную картину использования корпоративных данных, а также помогут защитить их от широкого спектра внутренних угроз. 

Что касается конкретной конфигурации технического решения, предназначенного для сбора информации о различных угрозах, она будет разной для разных организаций. Вряд ли можно предложить универсальный набор, который закрывал бы все потребности разных компаний и при этом не был избыточным для тех или иных организаций. Высокая стоимость не только самих инструментов ИБ, но и особенно их эксплуатации неприемлема для многих компаний и требует избирательного подхода к выбору средств. 

 

О ПРОБЛЕМАТИКЕ ДАННЫХ

Отдельный вопрос — структурирование потоков разнородных исходных данных, приходящих из различных источников. Технически можно объединить потоки под одной оболочкой, но собранные в рамках киберразведки сведения сами по себе являются очень разными, не всегда понятна их применимость, а потому будет затруднено и структурирование данных. Здесь одна из ключевых проблем — формализация самой информации. Плюс консолидация и взаимное обогащение данных.

Обогащение данных — один из трендов корпоративной безопасности — часто используется для получения дополнительной информации. В данном случае сопоставление может происходить на базе любых идентификаторов, адресов, событий, географии и др. 

Однако сам выбор полезных потоков данных (фидов) представляет собой отдельную задачу. Я уверен, что только опыт может дать ответ, какие полезны, а какие нет. Причём это зависит не только и не столько от самих фидов, сколько от организации, их использующей, профиля её деятельности, сценариев использования. То, что будет полезным для одних, может оказаться ненужным для других. При этом я бы предостерёг от сбора избыточных данных, подписки на множество источников, особенно при ограниченности собственных ресурсов. Специалисты просто не будут успевать обрабатывать полученную информацию. Можно привести пример с подписками в мессенджерах: вначале радует обилие полезных каналов, но в какой-то момент перестаёшь их отслеживать, и вся информация уходит мимо. 

 

ПРО АВТОМАТИЗАЦИЮ ИНТЕГРИРОВАННОЙ АНАЛИТИКИ

При всех достижениях в области сбора и обработки данных из различных источников человек остаётся важнейшим компонентом системы анализа всех собираемых данных, особенно в случаях, когда обрабатывается плохо формализуемая информация. Однако полагаться только на возможности человека нельзя, ведь объёмы получаемой информации часто превосходят ресурсы обычного специалиста, с учётом кросс-задач, усталости и других человеческих факторов. Поэтому оптимальный подход предполагает автоматизацию базовых рутинных процессов и интеллектуальную работу специалистов. 

А для обеспечения оперативной реакции на выявленные потенциальные угрозы нужно выполнить несколько базовых условий:

  • отработанные правила реагирования для различных ситуаций;
  • корректно настроенные автоматизированные сенсоры, которые бы создавали тревожные оповещения (alerts);
  • квалифицированные специалисты, наделённые нужными полномочиями.

Этого во многих случаях будет достаточно.

 

СПЕЦИФИКА ВНЕДРЕНИЯ АНАЛИТИЧЕСКИХ РЕШЕНИЙ

Специфические особенности организации сказываются, в частности, на внедрении аналитических решений безопасности в существующую структуру ИТ-систем. Более того, вряд ли при этом можно говорить о каких-либо типовых решениях. Условно «типовые» системы — это скорее удел слаборазвитых систем корпоративной безопасности. А в большинстве организаций — свои системы и свои подходы к её обеспечению. Так, для крупного рознично-ориентированного бизнеса и небольшой производственной компании результаты работы аналитических систем и вложений в киберразведку могут кардинально различаться.

Внедрение аналитических, да и любых других, компонентов в уже выстроенную экосистему почти всегда будет нетривиальной задачей. Возможно, удастся отказаться от некоторых избыточных и дублирующих компонентов, но это не будет просто даже на уровне переучивания персонала, который с ними работает. Более того, на практике встречаются ситуации, когда некоторые классы корпоративной ИБ, имеющие схожую функциональность, продолжают работать в общей среде. Это всё — издержки насыщения инструментами безопасности корпоративных сетей и использования продуктов разных разработчиков. А в отдельных случаях дублирование выстроено намеренно для повышения общей устойчивости системы. 

Аналитические решения сложно отнести к классу утилитарных инструментов, коими являются многие продукты корпоративной безопасности. Их внедрение говорит об особом подходе, который принимает организация. Поэтому в большинстве случаев потребуются изменения в регламентах и квалифицированные кадры для работы. Эффективными же они могут быть, если организация ясно представляет, какую информацию планирует собирать и как её использовать. В противном случае вся затея может оказаться пустой или даже обременительной тратой денег. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

12.11.2024
Правкомиссия одобрила проект поправок о налогообложении криптотранзакций
12.11.2024
Хакер сёрфит на утечке. Волновой эффект инцидента MOVEit Transfer всё ещё силён
12.11.2024
Иранские хакеры DDoS-ят израильскую финансовую инфраструктуру
11.11.2024
Расходы на российские софт и хард зачтут с двойным коэффициентом
11.11.2024
Минцифры (не) меняет правила. Как поправки играют сразу в обе стороны
11.11.2024
RED Security: ИБ стала обязательным элементом устойчивого развития бизнеса
11.11.2024
Консорциум для исследований безопасности ИИ-технологий принял сразу четыре новые организации
11.11.2024
Русы и персы. Первая стадия интеграции «Мир» и Shetab запущена
11.11.2024
Этика vs. деньги. Должны ли «белые шляпы» выбирать
08.11.2024
В Совфеде прошёл круглый стол на тему страхования киберрисков при утечке ПДн

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных