«Нельзя разделять ИБ и IT-operations»

«Нельзя разделять ИБ и IT-operations»

Идея создания такой конфигурации ИТ-решений, которая способна обеспечить осведомлённость об угрозах всех типов, вполне реализуема на практическом уровне. В частности, есть работоспособная концепция сбора и совместного анализа соответствующих данных.

Она уже апробирована рынком и подтверждает свою эффективность. Суть концепции заключается в том, чтобы объединить данные ИТ-инфраструктуры в одном источнике, из которого они будут поступать для решения бизнес-задач ИТ- и ИБ-департаментов. В основе такого решения — единая платформа, которая соберёт данные и сможет управлять конечными точками. Она может выступать источником достоверной информации для ИТ и ИБ, обеспечивать полноту картины информации об ИТ-инфраструктуре, а также молниеносный ответ на изменение в инфраструктуре для ИТ и ИБ.

КЛЮЧЕВАЯ ПРОБЛЕМА

Такой подход решает ключевую проблему рассогласования данных ИТ и ИБ. Действительно, пока ИТ и ИБ пользуются разными инструментами, проблема рассинхронизации данных и дублирования никуда не уйдет, а при использовании единой платформы этого можно избежать. На сегодняшний день это лучшая концепция, её развивают все международные компании, которые так или иначе обеспечивают управление ИТ и ИБ. Пример — решения класса Security Intelligence.

В данном случае Security Intelligence — это концепция, предполагающая возможность собирать данные из разных источников, объединять их и анализировать для целей ИТ и ИБ. Уже есть решения, которые в одном месте самостоятельно собирают данные не только с ИТ-инфраструктуры, но и из различных узлов программного обеспечения, например из файлов, и далее нормализуют и анализируют показатели. Для целей анализа на рынке уже представлено множество инструментов, для сбора данных решений меньше, но они тоже есть.

СТРУКТУРИРОВАНИЕ ПОТОКОВ

Один из важных элементов искомого подхода — структурирование потоков разнородных исходных данных, приходящих из различных источников. В этой части на сегодняшний день есть четыре задачи.

Первая — нормализация данных. Например, в базе название программного продукта может быть как на русском, так и на английском языке, также могут различаться версии ПО. Для принятия качественных управленческих решений данные должны быть нормализованы.

Вторая — идентификация данных и узлов, то есть технологических ИТ-активов. Она также решается системами сбора данных и другими способами, в том числе с применением машинного обучения.

Третья задача возникает на стыке двух предыдущих — поддержание стабильности работы процесса по нормализации входящих данных, их идентификация и объединение. Для этого используются решения, основанные на CASE-методах (Computer-Aided Software Engineering) автоматизации проектирований различных информационных систем. Они показывают высокий уровень производительности, правда, в процессе работы теряют эффективность. Для того чтобы нивелировать этот недостаток, применяется искусственный интеллект.

Так, согласно опыту применения средств iTMan, потеря эффективности производительности составляет в среднем за год 40%, а при использовании искусственного интеллекта — 7%. И это без внесения дополнительных изменений в нормализацию, идентификацию активов. Соответственно, если не использовать искусственный интеллект, понадобятся затраты человеческих ресурсов на поддержание системы идентификации и нормализации данных.

Четвёртая задача — связывание неструктурированных данных. Так, при поступлении информации об одном активе её объединяют с изменениями, которые произошли в другой системе. Например, время старта изменений на одной конфигурационной единице, действия в другой системе и эффект на той же самой конфигурационной единицы через определённый промежуток времени. В системах Business Intelligence задача по связыванию неструктурированных данных уже частично решена.

ЕДИНЫЙ ИСТОЧНИК ИНФОРМАЦИИ

В итоге все усилия по обработке данных из различных источников нужны для работы аналитических ИТ-решений. Для эффективного встраивания аналитических решений безопасности в общую структуру необходима система, которая является единым источником информации, основой для сбора данных и управления изменениями в инфраструктуре, воздействия на внешние системы. Только при её наличии надо начинать строительство всех бизнес-систем и бизнес-решений.

РАБОТА ДВУХ КОМАНД

Компании необходимо сделать аналитическую систему основой, которая собирает данные с инфраструктуры и поставляет их дальше инструментарию обработки либо сама является платформой, на базе которой можно построить инструменты для ИТ и ИБ. Это потребует внесения изменений в понимание, как надо обеспечивать комплексную безопасность на предприятии: нельзя разделять информационную безопасность и IT-operations, отделять их друг от друга. Это всегда совместная работа двух команд: ИТ и ИБ.

Если разделять два этих отдела, появится дублирование и рассинхронизация данных. Если департаменты будут закупать решения и инструменты отдельно друг от друга, это будет малоэффективно для бизнеса. То есть приоритетная необходимость — исключить отсутствие взаимодействия между подразделениями ИТ и ИБ.