100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №59 «Внешние фирмы нельзя пускать к своей безопасности»17.11.2009 20:38 Миф №60 «Наша система корреляции позволяет подключать любые системы защиты»30.11.2009 18:16 |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №59 «Внешние фирмы нельзя пускать к своей безопасности»17.11.2009 20:38
Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems
Это очень распространенный миф, который циркулирует в среде специалистов по информационной безопасности. В качестве доказательств они опираются скорее на чувства, чем логику. Хотя, мне кажется, что в основе их мотивации совершенно другие причины. Зачастую они боятся выпустить из рук направление деятельности, которое им поручено руководством компании. А вдруг аутсорсинговая компания будет делать работу лучше или найдет какие-то упущения в деятельности службы ИБ? Насколько опасение, вынесенное в заглавие, имеет под собой основания?
Не проводя анализ осуществимости аутсорсинга в России (мы к этому еще вернемся в другом мифе), хотелось бы просто показать, что многие предприятия и особенно банки поручают внешним компаниям гораздо более серьезные направления своей деятельности. Итак, финансовая отчетность. Чтобы проверить ее корректность приглашаются финансовые аудиторы и консультанты, которые и выискивают в корпоративных документах различные недочеты и нарушения законодательства до того, как это сделает налоговая инспекция или проверки других регуляторов. К банкам это не имеет отношения, но в малом и среднем бизнесе не редки ситуации, когда внешней компании или приглашенным сотрудникам отдается на откуп вся бухгалтерия. А ведь финансовая и бухгалтерская документация является более чувствительной информацией, чем ИБ.
Кто перевозит денежные средства из операционных касс, пунктов обмена валют в денежное хранилище? Инкассаторская служба, которая тоже может принадлежать не банку, а аутсорситься у внешней организации. Аналогичная ситуация и с сетями банкоматов или процессинговыми центрами, которые для небольших и средних банков как правило «арендуются на стороне».
Кто обеспечивает физическую безопасность банка или охрану топ-менеджеров? Сотрудники своей службы безопасности или специалисты нанятого ЧОПа или охранного агентства? Далеко не всегда банк в состоянии содержать такой штат специалистов и набор необходимых, но недешевых технических средств.
А ИТ-аутсорсинг? О нем сейчас говорят многие и часто. А некоторые даже используют на практике, передавая управление своей ИТ-инфраструктурой внешним подрядчикам. И опять это никого не смущает и не сдерживает. А если вспомнить нашу частную жизнь, то аутсорсинг является неотъемлемой частью нашей жизни – образование наших детей, наше здоровье, ремонт наших автомобилей… Все это мы делаем не сами, а доверяем внешним специалистам.
Почему же информационная безопасность должна быть исключением? Другой вопрос, что к аутсорсингу ИБ надо подходить, тщательно взвесив все «за» и «против», проработав все финансовые и юридические вопросы, составив соглашение о качестве обслуживания (SLA) и решив многие другие вопросы. И только ответив на них, можно окончательно принимать для себя решение, подпускать ли внешние фирмы к своей безопасности или нет.
Миф №60 «Наша система корреляции позволяет подключать любые системы защиты»30.11.2009 18:16
Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems
Система корреляции событий информационной безопасности (Security Information and Event Management, SIEM) выполняет очень важную функцию – она собирает сигналы тревоги от разнородных средств защиты, анализирует их, ищет скрытые взаимозависимости и пропущенные отдельными СЗИ атаки, и рекомендует на основе анализа те или иные корректирующие действия. И чем больше средств защиты можно подключить к SIEM-системе, тем она лучше и эффективнее. В рекламе многих производителей таких систем есть фразы, аналогичные этой «наша система корреляции позволяет подключать любые системы защиты, даже отечественного производства».
Надо признать, что у многих систем корреляции действительно существует т.н. «универсальный агент», который позволяет собирать сигналы тревоги от различных средств защиты. В самом простейшем случае это осуществляется за счет механизма SNMP или Syslog. В более сложных сценариях существует возможность описать почти любой формат журнала регистрации. Но… в этом ли заключается принцип работы SIEM-решения?
Смысл системы корреляции именно в корреляции (поиске взаимозависимостей) атак и уязвимостей, а не просто сборе и хранении различных событий (хотя и это тоже важно). Эта корреляция реализуется за счет правил, которые встроены в SIEM-решение производителем для изначально поддерживаемых межсетевых экранов, систем предотвращения атак, антивирусов, сканеров безопасности и т.п. Но для неизвестных систем таких правил не существует.
Надо заметить, что и для поддерживаемых систем корреляция осуществляется не всегда так, как этого хотелось бы службам информационной безопасности. Чтобы SIEM-решения были актуальны и адекватны современным угрозам, они должны обновляться одновременно с обновлением поддерживаемых устройств. На практике этого обычно не происходит – существует временной лаг, в течение которого SIEM-система ничего «не знает» о новых угрозах. И хотя это не всегда представляет серьезную угрозу, об этом ограничении необходимо знать. Частичным решением этой проблемы является использование правил не для отдельных событий, а для классов и категорий событий.
Что в итоге? В первую очередь, SIEM-решение осуществляет весь спектр возложенных на него задач только для поддерживаемых систем защиты. Для неподдерживаемых средств защиты SIEM-решение выступает в качестве системы консолидации и агрегирования событий безопасности, что позволяет использовать ее как единое хранилище всей информации о состоянии информационной безопасности. А вот если у вас есть потребность в полноценной поддержке «неизвестных» для SIEM ИБ-решений, то вам придется самостоятельно писать эти правила, что является нетривиальной задачей или… заплатить деньги интегратору, который постарается решить эту проблему (если обладает необходимой квалификацией).