100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №59 «Внешние фирмы нельзя пускать к своей безопасности»17.11.2009 20:38
Миф №60 «Наша система корреляции позволяет подключать любые системы защиты»30.11.2009 18:16
Подобный материал:
1   ...   37   38   39   40   41   42   43   44   ...   69

Миф №59 «Внешние фирмы нельзя пускать к своей безопасности»17.11.2009 20:38


Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Это очень распространенный миф, который циркулирует в среде специалистов по информационной безопасности. В качестве доказательств они опираются скорее на чувства, чем логику. Хотя, мне кажется, что в основе их мотивации совершенно другие причины. Зачастую они боятся выпустить из рук направление деятельности, которое им поручено руководством компании. А вдруг аутсорсинговая компания будет делать работу лучше или найдет какие-то упущения в деятельности службы ИБ? Насколько опасение, вынесенное в заглавие, имеет под собой основания?

Не проводя анализ осуществимости аутсорсинга в России (мы к этому еще вернемся в другом мифе), хотелось бы просто показать, что многие предприятия и особенно банки поручают внешним компаниям гораздо более серьезные направления своей деятельности. Итак, финансовая отчетность. Чтобы проверить ее корректность приглашаются финансовые аудиторы и консультанты, которые и выискивают в корпоративных документах различные недочеты и нарушения законодательства до того, как это сделает налоговая инспекция или проверки других регуляторов. К банкам это не имеет отношения, но в малом и среднем бизнесе не редки ситуации, когда внешней компании или приглашенным сотрудникам отдается на откуп вся бухгалтерия. А ведь финансовая и бухгалтерская документация является более чувствительной информацией, чем ИБ.

Кто перевозит денежные средства из операционных касс, пунктов обмена валют в денежное хранилище? Инкассаторская служба, которая тоже может принадлежать не банку, а аутсорситься у внешней организации. Аналогичная ситуация и с сетями банкоматов или процессинговыми центрами, которые для небольших и средних банков как правило «арендуются на стороне».

Кто обеспечивает физическую безопасность банка или охрану топ-менеджеров? Сотрудники своей службы безопасности или специалисты нанятого ЧОПа или охранного агентства? Далеко не всегда банк в состоянии содержать такой штат специалистов и набор необходимых, но недешевых технических средств.

А ИТ-аутсорсинг? О нем сейчас говорят многие и часто. А некоторые даже используют на практике, передавая управление своей ИТ-инфраструктурой внешним подрядчикам. И опять это никого не смущает и не сдерживает. А если вспомнить нашу частную жизнь, то аутсорсинг является неотъемлемой частью нашей жизни – образование наших детей, наше здоровье, ремонт наших автомобилей… Все это мы делаем не сами, а доверяем внешним специалистам.

Почему же информационная безопасность должна быть исключением? Другой вопрос, что к аутсорсингу ИБ надо подходить, тщательно взвесив все «за» и «против», проработав все финансовые и юридические вопросы, составив соглашение о качестве обслуживания (SLA) и решив многие другие вопросы. И только ответив на них, можно окончательно принимать для себя решение, подпускать ли внешние фирмы к своей безопасности или нет.

Миф №60 «Наша система корреляции позволяет подключать любые системы защиты»30.11.2009 18:16



Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Система корреляции событий информационной безопасности (Security Information and Event Management, SIEM) выполняет очень важную функцию – она собирает сигналы тревоги от разнородных средств защиты, анализирует их, ищет скрытые взаимозависимости и пропущенные отдельными СЗИ атаки, и рекомендует на основе анализа те или иные корректирующие действия. И чем больше средств защиты можно подключить к SIEM-системе, тем она лучше и эффективнее. В рекламе многих производителей таких систем есть фразы, аналогичные этой «наша система корреляции позволяет подключать любые системы защиты, даже отечественного производства».

Надо признать, что у многих систем корреляции действительно существует т.н. «универсальный агент», который позволяет собирать сигналы тревоги от различных средств защиты. В самом простейшем случае это осуществляется за счет механизма SNMP или Syslog. В более сложных сценариях существует возможность описать почти любой формат журнала регистрации. Но… в этом ли заключается принцип работы SIEM-решения?

Смысл системы корреляции именно в корреляции (поиске взаимозависимостей) атак и уязвимостей, а не просто сборе и хранении различных событий (хотя и это тоже важно). Эта корреляция реализуется за счет правил, которые встроены в SIEM-решение производителем для изначально поддерживаемых межсетевых экранов, систем предотвращения атак, антивирусов, сканеров безопасности и т.п. Но для неизвестных систем таких правил не существует.

Надо заметить, что и для поддерживаемых систем корреляция осуществляется не всегда так, как этого хотелось бы службам информационной безопасности. Чтобы SIEM-решения были актуальны и адекватны современным угрозам, они должны обновляться одновременно с обновлением поддерживаемых устройств. На практике этого обычно не происходит – существует временной лаг, в течение которого SIEM-система ничего «не знает» о новых угрозах. И хотя это не всегда представляет серьезную угрозу, об этом ограничении необходимо знать. Частичным решением этой проблемы является использование правил не для отдельных событий, а для классов и категорий событий.

Что в итоге? В первую очередь, SIEM-решение осуществляет весь спектр возложенных на него задач только для поддерживаемых систем защиты. Для неподдерживаемых средств защиты SIEM-решение выступает в качестве системы консолидации и агрегирования событий безопасности, что позволяет использовать ее как единое хранилище всей информации о состоянии информационной безопасности. А вот если у вас есть потребность в полноценной поддержке «неизвестных» для SIEM ИБ-решений, то вам придется самостоятельно писать эти правила, что является нетривиальной задачей или… заплатить деньги интегратору, который постарается решить эту проблему (если обладает необходимой квалификацией).