четверг, 27 июня 2013 г.

Бой по хвостам

   Продолжая тему CERT хотелось бы затронуть тему коммерческой эффективности CERT.
О коммерческой эффективности команды быстрого реагирования много говорят, и в основном в негативном свете, т.к. классические активности CERT тяжело обосновать в принципе.


   А почему так? Посмотрим на ключевые сервисы - детектирование и управление инцидентами. Уже детектирование инцидентов (анализ логов) требует многочисленного подготовленного персонала, т.к. деятельность трудозатратна и автоматизировать ее на серьезный процент очень тяжело. Управление инцидентами тоже требует вложений в системы совместной работы, обучение и тренировки персонала.
   Ко всему прочему команда снижает урон от текущих инцидентов но не предотвращает их, а если спросить бизнес, то ему интересно в первую очередь не снижение урона но предотвращение инцидентов в принципе (мы то понимаем что снизить риск до 0 невозможно, но бизнес это понимает не всегда).
   В итоге получается что мы имеем дорогостоящую деятельность с неочевидной полезностью для бизнеса. Но вроде бы отказаться от нее целиком либо частично (сократить обьемы)
нельзя т.к. веб-угрозы растут, ботнеты наступают, банк-клиенты грабят... отлично, посмотрим какие могут быть альтернативные меры безопасности для деятельности в целом или ее части.
Может они будут дешевле?;)
   Итак, основные векторы атак на сети Компании извне (предполагаем что CERT у нас корпоративный и он борется против внешних нарушителей, как в GE):

  • Заражение вредоносным кодом (drive-by-download\фишинг)
  • Сетевая атака посредством подбора пароля
  • Сетевая атака посредством программной уязвимости

   Соответственно, очевидные превентивные контроли безопасности:

  • "Белые списки" приложений
  • Управление конфигурацией
  • Управление обновлениями

   Характерно, что в отличие от анализа лог-файлов (ключевой части работы CERT) все 3 контроля хорошо автоматизируются и что важно - предотвращают (!) инциденты
   Поэтому может быть вместо расширения персонала CERT стоит задуматься о внедрении превентивных мер?
   Интересно, что наши заокеанские друзья уже оценили их потенциал - в 2011 году управление обновлениями, "белые" списки и часть управления конфигурациями (а именно запрет использования административных привилегий пользователями) в составе известных "Лучших 4-ех контролей безопасности" от австралийского директората по безопасности и разведке
выиграли Национальную премию США по инновациям в сфере кибербезопасности.

Комментариев нет:

Отправить комментарий