Продолжая тему CERT хотелось бы затронуть тему коммерческой эффективности CERT.
О коммерческой эффективности команды быстрого реагирования много говорят, и в основном в негативном свете, т.к. классические активности CERT тяжело обосновать в принципе.
А почему так? Посмотрим на ключевые сервисы - детектирование и управление инцидентами. Уже детектирование инцидентов (анализ логов) требует многочисленного подготовленного персонала, т.к. деятельность трудозатратна и автоматизировать ее на серьезный процент очень тяжело. Управление инцидентами тоже требует вложений в системы совместной работы, обучение и тренировки персонала.
Ко всему прочему команда снижает урон от текущих инцидентов но не предотвращает их, а если спросить бизнес, то ему интересно в первую очередь не снижение урона но предотвращение инцидентов в принципе (мы то понимаем что снизить риск до 0 невозможно, но бизнес это понимает не всегда).
В итоге получается что мы имеем дорогостоящую деятельность с неочевидной полезностью для бизнеса. Но вроде бы отказаться от нее целиком либо частично (сократить обьемы)
нельзя т.к. веб-угрозы растут, ботнеты наступают, банк-клиенты грабят... отлично, посмотрим какие могут быть альтернативные меры безопасности для деятельности в целом или ее части.
Может они будут дешевле?;)
Итак, основные векторы атак на сети Компании извне (предполагаем что CERT у нас корпоративный и он борется против внешних нарушителей, как в GE):
Соответственно, очевидные превентивные контроли безопасности:
Характерно, что в отличие от анализа лог-файлов (ключевой части работы CERT) все 3 контроля хорошо автоматизируются и что важно - предотвращают (!) инциденты
Поэтому может быть вместо расширения персонала CERT стоит задуматься о внедрении превентивных мер?
Интересно, что наши заокеанские друзья уже оценили их потенциал - в 2011 году управление обновлениями, "белые" списки и часть управления конфигурациями (а именно запрет использования административных привилегий пользователями) в составе известных "Лучших 4-ех контролей безопасности" от австралийского директората по безопасности и разведке
выиграли Национальную премию США по инновациям в сфере кибербезопасности.
О коммерческой эффективности команды быстрого реагирования много говорят, и в основном в негативном свете, т.к. классические активности CERT тяжело обосновать в принципе.
А почему так? Посмотрим на ключевые сервисы - детектирование и управление инцидентами. Уже детектирование инцидентов (анализ логов) требует многочисленного подготовленного персонала, т.к. деятельность трудозатратна и автоматизировать ее на серьезный процент очень тяжело. Управление инцидентами тоже требует вложений в системы совместной работы, обучение и тренировки персонала.
Ко всему прочему команда снижает урон от текущих инцидентов но не предотвращает их, а если спросить бизнес, то ему интересно в первую очередь не снижение урона но предотвращение инцидентов в принципе (мы то понимаем что снизить риск до 0 невозможно, но бизнес это понимает не всегда).
В итоге получается что мы имеем дорогостоящую деятельность с неочевидной полезностью для бизнеса. Но вроде бы отказаться от нее целиком либо частично (сократить обьемы)
нельзя т.к. веб-угрозы растут, ботнеты наступают, банк-клиенты грабят... отлично, посмотрим какие могут быть альтернативные меры безопасности для деятельности в целом или ее части.
Может они будут дешевле?;)
Итак, основные векторы атак на сети Компании извне (предполагаем что CERT у нас корпоративный и он борется против внешних нарушителей, как в GE):
- Заражение вредоносным кодом (drive-by-download\фишинг)
- Сетевая атака посредством подбора пароля
- Сетевая атака посредством программной уязвимости
Соответственно, очевидные превентивные контроли безопасности:
- "Белые списки" приложений
- Управление конфигурацией
- Управление обновлениями
Характерно, что в отличие от анализа лог-файлов (ключевой части работы CERT) все 3 контроля хорошо автоматизируются и что важно - предотвращают (!) инциденты
Поэтому может быть вместо расширения персонала CERT стоит задуматься о внедрении превентивных мер?
Интересно, что наши заокеанские друзья уже оценили их потенциал - в 2011 году управление обновлениями, "белые" списки и часть управления конфигурациями (а именно запрет использования административных привилегий пользователями) в составе известных "Лучших 4-ех контролей безопасности" от австралийского директората по безопасности и разведке
выиграли Национальную премию США по инновациям в сфере кибербезопасности.
Комментариев нет:
Отправить комментарий