среда, 13 января 2016 г.

Слабое звено - есть ли необходимость повышения производительности службы ИБ?

    На рынке ИБ каждый второй вендор, похоже, ориентируется на олимпийские лозунги "Быстрее! Выше! Сильнее!" т.е. агититирует за повышение производительности службы ИБ.
Неважно как - автоматизируя рутину или вынося специфичные функции на аутсорсинг - суть одна, например:

  • БОЛЬШЕ обработанных вовремя инцидентов (аутсорсинг).
  • БОЛЬШЕ выявленных уязвимостей (сканеры).
  • БОЛЬШАЯ глубина анализа атак (SIEM).
  • БОЛЬШАЯ глубина анализа рисков доступа (IDM).

    Однако, нет ни одного процесса в ИБ, где не участвовали бы смежные подразделения. Для примера возьмем упрощенную модель процесса detect-to-fix (управление уязвимостями), как он реализован в знакомом мне пятке компаний ТОП-50 экономики:

  1. ИБ - Выявляем уязвимости (допустим Х).
  2. ИБ - Маршрутизируем Х уязвимостей в ИТ.
  3. ИТ - Патчим Y уязвимостей (сколько хватит ресурсов).

    Очевидно, что если ИТ не может запатчить все что мы попросили (X>Y), нам ни к чему покупать более быстрый сканер. Аналогично в процессе detect-to-response (управление инцидентами) - если наше ИТ работает 8х5 - нам обычно незачем SOC 24х7. Пример из "реальной" жизни - запрет шумных строительных работ в Москве не будет де-факто работать по воскресеньям, так как контрольный орган - Мосжилинспекция работает по будним дням.
    Если же все не так, и слабое звено в процессе именно ИБ - нам срочно нужно повышать производительность, ведь у нас есть существенный потенциал для повышения реального уровня защищенности.
    Для того что бы обнаружить такой потенциал как можно быстрее рационально внедрить свою программу метрик ИБ. В качестве средств автоматизации для начала подойдет Excel\Access, а потом можно посмотреть и на промышленные решения. Таковых на российском рынке припоминаю 3 - Solar inView, Security Vision, RSA Archer.

Комментариев нет:

Отправить комментарий