На рынке ИБ каждый второй вендор, похоже, ориентируется на олимпийские лозунги "Быстрее! Выше! Сильнее!" т.е. агититирует за повышение производительности службы ИБ.
Неважно как - автоматизируя рутину или вынося специфичные функции на аутсорсинг - суть одна, например:
Однако, нет ни одного процесса в ИБ, где не участвовали бы смежные подразделения. Для примера возьмем упрощенную модель процесса detect-to-fix (управление уязвимостями), как он реализован в знакомом мне пятке компаний ТОП-50 экономики:
Очевидно, что если ИТ не может запатчить все что мы попросили (X>Y), нам ни к чему покупать более быстрый сканер. Аналогично в процессе detect-to-response (управление инцидентами) - если наше ИТ работает 8х5 - нам обычно незачем SOC 24х7. Пример из "реальной" жизни - запрет шумных строительных работ в Москве не будет де-факто работать по воскресеньям, так как контрольный орган - Мосжилинспекция работает по будним дням.
Если же все не так, и слабое звено в процессе именно ИБ - нам срочно нужно повышать производительность, ведь у нас есть существенный потенциал для повышения реального уровня защищенности.
Для того что бы обнаружить такой потенциал как можно быстрее рационально внедрить свою программу метрик ИБ. В качестве средств автоматизации для начала подойдет Excel\Access, а потом можно посмотреть и на промышленные решения. Таковых на российском рынке припоминаю 3 - Solar inView, Security Vision, RSA Archer.
Неважно как - автоматизируя рутину или вынося специфичные функции на аутсорсинг - суть одна, например:
- БОЛЬШЕ обработанных вовремя инцидентов (аутсорсинг).
- БОЛЬШЕ выявленных уязвимостей (сканеры).
- БОЛЬШАЯ глубина анализа атак (SIEM).
- БОЛЬШАЯ глубина анализа рисков доступа (IDM).
Однако, нет ни одного процесса в ИБ, где не участвовали бы смежные подразделения. Для примера возьмем упрощенную модель процесса detect-to-fix (управление уязвимостями), как он реализован в знакомом мне пятке компаний ТОП-50 экономики:
- ИБ - Выявляем уязвимости (допустим Х).
- ИБ - Маршрутизируем Х уязвимостей в ИТ.
- ИТ - Патчим Y уязвимостей (сколько хватит ресурсов).
Очевидно, что если ИТ не может запатчить все что мы попросили (X>Y), нам ни к чему покупать более быстрый сканер. Аналогично в процессе detect-to-response (управление инцидентами) - если наше ИТ работает 8х5 - нам обычно незачем SOC 24х7. Пример из "реальной" жизни - запрет шумных строительных работ в Москве не будет де-факто работать по воскресеньям, так как контрольный орган - Мосжилинспекция работает по будним дням.
Если же все не так, и слабое звено в процессе именно ИБ - нам срочно нужно повышать производительность, ведь у нас есть существенный потенциал для повышения реального уровня защищенности.
Для того что бы обнаружить такой потенциал как можно быстрее рационально внедрить свою программу метрик ИБ. В качестве средств автоматизации для начала подойдет Excel\Access, а потом можно посмотреть и на промышленные решения. Таковых на российском рынке припоминаю 3 - Solar inView, Security Vision, RSA Archer.
Комментариев нет:
Отправить комментарий