четверг, 4 августа 2016 г.

Кооперация в ИБ стимулирует госкапитализм?

    Кооперация в ИБ (в том числе ярчайшие ее проявления - клубы по интересам, IOC sharing, CERTs) выравнивает уровень информационной безопасности организаций. Право, намного легче настроить еще один black list чем повлиять на фундаментальные основы системы ИБ в организации. 
    Рассмотрим классический пример - вирусные заражения. Риск вирусного заражения по классической формуле равен это Риск = Уязвимость *  Угроза * Влияние на бизнес.
    Обычная стратегия управления риском (Снижение) подразумевает, что мы будем уменьшать хотя бы один из этих факторов. Благо, отношения произведения позволяют нам сведя хотя бы один фактор на ноль убрать риск в принципе.
    Управление угрозами и Влияние на бизнес очень проблемно управляются, если мы можем управлять ими вообще на стабильной долговременной основе. Остается фактор Уязвимости.
    Пару лет назад на одной из встреч по информационной безопасности от руководителя топовой практики проведения пентестов прозвучала характерная фраза "Мы пришли, все сервера патченые SUSE, делать нечего - скучаем". Фраза иллюстрирует главную проблему при снижении уязвимостей - отсутствие единообразия в соблюдении простых но эффективных практик ИБ (в первую очередь харденинга и соблюдения базовых стандартов ИБ как-то наличие обновленного ИБ на всех тысячах и десятках тысяч ПК в сети).
    А ведь единообразие представляет проблему в большей мере именно для госкорпораций. Именно они из-за масштаба, давления на численность штата и избытка нормативной базы (строгость нормативной базы умеряется необязательностью ее соблюдения) имеют значимое кол-во «точек бардака», где серверы стоят под столом, а охране секретного НИИ достаточно водительского удостоверения для идентификации личности.
    В теории госкорпорации могут использовать преимущества масштаба для повсеместного внедрения новых эффективных технологий выявления заражений (behavioral analysis - UEBA, DPI, flow sensors) но на практике явление "удельных князьков» (стремящихся к «самостийности» руководителей «дочек» и региональных подразделений) сдерживает бюджетирование и реализацию централизованных технологий и практик.

    Этой историей хочу начать обсуждать тему кибербезопасности как элемента конкурентоспособности. В бизнесе очень много сводится к конкурентоспособности, и если кибербезопасность часть бизнеса то почему бы не конкурировать и ей? Зачем тогда делиться threat intelligence и рассказывать о наработанных хороших практиках?... 

Комментариев нет:

Отправить комментарий