Управлять не умеем мониторить. Заметки безопасника

Управлять не умеем мониторить. Заметки безопасника

Известное «казнить нельзя помиловать» как нельзя лучше применимо к ситуации в службах информационной безопасности. При очередном стимуле извне – регуляторном окрике или приходе новой технологии – службы ИБ начинают метаться, задаваясь вопросом: управлять или мониторить?

Вопрос можно назвать вечным. Например, автор сталкивается с его многочисленными реинкарнациями и их пульсирующими следами ещё с 2003 года и начинает считать его всё более одиозным, то есть не столько вечным или вечно актуальным, сколько опасно навязчивым для нервной системы безопасника.

Итак, управлять или мониторить? Для примера возьмём Active Directory, в работе которой иностранный регулятор нашёл недостатки, и служба ИБ иностранной компании раздумывает, не взять ли её под управление.

Управлять не умеем, мониторить. ЗА

• службы ИБ обычно не имеют достаточного масштаба (сил и средств) для поддержки 24 на 7 ключевых ИТ-сервисов;
• по этой же причине у служб ИБ, как правило, не развиты эксплуатационные процессы, нет круглосуточной поддержки и практически отсутствует культура uptime-fist;
• управление ИТ-сервисами размывает фокус информационной безопасности и перегружает и так перегруженного CISO.

Управлять не умеем, мониторить. ПРОТИВ

• уровень формализации процессов поддержки силами ИТ не всегда позволяет доказать регуляторам, что управление ключевыми сервисами авторизации и аутентификации происходит профессионально;
• замедление времени реагирования на инциденты.

Управлять, не умеем мониторить. ЗА

• найти инженеров по управлению Active Directory гораздо проще, чем SOC-аналитиков;
• SOC может иметь очередь use cases на годы вперёд и без детальной проработки Active Directory (как цинично для многих технических экспертов это ни звучит);
• лучший контроль за загрузкой инженеров Active Directory повысит вероятность наличия у них времени на тщательное ухаживание за своим AD-огородом.

Управлять, не умеем мониторить. ПРОТИВ

• мониторить всё равно надо учиться, и делать это быстро – систем всё больше, и все на управление не возьмёшь;
• инфраструктурная точка отказа в управлении – это неблагодарная работа и бессонные ночи, когда отказ всё же случается.

В целом можно и управлять, и мониторить, важно помнить два момента. Первый – решение это нужно принять с коллегами, которые, если что, подставят плечо или будут решать ситуацию, если наша служба ИБ её не потянет. И второй – CISO должно быть комфортно жить с этим решением, поэтому лично я по умолчанию выбрал бы «управлять не умеем, мониторить».