BIS Journal №1(44)/2022

4 апреля, 2022

Управлять не умеем мониторить. Заметки безопасника

Известное «казнить нельзя помиловать» как нельзя лучше применимо к ситуации в службах информационной безопасности. При очередном стимуле извне – регуляторном окрике или приходе новой технологии – службы ИБ начинают метаться, задаваясь вопросом: управлять или мониторить?

Вопрос можно назвать вечным. Например, автор сталкивается с его многочисленными реинкарнациями и их пульсирующими следами ещё с 2003 года и начинает считать его всё более одиозным, то есть не столько вечным или вечно актуальным, сколько опасно навязчивым для нервной системы безопасника.

Итак, управлять или мониторить? Для примера возьмём Active Directory, в работе которой иностранный регулятор нашёл недостатки, и служба ИБ иностранной компании раздумывает, не взять ли её под управление.

 

Управлять не умеем, мониторить. ЗА

  • службы ИБ обычно не имеют достаточного масштаба (сил и средств) для поддержки 24 на 7 ключевых ИТ-сервисов;
  • по этой же причине у служб ИБ, как правило, не развиты эксплуатационные процессы, нет круглосуточной поддержки и практически отсутствует культура uptime-fist;
  • управление ИТ-сервисами размывает фокус информационной безопасности и перегружает и так перегруженного CISO.

 

Управлять не умеем, мониторить. ПРОТИВ

  • уровень формализации процессов поддержки силами ИТ не всегда позволяет доказать регуляторам, что управление ключевыми сервисами авторизации и аутентификации происходит профессионально;
  • замедление времени реагирования на инциденты.

 

Управлять, не умеем мониторить. ЗА

  • найти инженеров по управлению Active Directory гораздо проще, чем SOC-аналитиков;
  • SOC может иметь очередь use cases на годы вперёд и без детальной проработки Active Directory (как цинично для многих технических экспертов это ни звучит);
  • лучший контроль за загрузкой инженеров Active Directory повысит вероятность наличия у них времени на тщательное ухаживание за своим AD-огородом.

 

Управлять, не умеем мониторить. ПРОТИВ

  • мониторить всё равно надо учиться, и делать это быстро – систем всё больше, и все на управление не возьмёшь;
  • инфраструктурная точка отказа в управлении – это неблагодарная работа и бессонные ночи, когда отказ всё же случается.

 

В целом можно и управлять, и мониторить, важно помнить два момента. Первый – решение это нужно принять с коллегами, которые, если что, подставят плечо или будут решать ситуацию, если наша служба ИБ её не потянет. И второй – CISO должно быть комфортно жить с этим решением, поэтому лично я по умолчанию выбрал бы «управлять не умеем, мониторить».

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

26.09.2022
Минцифры формирует свой ИТ-резерв
26.09.2022
О новых техносанкциях от Евросоюза
26.09.2022
Теперь Таджикистан? Банк Dushanbe City утратил контакт с «Миром»
26.09.2022
Новый выход Anonymous. Группа объявила кибервойну Ирану
25.09.2022
Модели угроз, выстроенные ФСТЭК, в целом оправдали себя
25.09.2022
Банк России строит свой подход от рисков
24.09.2022
Эволюция технологий, единство людей. Открыта регистрация на SOC-Форум 2022
24.09.2022
«Стать перед зеркалом, признаться и покаяться»
23.09.2022
Узбекистан приостановил обслуживание карт «Мир». Не всех и временно
23.09.2022
«Чтобы финансовая система продолжила работать бесперебойно»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных