«На уровне организации киберразведка нецелесообразна»

«На уровне организации киберразведка нецелесообразна»

НА УРОВНЕ КОРПОРАТИВНОЙ ИБ

Если размышлять о том, каким образом повысить осведомлённость специалистов компании о происходящем в сфере корпоративной ИБ, стоит принимать во внимание ряд соображений. 

Во-первых, роль человеческого фактора. Часто именно люди становятся тем фактором, который приводит к краже или компрометации корпоративных данных. Поэтому повышение именно их осведомлённости должно стать одним из обязательных инструментов ИБ. Причём работу следует вести по нескольким направлениям сразу. С одной стороны, рассказывать об угрозах ИБ, о методах, используемых злоумышленниками, о том, как их можно избежать, как проверять получаемую информацию. С другой стороны, информировать об ответственности за утечку информации, об использовании средств контроля информационных потоков. Вместе это должно удержать от неблаговидных поступков как халатных сотрудников, так и нелояльный персонал, готовый сливать данные. 

Во-вторых, не стоит преувеличивать значение данных, добываемых с помощью технических систем, например, за счёт анализа ресурсов Darknet и открытого интернета — всего того, что сегодня называют киберразведкой. 

Киберразведка — это специфическая деятельность, требующая ресурсов и особых компетенций от сотрудников. На практике она не всегда целесообразна и часто не окупается. По крайней мере, не для каждого вендора и не для каждого сегмента. Если же говорить о борьбе с внутренними угрозами, гораздо полезнее будет информация из курилки. Ежедневная деятельность специалистов по ИБ не требует глубокого погружения в тему киберразведки и постоянного мониторинга даркнета. Даже если это реализовать, не будет много пользы от полученной информации. 

Гораздо интереснее выглядит идея объединения сведений из различных источников в рамках центров реагирования на киберугрозы, к которым подключено значительное число крупных организаций. Вероятность довести нужные сведения до целевого адресата в этом случае будет гораздо выше. 

В-третьих, помимо киберугроз, приходящих извне, для компании имеют значение различные аспекты экономической безопасности. Идея объединения разных аспектов безопасности под единым «зонтиком» одной системы вполне логична: смешение функциональности продуктов различных классов и даже размытие границ самих классов представляется мне естественным в стремлении обеспечить комплексную защиту корпоративных ресурсов. 

ВЕКТОР ИНТЕГРАЦИИ СИСТЕМ

Сегодня стоит говорить о векторе создания экосистем для обеспечения безопасности от различных угроз. Никаких методологических препятствий для этого я не вижу. Наоборот, это правильно, поскольку помогает выстраивать бесшовную защиту, обогащать данные, а использование общих архивов данных ещё и позволяет экономить на создании и обслуживании хранилищ. 

Это не только даёт единый для всех продуктов интерфейс и политики безопасности, но и в некоторых случаях обеспечивает синергический эффект. Как, например, использование DLP и DCAP-систем: от них можно получить пользу и по отдельности, но лишь совместно они дадут полную картину использования корпоративных данных, а также помогут защитить их от широкого спектра внутренних угроз. 

Что касается конкретной конфигурации технического решения, предназначенного для сбора информации о различных угрозах, она будет разной для разных организаций. Вряд ли можно предложить универсальный набор, который закрывал бы все потребности разных компаний и при этом не был избыточным для тех или иных организаций. Высокая стоимость не только самих инструментов ИБ, но и особенно их эксплуатации неприемлема для многих компаний и требует избирательного подхода к выбору средств. 

О ПРОБЛЕМАТИКЕ ДАННЫХ

Отдельный вопрос — структурирование потоков разнородных исходных данных, приходящих из различных источников. Технически можно объединить потоки под одной оболочкой, но собранные в рамках киберразведки сведения сами по себе являются очень разными, не всегда понятна их применимость, а потому будет затруднено и структурирование данных. Здесь одна из ключевых проблем — формализация самой информации. Плюс консолидация и взаимное обогащение данных.

Обогащение данных — один из трендов корпоративной безопасности — часто используется для получения дополнительной информации. В данном случае сопоставление может происходить на базе любых идентификаторов, адресов, событий, географии и др. 

Однако сам выбор полезных потоков данных (фидов) представляет собой отдельную задачу. Я уверен, что только опыт может дать ответ, какие полезны, а какие нет. Причём это зависит не только и не столько от самих фидов, сколько от организации, их использующей, профиля её деятельности, сценариев использования. То, что будет полезным для одних, может оказаться ненужным для других. При этом я бы предостерёг от сбора избыточных данных, подписки на множество источников, особенно при ограниченности собственных ресурсов. Специалисты просто не будут успевать обрабатывать полученную информацию. Можно привести пример с подписками в мессенджерах: вначале радует обилие полезных каналов, но в какой-то момент перестаёшь их отслеживать, и вся информация уходит мимо. 

ПРО АВТОМАТИЗАЦИЮ ИНТЕГРИРОВАННОЙ АНАЛИТИКИ

При всех достижениях в области сбора и обработки данных из различных источников человек остаётся важнейшим компонентом системы анализа всех собираемых данных, особенно в случаях, когда обрабатывается плохо формализуемая информация. Однако полагаться только на возможности человека нельзя, ведь объёмы получаемой информации часто превосходят ресурсы обычного специалиста, с учётом кросс-задач, усталости и других человеческих факторов. Поэтому оптимальный подход предполагает автоматизацию базовых рутинных процессов и интеллектуальную работу специалистов. 

А для обеспечения оперативной реакции на выявленные потенциальные угрозы нужно выполнить несколько базовых условий:

• отработанные правила реагирования для различных ситуаций;
• корректно настроенные автоматизированные сенсоры, которые бы создавали тревожные оповещения (alerts);
• квалифицированные специалисты, наделённые нужными полномочиями.

Этого во многих случаях будет достаточно.

СПЕЦИФИКА ВНЕДРЕНИЯ АНАЛИТИЧЕСКИХ РЕШЕНИЙ

Специфические особенности организации сказываются, в частности, на внедрении аналитических решений безопасности в существующую структуру ИТ-систем. Более того, вряд ли при этом можно говорить о каких-либо типовых решениях. Условно «типовые» системы — это скорее удел слаборазвитых систем корпоративной безопасности. А в большинстве организаций — свои системы и свои подходы к её обеспечению. Так, для крупного рознично-ориентированного бизнеса и небольшой производственной компании результаты работы аналитических систем и вложений в киберразведку могут кардинально различаться.

Внедрение аналитических, да и любых других, компонентов в уже выстроенную экосистему почти всегда будет нетривиальной задачей. Возможно, удастся отказаться от некоторых избыточных и дублирующих компонентов, но это не будет просто даже на уровне переучивания персонала, который с ними работает. Более того, на практике встречаются ситуации, когда некоторые классы корпоративной ИБ, имеющие схожую функциональность, продолжают работать в общей среде. Это всё — издержки насыщения инструментами безопасности корпоративных сетей и использования продуктов разных разработчиков. А в отдельных случаях дублирование выстроено намеренно для повышения общей устойчивости системы. 

Аналитические решения сложно отнести к классу утилитарных инструментов, коими являются многие продукты корпоративной безопасности. Их внедрение говорит об особом подходе, который принимает организация. Поэтому в большинстве случаев потребуются изменения в регламентах и квалифицированные кадры для работы. Эффективными же они могут быть, если организация ясно представляет, какую информацию планирует собирать и как её использовать. В противном случае вся затея может оказаться пустой или даже обременительной тратой денег.