Ты купил файрволл. Потратил тысячи на систему предотвращения вторжения и добыл дорогущее ПО для предупреждение утечки данных. Ты абсолютно уверен, что твои важные клиентские данные не утекли?
В ИТ-безопасности капиталовложения в продукты могут помочь защитить системы, но их недостаточно. Принятие безопасности в расчет при проектировании и исполнении своих ежедневных ИТ-процессов – вот ключевой момент в защите инфраструктуры. Более того, оно может снизить капиталовложения.
“Директора ИТ-отделов тратят огромные деньги на файрволлы и антивирусы”, – говорит Иеремия Гроссман, директор по технологиям в компании WhiteHat Security, которая проводит тесты на проникновение в системы своих клиентов.
Гроссман утверждает, что компании, как правило, вкладывают большие деньги в разработку ПО, десктопной и серверной инфраструктуры, но забывают про сетевую инфраструктуру. И наоборот, говорит он, директора ИТ-отделов сначала думают о сетевой инфраструктуре и вкладываются в дорогие файрволлы, но мало внимания уделяют инфраструктуре десктопной безопасности, и еще меньше таким вещам, как защищенный жизненный цикл разработки ПО. “Так что их действия не согласованы”, – заключил Гроссман.
Конечно, это не означает, что тебе не нужно покупать файрволл. Тем не менее, использовать лишь инструментальные решения проблем, нежели чем оценивать процессы осуществления безопасности в целом, неправильно, ибо это делает безопасность более реактивной и менее целостной. Как выглядит правильно согласованный набор процессов?
Выбрать можно из огромного количества моделей действия. У каждой – свои сильные и слабые стороны. ISO 27001 обеспечивает безопасность в широком смысле, а ITIL включает в себя полезные пункты в рамках сервисных фреймворков. И то и другое может быть эффективно внедрено в другие модели для создания зрелой модели операционной безопасности. Например, можно разместить ISO 27001 и ITIL рядом с CMMI (Capability Maturity Model Integration), что обеспечит фреймворк для оценки операционной зрелости. Используя это отображение, возможно будет создать процессы безопасности, основываясь на пяти уровнях возможности. The Control Objectives for Information Related Technology (COBIT) также обеспечивает основу управления и контроля, которая включает в себя порядок осуществления безопасности.
Консультационная фирма по внедрению систем CIBER использует семиуровневую модель для своей программы определения зрелости модели безопасности. Она начинается с уровня составления программы, относящегося к финансированию, планированию и кросс-функциональному контролю. Уровень управления относится к управлению рисками, навыкам безопасности, ролям и ответственности. Следующий уровень – уровень документации, включает в себя классификацию активов, процедуры и политику. Поверх этих уровней находятся другие: образование, защита, обнаружение и ответственность.
Согласно CIBER, в котором говорят о создании зонтичной структуры безопасности, позволяющей отслеживать правила безопасности и внешние требования, документация является важной частью внедрения моделей безопасности в организации
CIBER советует компаниями создать дорожную карту, которую можно использовать как часть их уровня “защиты”, и которая свяжет технологии, в которые вкладывается компания, с долгосрочными целями в плане безопасности.
На каких процессах следует сосредоточиться в ходе определения этих долгосрочных целей? Во многом это будет зависеть от уникальных деловых требований компании, но, говоря в более широком смысле, можно определить некие общие критические зоны. Управление уязвимостями и защита от вторжений важны, так же как контроль личности и доступа. Вот несколько ключевых вещей, о которых нужно помнить при продумывании процессов безопасности:
Знай свою инфраструктуру. Надежная база данных железа и управление конфигурацией – один из важнейших кусков мозаики. Без нее ты не будешь знать, что у тебя есть, и, следовательно, не сможешь все это должным образом использовать. Это может стать серьезной проблемой, если, например, кто-нибудь подключает точку несанкционированного доступа к сети, или скачивает непроверенные приложения, или подключает USB жесткий диск. Чье это все? Их или твое? Откуда тебе знать, если ты производил аудит беспроводных сетей?
Автоматизируй управление. Убедись, что критические процессы, такие, как управление патчами, автоматизированы настолько, насколько это возможно в пределах серверов и ПК, операционных систем и приложений за пределами Microsoft (сторонние приложения – самый большой источник риска), чтобы эти процедуры поддерживали быстрое осуществление безопасности. Автоматизируй другие процессы, вроде проверки новых устройств, которые подключаются к сети, чтобы убедиться, что преступные устройства не засоряют твою сеть. Это та зона, где продукт и процесс пересекаются, и здесь можно мудро распорядиться бюджетом.
Используй инструменты управления сетью, как глаза и уши. Эффективное управление включает в себя обнаружение устройств в сети, чтобы перво-наперво определить, твои они, или нет. Убедись, что инструменты управления следят за сетью вместо тебя, предупреждая о проблемах, которые могут означать нарушение безопасности. Почему, например, этот недавно подключенный ПК рассылают трафик всем компьютерам в локальной подсети через необычный порт?
Проверяй свои журналы. Обыскивай свои журналы на предмет полезной информации, возможно, с использованием ПО для анализа журналов.
Положительные обратные связи. Это может показаться очевидным, но прежде всего не забывай учиться на своем собственном опыте. Если произошел инцидент, убедись, что соответствующие дыры закрыты, настройки отрегулированы и пользователи обучены. Можно купить ПО, которое будет совершать большинство этих действий за тебя, но именно процессы, одним из которых и является создание положительных обратных связей, могут по-настоящему защитить тебя.