Интервью с экспертом: «Автоматизация в информационной безопасности: подходы, обоснованные практикой»
В чем суть автоматизации управления ИБ в настоящее время? Какие главные цели и задачи ставят перед собой организации, запуская проекты автоматизации управления ИБ?
Информационные технологии продолжают разгонять темп нашей повседневной жизни. И не только повседневной – бизнес-процессы в организациях и деятельность государственных органов также стремительно ускоряются и цифровизуются. Разумеется, обеспечение информационной безопасности является необходимой составляющей этих процессов и требования к оперативности (скорости) выполнения действий с каждым днем предъявляются все более высокие. Поэтому, когда речь заходит об автоматизации в информационной безопасности, то предполагается, что она (автоматизация) должна решить две глобальные задачи: во-первых, повысить оперативность реакции на те или иные события или скорость выполнения определенных (часто рутинных) действий; а во-вторых, повысить эффективность использования имеющихся людских ресурсов за счет передачи части операций на «автомат» и использования людей в тех активностях, где это наиболее важно.
Под автоматизацией при этом понимается передача программному коду части операций, которые в настоящее время выполняются человеком. Под программным кодом при этом понимается очень широкий набор вариантов: от промышленного софта до самописных скриптов.
Как вы оцениваете текущий уровень автоматизации процессов, связанных с управлением ИБ, в российских организациях крупного и среднего масштаба? Какова «средняя температура по больнице» в этих сегментах? В каких отраслях экономики уровень автоматизации выше?
В большинстве крупных и в ряде средних организаций за последние несколько лет ситуация с автоматизацией в информационной безопасности сдвинулась с мертвой точки. Локомотивом этого движения стала потребность в оперативном реагировании на инциденты и решении вопросов по созданию собственных центров реагирования (так называемых SOC), а также взаимодействию с ГосСОПКА, ФинЦЕРТ. Фактически наиболее активно организации автоматизируют в настоящий момент именно процессы реагирования на инциденты, однако уже сейчас мы замечаем и потребности в использовании аналогичных подходов в других областях, таких как аудит безопасности, контроль соответствия (compliance), централизованное управление ИТ-активами и их изменениями. Организации (особенно крупные) все больше стараются увязать имеющиеся у них решения по обеспечению информационной безопасности в единую, слаженно работающую систему. Сейчас этому даже придумали отдельный термин – оркестрация, но технически это реализуется через те же самые механизмы автоматизации (API, скрипты и прочее), которые позволяют передавать управляющие воздействия в соответствующие решения без участия человека, на основе определенного, заранее заданного алгоритма или процедуры.
Среди лидеров я бы выделил организации финансового сектора, которые традиционно уделяют довольно серьезное внимание вопросам информационной безопасности, а также телекоммуникационные компании, для которых автоматизация является обязательной составляющей большинства процессов.
Есть положения ISO 27001, есть требования регуляторов в отношении управления ИБ. Но есть и сложившаяся практика автоматизации. Всегда ли методики и указания гармонируют с действительностью? Расскажите о ключевых подходах к автоматизации управления ИБ, обоснованных практикой.
Наличие международных или отечественных нормативных актов и усиление регулирования вопросов информационной безопасности выступают одним из факторов, способствующих автоматизации ряда процессов информационной безопасности. И это не только в нашей стране, а вообще в мире.
Любые стандарты, нормативы или правила создают потребность в выполнении ряда рутинных операций. Это в свою очередь требует либо наличия соответствующего персонала (а найм людей – это и проблематично в условиях нехватки квалифицированных кадров, и дорого), либо внедрения механизмов автоматизации. Требуются механизмы, которые позволят либо разгрузить имеющиеся ресурсы (или убрать потребность в найме дополнительного персонала), либо как минимум значительно сократить время выполнения определенных операций.
Кроме того, снижение объема рутинной работы положительно сказывается на мотивации и моральном духе специалистов, что создает условия для низкой текучки кадров и более эффективной работы команды, обеспечивающей информационную безопасность.
Можно ли говорить о наличии российской специфики в подходах к автоматизации управления ИБ? В чем эта специфика?
Я бы не сказал, что у нас в стране есть какая-то прямо особая специфика. Но определенные особенности есть, в частности, это наличие государственных CERT-ов, таких как НКЦКИ и ФинЦЕРТ, что создает потребность в технической совместимости с их протоколами обмена информацией. Есть законы и стандарты, которые регулируют некоторые аспекты, влияющие на то, как должны выглядеть процессы и какие подходы к их автоматизации возможны, какая отчетность должна формироваться по результатам реализации деятельности по информационной безопасности. В этом смысле трудности могут возникнуть в том случае, если какие-то операции автоматизируются на зарубежных решениях. Необходимо понимать, что с их стороны поддержка локальных российских нормативов возможна, но совсем не обязательна. Поэтому потребуется либо написание собственных дополнительных скриптов или коннекторов либо неких прокси-программ для решения специфических задач. И тут важно, чтобы производитель решений предоставлял такую возможность.
Вообще это становится уже хорошей практикой – при выборе очередного программного продукта под нужды информационной безопасности оценивать и планировать то, каким образом он может быть встроен в общую экосистему организации и в имеющиеся (или планируемые) механизмы автоматизации.
Какие процессы в управлении ИБ автоматизировать сложнее, а какие проще? Почему?
Тут нельзя разделить процессы по категориям, в каждой области есть то, что автоматизировать довольно легко и быстро, а есть то, что автоматизируется довольно тяжело. Все это надо еще рассматривать через призму используемых в организации технологий (оценивая их актуальность) и специфики бизнеса конкретной организации. Но, исходя из опыта, можно сказать, что проще всего автоматизируется те процессы, которые уже очень хорошо отработаны вручную и абсолютно прозрачны. Если процесс не выстроен или происходит вне четко установленных и документированных рамок, то попытка автоматизировать хаос приведет лишь к автоматизированному хаосу.
Именно поэтому мы всегда в своих проектах предлагаем сперва четко определить и формализовать процесс, а уже потом применять к такому прозрачному процессу механизмы автоматизации. Конечно, в реальной жизни такая идеальная картина не всегда достижима, и тогда получается некий гибридный вариант, когда изначально автоматизируется лишь частично формализованный процесс, а затем уже та же автоматизация помогает увидеть пробелы, которые необходимо формализовать.
Есть ли процессы, автоматизация которых невозможна или нецелесообразна? Почему?
Процессы, которые предполагают очень много вариантов действия в зависимости от широкого круга обстоятельств. Как правило их очень непросто алгоритмизировать и автоматизировать. Поэтому там, где требуется человек, его экспертиза и (возможно) нестандартные действия, там автоматизация не сильно поможет. Но она как раз и предназначена для того, чтобы закрыть все вопросы с понятными и рутинными операциями, чтобы разгрузить специалистов и оставить им время на те процессы, где все еще без человека никак не обойтись. Злоумышленники все время ищут способы обхода механизмов защиты и прекрасно научились обходить различные «автоматы», поэтому в таких вопросах как форензика, Threat Hunting, аналитика, выявление APT и других подобных областях грамотный специалист действует значительно эффективнее программного кода.
Назовите наиболее распространенные ошибки при автоматизации управления ИБ. Как их избежать?
Про одну из таких ошибок я уже кратко упомянул ранее. Попытка автоматизировать неформализованный процесс часто приводит к неудовлетворительным результатам. Второй распространенной ошибкой является попытка с самого начала взяться за какие-то наиболее критичные процессы и за счет автоматизации попробовать решить наиболее острые проблемы. Это также может иметь печальные последствия. Ведь если опыт еще не наработан, то цена ошибки в критичных процессах очень высока. Поэтому изначально наиболее сложные работы и наиболее критичные вопросы все же следует оставить решать людям, а автоматизацию внедрять именно как средство борьбы с рутиной и средство оптимизации (или устранения) расходов ресурсов на менее значимые операции (как правило они могут составлять более половины времени работы персонала).
Еще одной, не то чтобы ошибкой, но проблемой, о которой забывают, является то, что довольно часто процессы оказываются сквозными и предполагают не только работу внутри самого подразделения ИБ, но и взаимодействие со смежными подразделениями (ИТ, управление рисками, физическая безопасность, эксплуатация АСУ и др.). Эффект от автоматизации процессов может быть нивелирован неготовностью (или просто несогласованностью) внешних подразделений. Таким образом, всегда на начальном этапе важно понять какие интерфейсы взаимодействия есть у вас с внешними подразделениями, каким образом автоматизация может их затронуть, и нет ли необходимости в синхронизации ваших планов с коллегами.
Актуальная ли кадровая проблема для проектов, связанных с автоматизацией управления ИБ? Как она решается?
Проблема актуальна, так как деятельность по автоматизации предполагает умение специалистов по информационной безопасности продумывать алгоритмы, писать код (пусть даже достаточно простой), писать скрипты, работать с программными интерфейсами и так далее. К сожалению, в большинстве профильных вузов этому совсем не обучают, поскольку тренд на автоматизацию относительно новый, система образования просто не успевает быстро перестраиваться. Но в настоящий момент любому специалисту доступен Интернет, где можно найти огромный объем информации по теме автоматизации и примеры решения определенных задач. Так что пока данный вопрос решается только через самообразование специалистов по информационной безопасности. В нашей компании специалисты нарабатывают опыт годами – в процессе реализации множества разноплановых задач в проектах по внедрению наших разработок. Именно поэтому для нас одним из важнейших является вопрос удержания ценных кадров и найма новых сотрудников в условиях жесточайшей конкуренции за людей на рынке труда. И, должен сказать, нам это успешно удается.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
