Собственные центры управления безопасностью или аутсорсинг?
Два варианта решения задач управления информационной безопасностью компании, их достоинства и недостатки.
Ни для кого не секрет, что многие компании, закупив различные средства защиты, сталкиваются с целым рядом проблем. Они вынуждены решать комплексную задачу: защищаться от постоянно растущего числа угроз, одновременно с этим разворачивать закупленные средства обеспечения безопасности и управлять ими. Решение этой задачи в свою очередь упирается в проблему нехватки квалифицированных специалистов и отсутствия у них необходимых знаний и практического опыта. Но обо всем по порядку.
Основные проблемы
Мы не будем рассуждать о том, что дает бизнесу информационная безопасность (ИБ) и какие задачи на сегодняшний день она решает. Будем считать, что компания решилась потратиться на защиту. Какие мотивы ей руководили — реальное осознание угроз, принцип «чем я хуже?», — нам не важно. Важно другое: деньги потрачены, средства установлены. В том, что происходит с ними в дальнейшем, можно выделить три основные задачи.
- Средство защиты не должно быть заброшено. Оно должно как минимум регулярно обновляться, донастраиваться под изменившиеся реалии и т. п.
- Если с внедрением данного средства защиты некоторым образом меняется процедура доступа, то оно соответственно должно и управляться: информационная система — живой организм, в котором постоянно внедряются новые сервисы и происходят изменения.
- И наконец, необходимо отслеживать, что именно обнаруживают в информационной системе средства защиты, и реагировать на происходящее.
Без особых проблем решается только первая задача, так как механизмы централизованного обновления сегодня встроены практически во все продукты. Для остального нужны администраторы, которые как минимум должны уметь администрировать приобретенную систему защиты. Этого будет достаточно для решения первых двух задач. Для понимания и адекватного реагирования эти люди должны обладать еще и достаточной эрудицией в вопросах безопасности. Особенно это актуально, если средств защиты не одно, а множество, и для реагирования нужно не только выявить какой-то факт, но и проследить некоторую цепочку взаимосвязанных событий (или выявить ее).
А вот как раз специалистов по безопасности зачастую не хватает (рис. 1). К тому же на тех специалистов, которые имеются в штате, чаще всего возложено решение как технических, так и организационных вопросов, но ведь нельзя играть на двух скрипках сразу, каждый должен заниматься своим делом.
Возникает закономерный вопрос: что делать?
Создание центра управления ИБ
На наш взгляд, существует два основных пути, позволяющих кардинально разрешить возникшие проблемы. Первый путь — создать свой собственный центр управления информационной безопасностью, внедрив у себя в компании централизованную систему мониторинга и управления ИБ. Второй вариант — воспользоваться услугами сторонней организации, передав мониторинг и управление средствами защиты на аутсорсинг.
Давайте подробнее остановимся на обоих. Начнем с создания своего собственного центра управления ИБ. Построение подобного центра — крайне затратное и трудоемкое начинание, и с самого начала надо понимать, что оно потребует колоссальных усилий от всех задействованных в нем подразделений. Но если компания все-таки решила вступить на этот путь, то прежде всего следует сформулировать цели, которых планируется достичь, а также сконструировать модель, определиться с технологией и теми функциями, которые будет выполнять данный центр. Не следует забывать и про необходимый штат и распределение ответственностей.
Мы рассмотрим модель построения подобного центра и технологию его работы. В таком центре должны присутствовать следующие основные компоненты.
Система мониторинга и корреляции — ядро центра ИБ и основной инструмент специалистов. Ее основная функция — нормализовать и категоризовать события ИБ. Как известно, разные устройства защиты генерируют события в разных форматах, что вносит определенные трудности в процесс анализа и корреляции. Для решения этой проблемы проводится нормализация всех событий и приведение их к единому формату, используемому в системе мониторинга и корреляции. После нормализации все события категоризируются по различным критериям. Это удобно для последующей генерации отчетной документации по тем или иным срезам.
Следующий этап — агрегация, которая представляет собой замену нескольких сходных событий ИБ одним. Иными словами, если в определенный промежуток времени было зафиксировано десять однотипных событий, то генерируется одно событие с числовым значением 10. Основная цель агрегации — уменьшить количество регистрируемой и анализируемой впоследствии информации без снижения ее качества. С той же целью используется механизм фильтрации: из рассмотрения исключаются определенные события, соответствующие заданным критериям. После того как все события прошли необходимую обработку, из них выделяются инциденты, т. е. те события, которые действительно способны нанести ущерб и требуют реакции. О сообщениях такого рода генерируются оповещения, или заявки (ticket), которые попадают непосредственно в систему управления заявками об инцидентах, и с ними начинают работу ответственные за это сотрудники.
База данных предназначена в первую очередь для того, чтобы хранить в архивированном и защищенном виде все данные, полученные с подконтрольных устройств. Ко всем сохраненным данным всегда можно обратиться, например, при проведении расследований инцидентов.
Система управления заявками об инцидентах обеспечивает возможность документировать инциденты и расследования, которые идентифицированы аналитиками в процессе мониторинга. В ходе процесса управления инцидентами проводится их регистрация и классификация. Кроме того, выполняется поиск решения проблемы и его последующее применение.
Платформа управления средствами обеспечения ИБ должна включать устройства, которые предназначены для управления мультивендорным оборудованием и отвечают за реализацию изменения политик, настроек, переконфигурирование подконтрольных средств защиты, а также получение обновлений и их реализацию на устройствах. Так, для управления устройствами ISS используется SiteProtector, а для управления устройствами CheckPoint может использоваться Provider 1.
Технология работы центра управления безопасностью в общих чертах представлена на рис. 2. Мультивендорные системы производят огромное количество данных. В режиме реального времени все данные по защищенному каналу в зашифрованном виде попадают в центр, где они анализируются и коррелируются. Кроме того, выполняется архивирование данных. Обработанным событиям назначается тот или иной уровень приоритета (в зависимости от его критичности), и рассылаются оповещения ответственным сотрудникам. Таким образом, к ответственному сотруднику для дальнейшей работы попадают только те события безопасности, которые действительно способны нанести ущерб компании.
Теперь что касается персонала и его ответственности. Количество сотрудников, работающих в таком центре, напрямую зависит от количества устройств, которые планируется передать под контроль центра, а также от числа смен. Таким образом, компания нуждается в следующем штате:
- Руководитель центра — сотрудник, который будет нести ответственность за работу центра, а также за все предоставляемые услуги.
- Группа мониторинга. В обязанности этих сотрудников входит мониторинг и анализ событий, получаемых с подконтрольных устройств. Режим работы 24Ч7.
- Группа управления. Эти сотрудники отвечают за непосредственное управление устройствами, а именно за оперативное внесение изменений в правила и настройки подконтрольных устройств. Режим работы 24Ч7.
- Ассистенты аналитиков. Эти сотрудники занимаются решением проблем с невысоким уровнем приоритета, а также решают все те задачи, которые эскалируют на них сотрудники групп управления и мониторинга.
- Инженер и системный администратор. Отвечают соответственно за базовую настройку и подключение устройств к центру и за работоспособность самого центра и обслуживание его инфраструктуры.
Идея аутсорсинга
Проанализировав все вышесказанное, можно понять, что создание своего собственного центра управления ИБ — это очень ресурсозатратная работа, которая должна выполняться поэтапно и может занять не один год. Именно это и подталкивает компании, работающие в области ИБ, предложить свои услуги по мониторингу и управлению установленными средствами защиты силами специализированных технических центров (Security Operation Center, SOC). Security Operation Center должен быть оснащен всем необходимым программным и аппаратным обеспечением и иметь в штате высококвалифицированных специалистов, осуществляющих круглосуточный удаленный мониторинг, защиту и управление информационной безопасностью клиента в режиме реального времени. Технология работы SOC в общем виде представлена на рис. 3.
SOC предлагают практически всеобъемлющий спектр услуг, и компания любого размера сможет выбрать для себя именно то, что требуется. На аутсорсинг принимаются решения большинства известных на рынке ИБ вендоров, таких, как IBM ISS, Check Point и т. д.
В качестве примера того, как работают данные сервисы, приведем несколько схематичных описаний. Начнем с наиболее распространенной услуги — мониторинга событий ИБ. С подконтрольных средств безопасности клиента собираются все данные, необходимые для анализа, их передают по выделенному защищенному каналу в центр компании-аутсорсера. Там они обрабатываются, анализируются, а на выходе в режиме реального времени клиент получает оповещения, касающиеся критичных событий в его сети, которые действительно требуют к себе внимания. Такие оперативные оповещения служат серьезным подспорьем и руководством к дальнейшим действиям по устранению возникших проблем. Если же у клиента возникает потребность обратиться к данным, касающимся определенного промежутка времени, он всегда сможет это сделать: абсолютно все данные, полученные с его устройств, архивируются и хранятся аутсорсером в защищенном режиме в течение нескольких лет.
Если клиент готов доверить компании-аутсорсеру не только мониторинг, но и элементы управления, то можно говорить об услугах, касающихся управления IDS/IPS, а также устройствами межсетевого экранирования. Помимо функций мониторинга сюда добавляются такие элементы управления, как изменение политик, проактивные обновления подконтрольных средств защиты и их мониторинг на предмет работы в штатном режиме. Нужно отметить, что подобные услуги помогают построить весьма эффективную систему защиты: специалисты компании-аутсорсера вычленяют и оперативно реагируют на действительно значимые события, а своевременные настройки и обновления помогают содержать устройства ИБ всегда в актуальном состоянии.
В качестве дополнения клиент может воспользоваться услугой управления уязвимостями, которая представляет собой периодические внешние и/или внутренние сканирования сети, как правило, проводимые в целях профилактики. Услуга направлена на обнаружение, приоритизацию, устранение уязвимостей и предоставление клиенту отчетов о проделанной работе и ее результатах. Комбинирование внешних и внутренних сканирований позволяет обнаружить и устранить все возможные уязвимости в рамках используемой клиентом сетевой инфраструктуры.
Аргументы «за»…
Основное достоинство варианта аутсорсинга ИБ — возможность круглосуточного мониторинга, защиты и управления безопасностью сети. Подобная организация управления предоставляет клиенту ряд весомых выгод.
Во-первых, это позволит переложить наиболее рутинные и трудоемкие задачи обеспечения безопасности на аналитиков и инженеров компании-аутсорсера. Повторимся, большинство компаний сталкиваются если не с проблемой кадрового голода, то с отсутствием у части своих сотрудников необходимой квалификации и опыта. Таким образом, переложив определенные функции на аутсорсера, можно высвободить временные и человеческие ресурсы для решения задач, стратегически более важных для бизнеса компании.
Во-вторых, удаленный мониторинг, защита и управление значительно повысят общий уровень защиты сети. Круглосуточный режим работы вкупе с высокой скоростью защитной реакции и опытом аналитиков компании-аутсорсера дают гарантию оперативности, позволяя вовремя выявлять значимые события ИБ и реагировать на них.
В-третьих, клиент получает абсолютно прозрачный и управляемый сервис. Разнообразные регулярные отчеты, а также возможность наблюдать за работой представителей аутсорсера в режиме онлайн через Web-портал — все это позволяет контролировать любые действия аутсорсера. Если остановиться подробнее на контроле и выполнении аутсорсером гарантий в рамках сервиса, то нужно упомянуть соглашения SLA, с которым в обязательном порядке знакомится клиент, прежде чем подписаться на тот или иной сервис. SLA — это соглашение об уровне сервиса, документ, дополняющий собой договор на оказание аутсорсинговых услуг. В SLA указываются все параметры сервиса, гарантии и ответственность сторон. Таким образом, подписываясь на сервис, клиент имеет подробную информацию о том, что конкретно он получит в его рамках, а также каким образом аутсорсер будет отвечать по невыполненным обязательствам.
…и «против»
Основные противники передачи части функций обеспечения безопасности «на сторону» опираются на тезис о том, что слишком опасно отдавать функции управления в чужие руки. С этим невозможно спорить аргументированно, ибо эти люди не задумываются о том, что, например, каждый день пользуясь лифтом, они вверяют свою жизнь человеку, закрутившему гайку крепления троса. Это им почему-то кажется естественным, а вот пустить кого-то в «святую святых» компании — страшно.
Аргументация о том, что порой мы отдаем на аутсорсинг не менее критичные ресурсы (например, доверяя аутсорсерам создание и настройку бухгалтерских систем, ERP и т. п.), на них не действует. Безграничная вера в добропорядочность собственных сотрудников не перебивается никакими данными статистики, говорящими о том, что большинство нарушений безопасности совершается именно изнутри.
Заключение
В заключение хотелось бы сказать, что создавать собственный центр управления ИБ или передавать на аутсорсинг мониторинг и управление средствами защиты — личное дело каждой компании. Здесь следует исходить не только из бюджета, но и из целесообразности и здравого смысла. В принципе принятие решения о покупке системы мониторинга и корреляции или же о возложении данных функций на чужие плечи зависит от следующих критериев: размер компании, задачи, которые она хочет решить, наличие финансовых и человеческих ресурсов, осознание необходимости использовать продукты и услуги такого класса, обязательные требования регуляторов и т. д.
Вполне естественно, что небольшой компании с ограниченным набором сетевых устройств не имеет смысла разворачивать у себя полнофункциональную систему мониторинга и корреляции, так как, во-первых, это дорого, а во-вторых, нужны люди, которые будут ею заниматься (и которых еще нужно обучить работе с подобной системой). Гораздо логичнее передать на аутсорсинг мониторинг и управление средствами защиты и приобрести высокоуровневый сервис от профессионалов, при этом еще и высвободив временные и человеческие ресурсы для решения более важных для бизнеса задач.
С крупными компаниями ситуация сложнее. Их бизнес в основном напрямую зависит от стабильности существующих бизнес-процессов. И порой незнание того, что происходит в сети, а также несвоевременная реакция на ту или иную угрозу может очень негативно отразиться на деятельности компании и ее репутации. Поэтому создание центра управления безопасностью, реализующего сбор, мониторинг, анализ и корреляцию данных с устройств и систем, в первую очередь критичных для компании, будет очень серьезным подспорьем для устойчивости бизнеса в целом. При этом не стоит забывать и про периметр, который служит первой линией обороны от злоумышленников и также должен быть включен в перечень контролируемых центром ресурсов. Но следует отметить, что далеко не все крупные компании готовы инвестировать средства в подобные масштабные проекты. Поэтому чтобы облегчить себе задачу, снять с себя наиболее рутинную работу по мониторингу периметра и сконцентрироваться на критичных ресурсах, можно передать эти задачи на аутсорсинг. Особенно это актуально в условиях дефицита и перегруженности кадров.
Необходимо подчеркнуть, что интерес к подобным продуктам и услугам со стороны потенциальных потребителей есть. Соответственно они будут развиваться и дальше, реагируя на наличие спроса.