Когда кариес - гигиена уже на поможет.
(Личный опыт)
Если вам не интересно мнение окружающих - ведите блог . Однако, в моем случае совет Силесты не применим, напротив, мне интересно мнение окружающих, и я не навязываю свое (ну, по крайней мере, прилагаю к этому все усилия, а случаи нарушения этого принципа позволю себе списать на слабости, коих у всех нас предостаточно). Одной из значимых причин моего блоггерства является нежелание одно и то же рассказывать много раз, - значительно проще метнуть ссылку, где все изложено (да, да, Силеста тут угадала с преобладанием электронного общения над живым, но это, скорее, особенности нашей профессии). Так и в этот раз - неоднократно говоря везде где возможно о необходимости концентрации на цели, прежде чем подбирать средства , обнаружил, что дело часто обстоит еще хуже - не все понимают цели.
Сложный технологический продукт трудно описать словами, лучшая его демонстрация - возможность испробовать в действии. Чтобы почувствовать прелесть автомобиля - лучше его потестдрайвить, ножом - порезать, камерой - поснимать, телевизор - посмотреть и т.п. Поэтому сервис может быть пропилотирован. Мы не распыляемся, - задача в общем-то одна - обнаружение атак, любых: целевых, безмалварных, с использованием новой малвары, с антифоренсикой - любой, что обошла существующие системы защиты (понятно, что не прошедшая системы защиты атака была успешно ими убита, и участия человека, в большинстве случаев, не требует). В целом, это не все, чем может заниматься SOC , - это один из его процессов , хотя...
После одного из пилотов, где количество выявленной альтернативной жизни красноречиво подтвердило прежде слабые догадки существования множества возможностей компрометации, а также, факты многократных взломов, и, в конечном счете, необходимость экстренной стимуляции кибериммунитета , было удивительно услышать, что Заказчик решил сначала сосредоточиться на более важных задачах обеспечения ИБ: контроль доступа, управление уязвимостями и выполнение требований комплайенса. Даже в обычных условиях список первоочередных мер вызывает улыбку умиления. Истерический смех вызывает этот список в совокупности со осознанием, что там были ребята ( которые, возможно, и не ушли ), а легковесная чистка на пилоте едва ли компенсирует отсутствие систематического подхода: поиск-расследование-реагирование-адаптация.
Как по-вашему, зачем ИБ? Какова прямая цель? Сохранение прежней эффективности и результативности бизнеса! КЦД информации - одна из перспектив достижения этой цели, но не сама цель. Контроль доступа - это одно из средств сохранения КЦД информации, так же и управление уязвимостями, тем более - комплайенс - это вообще способ измерения эффективности применяемых средств - ничто из перечисленного не годится в первостепенные меры, так как не закрывает цель, а лишь частично приближает к ней: решите вопрос с контролем доступа - атакуют через уязвимость в ПО, решите вопрос с уязвимостями - атакуют через целевой фишинг или зеродей, решение вопроса с комплайенсом - не является достаточным условием состояния безопасности вовсе. А, на самом деле, логическая цепочка очень проста: для сохранения прежних effectiveness и efficiency бизнеса нужно научиться противостоять атакам (это банально просто: любое покушение на бизнес - это атака) -- чтобы атакам противостоять надо, как минимум научиться их обнаруживать, обнаруживать любые атаки, и реагировать на них. Получается примитивно простая формула: цель ИБ - защита от атак. Именно защиту от атак мы и предлагали, понимая что это - покроет цель, но Клиент предпочел средства: ставить патчи, управлять доступом, делать комплайнс - одним словом, заниматься гигиеной в то время, когда уже нужно лечить кариес.
