| Эксперты по кибербезопасности, которые часто ходят на всякие выставки и мероприятия, со временем начинают транслировать довольно показательную мысль — достаточно просто выбрать нужного поставщика услуг, и на этом тему управления рисками можно заканчивать. У поставщиков услуг продуманные процедуры, время реакции и даже горячая линия, о чем еще думать? Но в реальности ничто не выдает дилетанта лучше, чем подобное рассуждение. |
Кризисы в ИБ редко идут по плану. Если вы по каким-то индикаторам компрометации обнаружили взлом, то нет никаких гарантий, что параллельно с ним в вашу инфраструктуру не внедрилась еще парочка вредоносов несколько месяцев или лет назад. И как быть, если инцидент, который вы обнаружили, — это уже финальный аккорд масштабной атаки и спасать уже особо нечего? В этом и есть логическая ловушка перекладывания ответственности на поставщика услуг в любой момент времени.
Поэтому базовые вещи в своей инфраструктуре в любом случае придется делать самостоятельно. Если, конечно, вы не компания из 5 человек, разбросанная по земному шару. Хотя если речь будет о каком-то глобальном событии вроде взлома Keenetic или шифровальщика Wannacry, то достанется и вам.
Для того, чтобы сказка стала явью, придется приложить усилия и по крайней мере пока не сокращать команду собственных инженеров по кибербезопасности. Во-первых, следует подумать о сборе событий безопасности. Это именно то, с чем будут работать ваши специалисты, и без этого двигаться куда-либо дальше нет смысла. Если не готовы собирать сами, то легко можно подключиться к SOC, вроде GSOC компании «Газинформсервис». Но это не отменяет того, что история уже имеющихся событий должна быть сохранена и проанализирована.Второй момент — разработайте базовый уровень настроек безопасности для своих рабочих станций, серверов и активного сетевого оборудования. За основу можно взять рекомендации регулятора или лучшие международные практики. Самое главное осуществлять контроль в ручном режиме, либо с помощью решения вроде Efros DefOps компании «Газинформсервис».
Ну и третий шаг — позаботьтесь о том, чтобы все ключевые данные хранились в защищенных хранилищах и регулярно проходили аудит безопасности. Опять же, это можно делать руками или с помощью скриптов, а можно перенести все в решение, аналогичное СУБД Jatoba, и пользоваться теми фишками, которые предлагает защищенная СУБД.
И вот уже после этих шагов можно задуматься над тем, как облегчить себе жизнь за счет поставщиков всевозможных киберуслуг. Мировой опыт говорит, что стоимость решения в экстренной ситуации увеличивается в разы, если реагирование на инцидент задерживается. Интуитивно это и так понятно, но увы, многие прочувствовали это уже на своем личном опыте.
Автор колонки: Сергей Полунин |
