7 Декабря, 2017

Бывает ли кибербезопасность с десяти до шести?

Алексей Лукацкий
Незапланированная заметка, навеянная тремя событиями. Началось все позавчера, когда Дима Мананников опубликовал в Фейсбуке заметку про безопасность смарт-контрактов, ICO и всего такого и, не увидя бурной дискуссии от коллег, высказал удивление сему факту. Мол, задача безопасника - отслеживать все новые бизнес-технологии и искать способы их безопасного внедрения/использования в бизнесе. Я ему возразил и в итоге завязалась дискуссия, в которой я высказал следующую мысль: "Безопасник в массе свой рядовой сотрудник, выполняющий трудовые обязанности с 10 до 6. Он ничем не отличается об уборщицы или бухгалтера. Им всем комфортно в своем болотце и менять что-то они будут только в экстренных ситуациях. Плюс образование, которое учит compliance и борьбе мо старыми угрозами. Отсюда все. Исключения бывают, но только подтверждают общее правило".

Подтверждение моему высказыванию я получил относительно недавно на одном крупном предприятии, которое любит выпячивать свою экспертизу в области ИБ. В рамках очередного моего приезда к ним и рассказа о том, как у нас в компании выстроен процесс реагирования на инциденты, я рассказал о сервисе Cisco Umbrella Investigate, позволяющего оперативно и без установки какого-либо железа и софта у заказчика (и даже без какой-либо их перенастройки и перенаправления трафика) проводить анализ инцидентов , связанных с Интернет-активностью. Решение заинтересовало заказчика, тем более, что он запустил свой SOC, в рамках которой работала группа по расследованию инцидентов и Threat Intelligence. От нас оперативно потребовали триальный доступ для тестирования, что мы и сделали. Прошел месяц. На очередной встрече у этого заказчика представитель группы реагирования на инциденты в присутствии большого руководства отчитался о завершении тестировании Investigate и нахождении ряда интересных кейсов. Руководство заинтересовалось и попросило показать систему в действии... И вот тут случился казус. Я с ноутбука зашел в панель аналитика и предложил представителю incident response team показать, что он обнаружил. Но в глазах его я увидел, что он в первый раз видит панель аналитика Investigate. Заподозрив неладное, я хотел спустить дело на тормозах, но большое руководство заказчика потребовало "красивых картинок и схем", за которыми последовал ужасный вывод - выяснилось, что IRT заказчика даже не активировало предоставленный им временный доступ и он, разумеется, уже "протух". Оставлю за рамками произошедший после этого разбор полетов, но меня неприятно поразило отношение некоторых безопасников к своим обязанностям. Чем-то это напомнило Советский Союз с его победными реляциями, отчетами о деятельности для галочки и очковтирательством :-(

Финальным аккордом стали комментарии Михаила Никишина к моей заметке про семинар Gartner, который высказал (да уже и не первый раз) мысль, что в нашей отрасли ИБ вообще нет безопасников (вспоминаем сентябрьский чеклист "настоящий ли ты безопасник?"), а только одни айтишники с их специфическим мышлением и способом решения задач. Не совсем я согласен с Михаилом, но доля истины в его словах есть . Кибербезопасность превратилась в обычную деятельность, как и сотни других профессий. И многие специалисты действительно работают с 10 утра и до 6 вечера, напрочь забывая про ИБ за пределами времени, установленного Трудовым Кодексом.


По сути, большинство "безопасников" действительно погрязли в своей зоне комфорта и выйти из нее зачастую не могут или не хотят. Лет 10 назад я приехал к одному знакомому, руководившему сектором ИБ в одной организации. Мы поговорили о том, о сем, и я предложил ему рассмотреть несколько технологий и решений, которые могли бы помочь ему в озвученных им проблемах. И что же вы думаете? Он отказался, сославшись на то, что его все и так устраивает, а новые решения - это новая головная боль, а ему хотелось бы сидеть на попе ровно и не напрягаться по поводу чего-то нового. Он до сих пор сидит на своей должности, не выходя из зоны комфорта, не занимаясь развитием. Хотя я и встречаю его регулярно на различных ИБ-тусовках, где он задает якобы каверзные вопросы, но в своей практике затем полученные знания никак не использует. Грустно это...

Дмитрий удивляется, почему безопасники не занимаются бизнес-стороной своей деятельности. Я же удивляюсь, почему они не занимаются даже просто новыми технологиями ИБ. NTA, EDR,  UEBA, IAG/IGA, PAM, CASB, SDS, SDP, SOAR, DDP, SIG, RASP, SAT, NFT и др. Нет денег? Не смешите. Бюджеты у многих заказчиков измеряются сотнями миллионов, а то и миллиардами рублей. Они могут себе позволить эти решения и они им зачастую нужны. Но не используют. Потому что надо въезжать во все эти новомодные аббревиатуры, внедрять их, учиться им, объяснять руководству результаты и т.п. А зачем? Нормативка не требует, за инциденты не наказывают, эффективность никого не волнует. "И так сойдет", как говорилось в известном советском мультфильме.


Грустные размышления какие-то получились. Может я не прав? Может жду от безопасников чего-то чего не стоило бы? Фиг знает.

ЗЫ. Оказывается я про это два месяца назад писал , но другими словами :-) Наболело, значит. Ну да ничего. Повторенье - мать ученья.

ЗЗЫ. Дальше вернусь к темеSOCов.
comments powered by Disqus