Что общего между ИБ и кухней?

Что общего между ИБ и кухней?
Есть три вещи, которые меня раздражают в российских новогодних праздниках - безделье (но я научился с ним бороться), фейрверки в новогоднюю ночь до 4-х утра и бесконечная еда (кого-то еще раздражает постоянные возлияния горячительными напитками, но не меня). Вот про еду мы сегодня и поговорим :-) Когда-то я написал несколько заметок, которые проводили параллели между ИБ и ремонтом , поясом верности , женщиной , медициной , футболом , автомобилем  и, наконец, фауной . Это было несколько лет назад и я решил вернуться к теме аналогий, проведя параллели между ИБ и кухней.
  1. Вы готовите блюда. Будучи шеф-поваром, ваша задача приготовить блюдо, которое устроит ваших клиентов, имеющих совсем разные вкусы и разные потребности. Так и в ИБ - ваша служба должна удовлетворить их все. У кого-то изысканный вкус, у кого-то его и вовсе нет; кому-то нужны специфичные блюда по ИБ, а кого-то устроит и обычный фастфуд. При этом именно шеф службы ИБ отвечает за все.
  2. У вас должно быть меню. Когда вы приходите в ресторан, вы врядли самостоятельно набираете ингредиенты и указываете поварам, как их готовить (хотя такие фишки у ресторанов бывают). Вот и в ИБ вам нужно меню, в котором будут ваши фирменные блюда, то есть сервисы ИБ, которые должны удовлетворять потребности клиентов. При этом, в зависимости от "высоты" вашей кухни у вас будут либо только типовые "блюда" - борьба с DDoS, контроль утечек, защита периметра, антивирус и т.п., либо вы сможете приготовить и рецепты высокой кухни - безопасность промышленных систем, защита ERP, BYOD, DevSecOps и т.п.
  3. Вам нужны правильные ингредиенты. Качество ваших блюд зависит от ингредиентов - их качества, свежести, количества. А что является ингредиентом в ИБ? Данные, которые позволяют принимать нужные решения - события ИБ, инциденты, атаки, потоки, транзакции и т.п. От того, насколько они полны и вовремя поданы и будет зависеть ваше блюдо. Вот нет у вас событий с облачной инфраструктуры и вкус вашей безопасности уже не тот. А если у вас Netflow, то в вашем меню будут отсутствовать "блюда", связанные с внутренней ИБ. Важную роль играет и комбинация этих ингредиентов. Например, данные от оконечных устройств, скоррелированные с данными Netflow, взятые с существующей сетевой инфраструктуры, позволяют детектировать сложные атаки, а решения UEBA так и вовсе не могут функционировать без набора разных данных - от ПК, сети, СУБД, приложений и т.п.
  4. Вам нужны квалифицированные повара разных специализаций. Вы смотрели сериал "Кухня"? Там повара имеют свою специализацию - кто-то кондитер, кто-то по мясу, кто-то по рыбе специализируется. В других ресторанах есть также сомелье, бариста и даже вителье (специалист по сигарам). В ИБ все тоже самое - для приготовления правильных блюд нужны специалисты разного профиля - аналитики, криптографы, писатели политик, реверсеры малвари, специалисты по расследованию и реагированию на инциденты и т.п. И все они должны быть квалифицированными и, более того, регулярно повышать свою квалификацию и компетенции.
  5. Шеф-повар. Какие бы ингредиенты и повара у вас не были, кухню "играет" шеф-повар. Именно от него зависит, получит ваша кухня звезду Мишлена, не будет иметь наград, но будет славиться среди клиентов, или при наличии огромных ресурсов ваша кухня будет достойна только привокзальной столовки где-нибудь на перегоне на Кольском полуострове. Так и с CISO, от которого зависит правильный замес всех элементов - данных, безопасников, средств защиты и т.п. 
  6. Вам нужна правильная посуда! Правильная, а не дорогая или широко разрекламированная. Понятно, что иногда это синонимым, но все-таки эти понятия неравнозначны. Так и в ИБ - вам нужные разные инструменты для аудита, инвентаризации, построения векторов атак, моделирования угроз, блокирования и обнаружения разных типов атак, реагирования на инциденты, мониторинга и т.п. Недорогой инвентарь (open source) может быть компенсирован классным поваром, а слайсеры или наборы поварских ножей (SOAR, SIEM, UEBA, NTA, CASB и др.) могут нивелировать некоторые слабости поваров.
  7. Помещение. Кухня - это еще и помещение, от правильной расстановки мебели в которой, а также от вентиляции, освещения, давления, наличия окон и т.п. зависит очень многое. Помните, я писал про особенности дизайна и проектирования помещений для Security Operations Center (SOC)? Эта заметка неплохо показывает важность этих вопросов в обеспечении ИБ. Комнатушка, в которой толкутся и сидят на коленях друг у друга безопасники, явно не делает их работу легче (хотя и сближает).
  8. Рецептура. Моя жена говорит, что я достиг идеала в приготовлении шашлыка (мне и самому нравится :-) и это не случайно. Я не являюсь кулинаром от бога, просто строго соблюдаю рецептуру. Точное количество ингредиентов, точное время приготовления, точная последовательность действия, точная подготовка мяса и маринада. Вот и в ИБ самодеятельность и хаотичность вредят результату. Нужна книга рецептов ИБ, то есть то, что иностранцы любят называть словом Playbook и Runbook. Неслучайно в названии многих книжек по ИБ или презентаций часто используют слово cookbook (кулинарная книга) или recipe book (книга рецептов). Кстати, время приготовления блюда очень важно и в ИБ - долгое расследование или несвоевременное реагирование влекут за собой ущерб, нарушение сроков внедрения системы защиты также влечет за собой ущерб, нарушение сроков согласования договора может привести к прекращению срока действия лицензии на систему защиты и ее останову, то есть опять к ущербу.
  9. Анализ трендов. Вы замечали, что как и в модной индустрии, в ресторанном бизнесе есть свои течения, свои новинки, свои "горячие" блюда, которые вдруг появляются сразу во многих местах? Да, в кулинарии тоже важно отслеживать тенденции на рынке и своевременно им следовать их. В ИБ все тоже самое - анализ трендов по ту сторону баррикад (Threat Intelligence), тенденций в области технологий ИБ, в области законодательства и т.п.
  10. Вы гоняетесь за "звездами Мишлена". Люди (и организации) падки на похвалу и награды. Это касается шеф-поваров, ресторанов, директоров по ИБ и ИБ-проектов. У нас в отрасли нет своего "красного гида Мишлена", но зато есть различные отраслевые награды - SC Award, Best Security Blogger, Top100 CISO, "Маяк безопасности", ЗУБР, "Информационная безопасность банков" и т.п. 
  11. Проверки. Рестораны, как места общественного питания и обслуживания населения, постоянно проверяют - санэпидемстанция, налоговая, пожарники, и куча других надзорных органов. Да-да, вы поняли, куда я клоню. В ИБ тоже полно своих надзорных органов - ФСТЭК, ФСБ, РКН, ЦБ и др.
  12. Правильная подача. От того, как вы подадите свое блюдо (блюда) зависит отношение к вам клиентов. Их лояльность, их желание поделиться с вами деньгами и желание посещать вашу кухню снова и снова. Так и в ИБ - от того, как вы "продаете" свои блюда целевой аудитории (преимущественно руководству вашей компании) зависит судьба службы ИБ, ее статус и ее ресурсы. Помните другую мою заметку про мониторинг бизнес-показателей со стороны SOC? Она как раз об этом. 

Дюжина совпадений. На самом деле их гораздо больше. У ИБ вообще очень много схожего с различными сферами нашей жизни и деятельности. А тему кулинарии я выбрал неслучайно - дело в том, что именно она выбрана заглавной на весеннем  CISO Forum , который так и называется "XII Международный Форум CISO FORUM: Кулинарная книга CISO". Мастер-классы от шеф-поваров, разговоры об ингредиентах, гастрономические клубы, кухни разных регионов мира, разнообразное меню, выставка инструментов... А в качестве вишенки на торте - настоящая кулинарная книга рецептов от руководителей служб ИБ российских предприятий. Кстати, если вы любите и умеете готовить, у вас есть любимые рецепты и вы готовы поделиться своей тайной с коллегами, то вы тоже можете поучаствовать в создании кулинарной книги рецептов CISO - присылайте свои рецепты организаторам мероприятия!

До встречи на CISO Forum !

ЗЫ. Я на CISO Forum планирую проводить киберучения и, возможно, будет еще что-то - пока есть время до мероприятия и формирования моих планов.
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться