Как ни крути, а ничего кроме этих трех приемов мы сделать не можем. Это касается безопасности вообще, не только информационной. Действие угрозы (известной также как "нежелательное событие", "инцидент" или "актуализированный риск") можно либо А) предотвратить, либо Б) обнаружить и отреагировать на нее надлежащим образом.
Естественно, лучше всего угрозу предотвратить. Не наступившее нежелательное событие не вызовет нежелательных последствий, следовательно никто и ничто не пострадает. На первый взгляд предотвращение -- лучшая из трех тактик защиты. Сложности начинаются, когда заходит речь о деньгах. Дело в том, что предупредительные (превентивные) контрмеры (контроли) обходятся дороже всего. Следовательно, эффективность превентивных контролей низка; хоть, с одной стороны, они способны устранить урон до его возникновения, при этом стоимость этого устранения очень велика, и не исключено, что превышает размер возможного урона. Не забывайте, также, что многие превентивные контроли никогда не срабатывают, так как призваны предотвращать редкие, но очень существенные угрозы.
В добавок, идеальных контрмер не существует, поэтому даже самые тщательно спланированные превентивные контроли иногда ломаются. Поэтому, руководствуясь принципом defense in depth, всегда следует подкреплять предупредительные контрмеры детективными. То есть, постоянно следить за происходящим, стараясь выявить инцидент на ранних стадиях.
Естественно, само по себе выявление особого смысла не имеет. На выявленный инцидент нужно реагировать, а для этого нужно быть к нему готовым. То есть, не просто написать процедуру управления инцидентами ИБ, как того требует его величество ISO/IEC 27001, но разработать подробный план действий в случае возникновения инцидента, а также распределить роли в этом процессе, назначить координатора и регулярно проводить тренировочные учения. Эффективна лишь та подготовка, в ходе которой участники команды реагирования выполняют запланированные действия в условиях, максимально приближенных к "боевым". В противном случае инцидент застанет команду врасплох, и реакция будет сумбурной, неорганизованной и неэффективной.
В этом свете по-новому начинаешь смотреть на тесты на проникновение. Когда тестирование безопасности проводится третьими сторонами, это позволяет имитировать действия воображаемого противника наиболее реалистично. Следовательно, такие условия разумно использовать в качестве средства испытания не только брандмауэров, IPS, антивирусов и прочих мигающих коробочектехнических средств защиты, а и качества планирования управления инцидентами, а также навыков, организованности, и если хотите -- сыгранности команды реагирования.
