Службам безопасности и ИТ-операций необходимо научиться обмениваться знаниями и разделять ресурсы

С самого начала цифровой эпохи главная операционная функция ИТ-отдела строилась вокруг доступности и производительности — обеспечить быструю работу систем со 100%-ным или близким к тому временем безотказной работы, чего бы это ни стоило. Сегодня ситуация выглядит несколько иначе, пишет на портале TechBeacon Гербен Верстрате, главный технолог подразделения глобальных альянсов Micro Focus.

Безопасность стала обязательным требованием для всех, так как вследствие громких взломов систем предприятиям приходится нести миллионные убытки из-за штрафов и расходов на устранение последствий, не говоря уже о позоре, которому подвергаются их бренды.

Проблема заключается в том, что, хотя в целом безопасности стало уделяться гораздо больше внимания, на большинстве предприятий эта тема остается замкнутой в своем собственном пузыре. Собственные инструменты и процессы службы безопасности не используют многолетний опыт и зрелость более широкой ИТ-службы, которая в большей степени ориентирована на предоставление услуг, и это все чаще создает проблемы.

Вот почему службы безопасности и ИТ-операций (IT Ops) должны действовать вместе во имя достижения киберустойчивости и не только.

Почему изолированная безопасность терпит неудачу

Я работал с несколькими клиентами, чьи отделы безопасности внезапно столкнулись с необходимостью проведения полномасштабного аудита безопасности. Почему? Их аудитор обнаружил системы в сети и даже целые сегменты сети, которые не были взяты под контроль. В результате они, по сути, потратили на смягчение последствий дополнительные циклы, чего они не могли себе позволить.

Аудит — это хорошее упражнение, но ИТ-отделы уже располагают комплексными инструментами обнаружения, которые хорошо работают и ориентированы не только на обнаружение устройств, но и на обнаружение сервисов — другими словами, на определение взаимосвязей между компонентами, составляющими сервис.

Почему бы службе безопасности просто не использовать эти инструменты или, что еще лучше, не создать практику, при которой службы ИТ и безопасности смогут использовать одни и те же технологии и процессы и принимать решения совместно? Практики ИТ-отделов хорошо зарекомендовали себя и совершенствовались с первых дней управления услугами, и службы безопасности упускают возможности, игнорируя уже существующие системы обнаружения.

Чтобы добиться успешной совместной работы служб безопасности и ИТ, требуются время и обучение, но в результате обе группы получают более полную и точную картину компонентов приложений и инфраструктуры, а также бизнес-услуг, которые они предоставляют.

Даже совместное размещение сотрудников становится проще. Это позволяет сэкономить время и деньги, поскольку не только интегрируются процессы, но и становится известно фактическое влияние безопасности на бизнес — то, с чем большинство операционных центров безопасности все еще пытаются справиться.

Как автоматизация может усугубить проблемы

Автоматизация используется на предприятиях как способ управления SOAR. Найти квалифицированных специалистов по безопасности трудно, и автоматизация является одним из инструментов, которые организации используют для снижения кадровой нагрузки.

Однако комплексные инструменты SOAR могут вызывать тревогу у некоторых организаций. Команда безопасности просто не знает, что именно она автоматизирует, и может быть быстро парализована из-за страха, что автоматизация непреднамеренно искалечит бизнес. Что если средство автоматизации отключит критически важную серверную ферму или изолирует ее от сети во имя повышения безопасности? Возможности для катастрофы можно перечислять бесконечно.

Решение заключается в объединении информации, технологий и процессов команд ИТ и безопасности. Первая уже располагает системой управления конфигурацией и другими операционными инструментами, которые можно использовать для принятия решений по автоматизации на основе ее фактического влияния на бизнес.

Эти инструменты могут принимать во внимание различные аспекты, а именно подверженность бизнеса риску, и принимать более обоснованные решения о том, как реагировать при обнаружении инцидента безопасности. Главное — объединить команды ИТ и безопасности и заставить их делиться знаниями, которые легко доступны в технологиях, в которые они уже инвестировали.

Создайте культуру обмена знаниями

Почему эта разобщенность до сих пор существует? Распространенное оправдание заключается в том, что служба безопасности должна предотвращать доступ к определенным конфиденциальным документам, и поэтому ей нужны собственные инструменты. Но при сегодняшних технологиях просто нет необходимости в использовании отдельных инструментов или даже отдельных процессов, будь то управление инцидентами, изменениями, конфигурациями и т. п.

С учетом этого как никогда важно внедрить безопасность в различные потоки создания ценности (например, в референсную архитектуру IT4IT) для проактивного, а не постфактум, обеспечения безопасности бизнесу. Это называется «безопасность как неотъемлемая часть системы» (security by design).

Один из способов сделать это — последовать примеру CISO одного крупного оператора мобильной связи. Он решил включить в качестве консультантов своих сотрудников в различные команды по работе с приложениями и инфраструктурой, чтобы повысить уровень их осведомленности и знаний в области безопасности, по-настоящему добавив «Sec» в DevSecOps.

Если группа по безопасности понимает, что поверхность атаки возникает с момента разработки нового продукта или услуги (или с момента внесения в них изменений), то общая безопасность обязательно повысится. На более поздних этапах будет возникать меньше сюрпризов с точки зрения безопасности, и бизнес с меньшей вероятностью будет застигнут врасплох.

Вы также сэкономите деньги, избежав дорогостоящего устранения последствий, не говоря уже о риске катастрофы, которая может произойти, например, в случае утечки данных клиентов. Но даже сегодня многие предприятия рассматривают вопросы безопасности постфактум. Все говорят о DevSecOps, но лишь немногие организации действительно применяют эту методологию.

Устраните разобщенность своих отделов ИТ и безопасности

Чтобы это стало возможным, не нужно перекраивать организационную структуру — просто позвольте безопасности развиваться во времени, будучи естественной частью цикла. В перспективе, когда такая модель докажет свою эффективность, вы сможете создать более постоянную организационную структуру.

Как бы вы ни подошли к решению этой задачи, очень важно избавиться от дублирования и начать упорядочивать свои процессы, чтобы вы могли воспользоваться преимуществами автоматизации как в сфере ИТ, так и в сфере безопасности. Внедряя функционал безопасности в ИТ-службу вместо того, чтобы позволить ей жить на собственном острове, вы сможете решить многие проблемы, возникающие на более поздних этапах цикла разработки.