Security Fabric: пришло время для создания связной структуры ИТ-безопасности

Термин «ткань» («fabric») применительно к ИТ изначально описывал способ создания и использования гибких данных и приложений, которые могут перемещаться в любой уголок предприятия. Но давайте рассмотрим, стоит ли применить это понятие и к разрозненным решениям для обеспечения безопасности, пишет на портале InformationWeek Мэри Шеклетт, президент консалтинговой компании Transworld Data.

Что такое «ткань безопасности» («security fabric») и как ее реализовать? Во-первых, важно прояснить терминологию.

В зависимости от того, с каким поставщиком систем безопасности вы общаетесь, всеобъемлющая структура безопасности, охватывающая все ваше предприятие, может также называться «сеткой» («mesh») или «каркасом» («framework»). Все они пытаются решить одну и ту же задачу: внедрить систему безопасности таким образом, чтобы разрушить разрозненность и охватить каждый сантиметр ИТ-инфраструктуры, от периферийных устройств до корпоративного дата-центра.

Достичь этой цели нелегко. В первой половине 2022 г. в мире было зафиксировано 236,1 млн. атак вредоносного ПО и 623,3 млн. атак вымогательского ПО (ransomware). По данным «Лаборатории Касперского», число фишинговых атак в 2022 г. превысило рубеж 500 млн. Достаточно сказать, что сотни тысяч злоумышленников, которые работают 24 часа в сутки 7 дней в неделю, ищут бреши в ИТ-сетях по всему миру.

Вот как они это делают: они используют плохие привычки пользователей в области безопасности, которые по неосторожности пропускают атаки через входную дверь, а также используют дыры в безопасности сетей, систем и данных, которые не заделал ИТ-отдел.

Техническая проблема оставления открытых дыр в ИТ-инфраструктуре, которыми пользуются злоумышленники, существует на большинстве предприятий. Одна из причин заключается в том, что ПО и решения по безопасности часто приобретаются на разовой основе для удовлетворения конкретных потребностей. Когда такие решения приобретаются фрагментарно, легко оставить дыры открытыми, потому что вы не видите общую картину. Кроме того, у вас, скорее всего, нет бюджета, который позволил бы вам увидеть эту общую картину. Вместо этого вы делаете лучшее из того, что у вас есть.

Второй проблемой, препятствующей развитию корпоративной ткани безопасности, является ограниченность знаний ИТ-специалистов о том, что необходимо для ее создания и работы.

По оценкам NIST, во всем мире не хватает 2,72 млн. специалистов по безопасности. При этом неразвитые мягкие навыки являются наиболее очевидным их недостатком.

ИТ-отделы, которые не могут привлечь внешних специалистов, могут организовать наставничество и проводить перекрестное обучение персонала, который уже есть в штате. Они также должны проводить перекрестное обучение пользователей, которых теперь просят контролировать и обслуживать ИТ-активы, находящиеся в пользовательских зонах на периферии предприятий. Однако такое обучение, скорее всего, будет сосредоточено на технических навыках. Оно все еще не затрагивает мягкие навыки, которых не хватает многим технически ориентированным людям.

Построение ткани безопасности

Ткань ИТ-безопасности должна решать три задачи:

1. ИТ-безопасность должна представлять собой общую архитектуру, способную охватить все точки входа в ИТ-активы предприятия, а не набор разрозненных решений. Что это значит? Когда вы начинаете применять подход «ткани», вы больше не сосредоточены на одноразовых, изолированных решениях безопасности, которые устраняют конкретные проблемы по мере их возникновения. Вместо этого вы должны определить общую архитектуру безопасности для вашей компании, а также экспертизу, политики и инструменты, необходимые для ее внедрения и поддержания.

Это быстро может превратиться в инвестиции со многими нулями, и не все компании могут себе это позволить. Но они могут воспользоваться решениями и экспертизой в области безопасности облачных провайдеров, которые могут предоставить как ткань безопасности, так и соответствующие знания. Облачная модель оплаты также избавляет вас от крупных капиталовложений, которые ваша компания не может себе позволить.

2. ИТ-службы должны решать вопросы безопасности внешней среды (включая облако, бизнес-партнеров, корпоративные цепочки поставок и т. д.), а не только внутренней безопасности. Что это означает? Цепь прочна лишь настолько, насколько прочно ее самое слабое звено. Так, если ваш отдел закупок нанимает поставщика, который практикует слабую безопасность и не проверяет свои данные и системы, и эти данные попадают в вашу сеть, вы можете внезапно оказаться под атакой вредоносного ПО. То же самое касается и партнеров из категории ИТ-поставщиков, особенно тех, кто продает датчики, камеры и другие устройства Интернета вещей (IoT). Часто эти устройства поставляются с широко открытыми предустановками безопасности. Они будут пропускать все, что угодно, если в ИТ-отделе нет политики/процедуры, позволяющей проверять и настраивать безопасность в соответствии со стандартами предприятия перед внедрением любых получаемых устройств.

Не менее важна и ваша сетка безопасности. Является ли она глобальной, охватывая все облачные и внешние экосистемы, с которыми взаимодействует ваша компания, а также ваши внутренние ИТ-активы? Если ваша сетка не справляется с этой задачей, она не является полноценной.

3. Сетка безопасности — это также и люди, и политики. Что это значит? В конце 2021 г. 97% руководителей компаний, опрошенных в ходе исследования компании Egress, заявили, что они обеспокоены нарушениями безопасности в результате действий сотрудников.

Такие нарушения часто являются результатом ошибок, таких как открытие ссылки в письме по электронной почте из источника, который кажется надежным, но является фишинговым. В других случаях утечка данных может быть делом рук враждебно настроенных сотрудников, которые намеренно пытаются нарушить работу сети или присвоить себе интеллектуальную собственность.

Обучение сотрудников рациональным методам обеспечения безопасности и соответствующему поведению, аудит этого поведения с помощью регулярных проверок методами социальной инженерии, а также совместная работа с высшими руководителями и менеджерами отделов HR и работы с пользователями — все это должно быть включено в повестку дня ИТ-службы по обеспечению безопасности. Именно здесь развитие мягких навыков, таких как отличные коммуникации и умение обучать, играет важную роль в эффективной стратегии безопасности.