15 мая 2017

Почему мониторингом информационной безопасности всегда будут заниматься люди, а не машины

Тематика мониторинга информационной безопасности сегодня актуальна, как никогда раньше. Крупные компании строят свои SOC`и и CERT`ы, производители активно продвигают SIEM-системы, регуляторы обновляют лицензионные требования. Очень много внимания уделяется техническим аспектам, как то: какую SIEM-систему выбрать, откуда собирать события, какие фиды подключить и насколько им доверять.
За всеми этими деревьями очень легко не увидеть леса. Я сейчас рискую навлечь на себя гнев производителей средств защиты, но все же скажу: «Самое главное, что всегда было и будет в мониторинге безопасности — это аналитик информационной безопасности». Конкретный специалист, который сидит перед монитором и переваривает все то, что выдает ему система, влияет на результат в значительно большей степени, чем это делают средства защиты, правила корреляции и фиды threat intelligence вместе взятые.
Почему? Да потому что невозможно сделать на IDS такие настройки, которые позволят увидеть за чередой подозрительных распределенных во времени событий безопасности таргетированную атаку или уже состоявшееся вторжение. Для этого нужен аналитик безопасности, сниффер и дампы траффика. Невозможно настроить DLP-систему настолько точно, чтобы она не давала ложных срабатываний. Нужен человек, который будет перепроверять отзеркаленные «возможные утечки». Даже у антивирусных программ бывают ошибки и первого, и второго рода. Поэтому иногда осторожно открываем подозрительное вложение в безопасном окружении и смотрим «глазками» (в смысле утилитами), что произойдет.
Рассмотрим еще одно расхожее заблуждение. Давайте для наглядности ограничимся внешним нарушителем. Типичный такой средней руки злодей, который сидит где-нибудь на просторах Интерента и думает, как бы набедокурить. Пусть он ищет уязвимости в сетевом периметре. Для защиты от таких обыденных случаев, казалось бы, и существуют средства защиты типа IPS или WAF. И это действительно так. И, скорее всего, они защитят от первых 10 попыток взлома, или от первых 100 попыток, или от первой 1000. Точно ведь не известно. Как узнать, не увенчалась ли успехом какая-либо попытка? IPS об этом не расскажет. Это важно понимать. IPS отразит в отчете только те атаки, которые она распознала, а те атаки, которые были не распознаны, в отчет не попадут. Судить об успешности атаки можно либо наблюдая за ее развитием, либо анализируя логи той системы, которую атаковали, если уровень логгирования достаточен. А чаще всего необходимо руководствоваться совокупностью признаков. Опять же — нужен компетентный аналитик безопасности. Строго говоря, IPS и не должна блокировать 100% атак. Системы класса IDS/IPS в мониторинге безопасности используются как индикаторы. Они привлекают внимание аналитика к происходящему в определенном участке сети. Как интерпретировать выявленную подозрительную активность решает аналитик.
Такова реальность, коллеги. На текущем этапе развития информационных технологий эффективно противостоять компетентному нарушителю может только более компетентный специалист по информационной безопасности. Средства защиты помогают, это факт. Но сами по себе, какими бы умными, «самообучающимися» и супертехнологичными они не были, они не решают задачу. Разговоры о machine learning, anomaly detection, user & entity behavior analytics и т. п. пока не состоятельны — все это работает на ограниченном подмножестве случаев. Более того, я полагаю, что такое положение дел вообще не связано с текущим состоянием развития информационных технологий. Просто в категории творческих задач с человеком может состязаться только другой человек. А взлом и проникновение в мире информационных технологий — это очень даже творческая задача. У каждого специалиста по тестированию на проникновение есть в запасе пара-тройка историй, как он «наломал клиента» каким-нибудь совершенно нестандартным способом. Да так, что никакая IPS не помогла.
Резюмирая все вышесказанное, хочется еще раз подчеркнуть основную мысль. Приобретаете ли вы какое-либо средство защиты информации, или внедряете SIEM-систему или принимаете решение о построении корпоративного центра мониторинга, спросите себя, кто будет эксплуатировать все это? Достаточно ли специалистов у вас в штате? Хватит ли у них квалификации? Аналогично и при выборе подрядчика на это направление — ищите в первую очередь компетентных специалистов. Все остальное — вторично.
Артур Котылевский
Директор по развитию бизнеса, Акрибия
Другие публикации по теме