Привет, Хабр! Представляю вашему вниманию перевод статьи «If You’re Not Doing Continuous Asset Management You’re Not Doing Security» автора Daniel Miessler.

Чем больше компания может рассказать о своих активах, тем лучше у них дела с безопасностью. Чем более комплексная и оперативная инвентаризация реализована, тем выше уровень зрелости организации в вопросах защиты информации. Убеждаюсь в этом на протяжении 15 лет, консультируя сотни корпоративных клиентов.

Но просто попробуйте как штатный работник или как консультант получить отдельного человека, нанятого для создания и поддержания системы управления активами. В большинстве случаев на вас посмотрят так, будто вы просите покрасить стены невидимой краской. Выражения их лиц будут говорить: «Слушай, не знаю, откуда ты, но здесь у нас нет лишних денег, чтобы разбрасываться ими на глупые административные задачи».

Вот что значат их взгляды, и это смешно, учитывая, на что тратятся деньги. Компании несут расходы на печеньки в офисах, отправляют людей на бесполезные тренинги с конференциями и сливают миллионы на маркетинговые кампании, результаты которых не могут потом привязать к уровню продаж. Но потратить деньги на то, чтобы иметь список того, что мы на самом деле защищаем? Неа. Слишком дорого. Расточительство чистой воды.

Управление активами, возможно, самый важный компонент программы безопасности, но я знаю примерно ноль компаний, у которых есть выделенный работник для этого.

Люди продолжают задавать ненужные вопросы о нарушениях. Прекратите спрашивать про сертификаты соответствия, регламенты или дипломы. Это не имеет значения. Вместо этого давайте спросим, у кого из этих компаний был перечень активов, с охватом более 60% и актуальностью менее 30 дней. Думаю, более 99% компаний, столкнувшихся с серьёзным инцидентом или утечкой за последние пять лет, не имели такого списка своих систем, данных и производителей. Я был бы рад услышать от кого-то, что ошибаюсь.

Для большинства компаний самое лучшее, что они могут сделать для своей программы безопасности — это нанять отдельного человека для поддержания перечня активов компании в режиме, близком к реальному времени.

И раз уж мы тут играем с огнём, давайте зададим ещё один вопрос: чего стоит соответствие требованиям регуляторов в области защиты информации, если его можно получить, не имея понятия, где ваши данные, и какие у вас системы? Как такое вообще возможно? Это как если бы автопроизводитель прошёл краштест, не предоставив машину.

Забудьте всё, что вы знали про информационную безопасность. Спустите это в унитаз. Все регламенты, сканеры безопасности, управление уязвимостями и аудиты. Давайте называть это «не-плохо-бы-иметь».

Показатель зрелости команды безопасников — это их ответы на вопросы:

  • Что сейчас доступно из Интернета?
  • Сколько всего у вас систем?
  • Где ваши данные?
  • Оборудование скольких производителей вы используете?
  • Какого рода данные на оборудовании каких производителей обрабатываются?

Если они смотрят на вас, как баран на новые ворота, они не занимаются настоящей безопасностью. Если они не знают, что защищают, это всего лишь дорогая и сломанная машина, сжигающая деньги компании.

Они — учитель, который не пересчитывает учеников в опасной поездке, военнокомандующий, потерявший свои боевые части, и родитель, который не представляет, чем занимается их ребёнок. Одним словом они — потеряны. И фиаско неизбежно. Это не значит, что они не знают безопасность, или у них нет слаженного коллектива. Это ловушка, в которую попадаются многие отличные команды.

Если мы хотим знать настоящий уровень безопасности, давайте использовать единую метрику для всей индустрии: «Точность и актуальность инвентаризации активов». Можно начать с чего-то вроде этого:

  • A: 90% точность, или 1 неделя давности
  • B: 80% точность, или 1 месяц давности
  • C: 70% точность, или 2 месяца давности
  • D: 60% точность, или 3 месяца давности
  • E: 50% (или меньше) точность, или 1 год давности

А теперь поставьте каждому руководителю команды безопасников цель достичь 95% точности с ежедневным/еженедельным обновлением в течение 6 месяцев. А ценой будет просто зарплата 1-3 человек, нанятых для выполнения этой задачи. Это сократит нарушения безопасности и обойдётся в разы дешевле, чем та свалка продуктов, которые мы закупаем и развёртываем каждый год.

Я не говорю, что это легко, или что я всегда превосходно делал это раньше. Я, как и многие, не всегда относился к этому достаточно серьёзно. Но если вы не хотите платить одному или нескольким людям, чтобы они занимались управлением активами полный рабочий день, вы не на пути к неудаче — вы уже потерпели неудачу. Конечно, я не призываю отказаться от остальных важных мер защиты. Но я говорю, что это должно стать приоритетным направлением повышения безопасности, а заплатить за это можно деньгами, которые неэффективно тратятся на другие вещи.

Автор оригинала: Daniel Miessler

Об авторе


Daniel Miessler — специалист по защите информации и писатель, родившийся, выросший и проживающий в северной Калифорнии:
Моя главная интеллектуальная страсть в жизни сводится к следующему:
  1. Изучение интересных принципов мироустройства: их выявление, описание и документирование.
  2. Решение реальных проблем с использованием структурированных знаний.
  3. Обмен и обсуждение с другими как самих моделей, так и их применимости для изменения мира.

Говоря иначе, мне нравится находить шаблоны в вещах, создавать модели того, как устроен мир, обсуждать, делиться и использовать эту информацию для улучшения жизни тем или иным образом.

Комментарии (14)


  1. reskator
    28.05.2018 08:56

    Собственно статья очень правильный акцент ставит на том, что очень часто, вместо обеспечения информационной безопасности, инфо безопасники в компаниях занимаются прожиганием денег, действуя согласно культу карго. Они блокируют usb, не потому что на компьютерах сотрудников есть ценная инфа, а чтобы показать — могём! И в сбертехе так делают, мы следуем лучшим практикам. А потом выясняется, что самое ценное хранилось в личном облаке руководителя отдела, с паролем почты, на мэйл ру. И дело не в том, что облака запретить нужно, нужно запрещать чувствительную к утечке информацию туда сохранять.


  1. Kanut79
    28.05.2018 09:22

    Они блокируют usb, не потому что на компьютерах сотрудников есть ценная инфа, а чтобы показать — могём!

    Ну в одной фирме на которую я работал, USB начали блокировать после того как один товарищ умудрился вирусов на флэшках принести. Это я к тому что причины для блокировки могут быть разные.
    А то, что местами в таких вопросах творится бардак и, как вы удачно выразились, культ карго, тут я спорить не буду :)


    1. Michae1 Автор
      28.05.2018 11:14

      Согласен с reskator, нужно исходить из модели угроз и потребностей бизнеса. Если объективной необходимости использования съемных носителей не было, тогда, конечно, можно блокировать. А если была, тогда пляшем от модели угроз. Если мы защищаемся от «общего вредоносного фона», то достаточно установить антивирус и выполнить рекомендации по базовой защите рабочего места (права доступа, бэкапы, патчменеджмент и т.д.). Если мы видим себя мишенью APT с недетектируемой малварью, это уже другая песня с выделенными рабочими местами для работы с флешками, проверкой целостности и прочими прелестями.
      Но всё это предполагает деятельность мыслительную. А вот тупое следование инструкциям — просто деятельность (и её имитацию). Второй путь, разумеется, проще. Особенно для тех «безопасников», которые после муштры силовых структур пришли доживать свой век в корпорации.


      1. Kanut79
        28.05.2018 11:24

        Да я в общем-то особо и не спорю.
        Просто есть ещё такой момент как стандарты и сертификации. И возможно у фирмы нет необходимости выполнять стандарт целиком или проходить сертификацию. Но если она просто сделает всё «по уму», то это сложно обьяснить клиентам и партнёрам. А сертификат это сертификат.
        Да и мыслительная деятельность это хорошо, но всегда можно ошибиться и что-то не учесть. А если работаешь с важной информацией, то на мой взгляд иногда лучше немного переборщить с безопасностью.


        1. Michae1 Автор
          28.05.2018 12:21

          это сложно объяснить клиентам и партнёрам

          Тут согласен. И хотя я также скептически отношусь к продаже мнений «экспертов» в виде красивых сертификатов в качестве подтверждений чего бы то ни было, в части ИБ альтернатив не так чтобы много. Участие в багбаунти и конференциях, да, пожалуй, и всё, что можно сходу вспомнить. Нам всем как безопасникам сто?ит крепко подумать в этом направлении.

          всегда можно ошибиться и что-то не учесть

          А вот тут не соглашусь. Не в том смысле, что нет места ошибкам, конечно. А в том, что инструкции и регламенты от этого не защитят. Они нужны, когда деятельность лишена творческой составляющей. Там люди вынуждены действовать, как роботы, «на автомате». И чтобы они не отвлекались на мыслительную деятельность, для них составлены инструкции, и реализован контроль их исполнения. Такая деятельность, я очень надеюсь, рано или поздно будет автоматизирована. Но ИБ при всей «техноёмкости» всё-таки находится в контексте человеческих отношений, а значит предполагает творческую и интеллектуальную составляющую в работе. Бумажки не могут отразить всё многообразие и динамичность этой сферы, а ошибки скорее будут спокойно жить в формально соответствующей всем требованиям среде, чем там, где люди вынуждены постоянно думать о текущем состоянии инфраструктуры, рисках и угрозах.


  1. box4
    28.05.2018 09:51

    Все это есть в iso:20000 для ИТ и для IS iso:27001, если в статье под активами подразумевается понятие процесс то да, необходимо чтобы каждый департамент ответил вопрос: Какую услугу мы предоставляем? и раздробить на информационные системы которые поддерживает эту услугу, держать список активов в инвентаре и делать риск анализ, принять соглашение между бизнесом и ИТ SLA.


  1. maxzhurkin
    28.05.2018 21:14

    Какого рода данные у каких производителей

    Это что вообще значит?


    1. FairyCake
      29.05.2018 11:01

      Осмелюсь предположить, что речь идёт о различных типах сервисов, будь то VPN или почта или что-то бизнесовое.


      1. maxzhurkin
        29.05.2018 11:32

        Да нет, скорее всего, речь идёт о вендорах, просто так совсем неправильно переводить, IMHO
        P.S. Хотя, возможно, речь о генераторах или источниках (данных), но, в любом случае, слово «производитель» без пояснений здесь совсем неумесно


        1. Michae1 Автор
          29.05.2018 11:57

          Речь, как Вы можете убедиться, взглянув на оригинал, конечно, идёт о вендорах. Мне тоже эта фраза не очень понравилась, но ничего лучше и понятнее придумать не получилось. Подскажите, как Вы её видите?


          1. maxzhurkin
            29.05.2018 12:23

            Вендор или разработчик


          1. maxzhurkin
            29.05.2018 18:51

            Вот вопросы из оригинала и более-менее адекватный перевод (к сожалению, в английском можно в двух словах выразить мысль очень общего плана, что в русском сделать гораздо сложнее):
            How many vendors do you have?
            Сколько у вас поставщиков (оборудования, ПО, программных продуктов и решений, программно-аппаратных комплексов и решений, в общем, в самом широком смысле)?
            Which vendors have what kind of your data?
            Какие вендоры владеют какого рода вашими данными? (как в смысле того, что у вендора как субъекта непосредственно есть ваши данные, так и в том смысле, оборудованием и/или ПО какого вендора контролируются те или иные ваши данные)


            1. Michae1 Автор
              29.05.2018 18:53

              Уже поправил в статье. Спасибо за подсказку.


        1. FairyCake
          29.05.2018 12:22

          Я всё же думаю, что автор имел ввиду зоопарк программного обеспечения, которое обрабатывает различные данные и разнообразие самих данных. Ведь это не менее важно, при выстраивании процессов безопасности.

          По-большому счёту я согласен с вами, речь о понимании типов данных из различных источников (вендоров), но это же четвертый пункт «Сколько производителей у вас?», а дальше «Какого рода данные у каких производителей?», это уже дальнейшее дробление, т.к. данные могут быть как бизнеса, так и безопасности или чего-то другого. На мой взгляд, бессмысленно строить «ИБ» в отдалении от бизнеса.

          К сожалению промахнулся и ответил не тому. Я согласен с maxzhurkin. :)