Информационная безопасность — занятие непростое, особенно там, где она сталкивается с реальностью: печально известные Security Operations. Из-за постоянно меняющегося ландшафта угроз (а зачастую — и самой ИT-инфраструктуры) отовсюду лезут и лезут проблемы: то логи перестали приходить, то инцидент неправильно отработали, то пентестеры опять поломали всю сеть. В общем, «то лапы ломит, то хвост отваливается», как в одном известном советском мультфильме.
После определённого количества серьёзных проблем высшее руководство обычно начинает искать пути их решения. На самый долгий, сложный и дорогой (нанять больше людей, выстроить процессы и автоматизировать по максимуму рутинные задачи) решаются немногие — что неудивительно, учитывая то, что собственный SOC — удовольствие и так недешёвое. И тут на помощь руководству спешат консультанты. Дорвавшись до высокой аудиенции, они демонстрируют простой и понятный план: давайте мы проведём аудит всего, напишем рекомендации — а вам только и останется воплотить их в жизнь и наслаждаться результатами.
Звучит, может быть, и здорово — но вот в реальности прекрасная идея оборачивается совсем другим. И без того замотанные текущими задачами подразделения безопасности вынуждены теперь тратить драгоценное время на внеплановые совещания и заполнение бесчисленных табличек в «Экселе», которые отправляются аудиторам на «проверку». И потом всё бумерангом возвращается в виде вопросов, уточнений и вороха рекомендаций. А вот дополнительного времени и ресурсов на эту активность, как правило, никто не даёт.
Я несколько лет работаю в SOC одной зарубежной компании, и мой личный рекорд на данный момент — это, кажется, четыре параллельно идущих аудита в один месяц. При этом каждый аудитор клятвенно уверял, что его вопросы срочные и требуют немедленного внимания. Вот бы ещё и работать успевать при таких вводных...
В общем, если кто-то из читающих этот выпуск делает подобное у себя — не надо так. А вот как надо:
— перед принятием решения об аудите соберите обратную связь от команды
— наверняка они сами назовут какие-то критичные проблемы, которые имеет смысл решить сразу же;
— чётко определите цели аудита (и, желательно, согласуйте их с подразделением, где он будет проходить);
— по возможности — обходитесь теми аудитами, которые являются обязательными (например, проводимыми в рамках PCI DSS), не плодите лишние сущности;
— обеспечьте достаточные ресурсы и временны́е рамки для устранения выявленных замечаний;
— в любом случае не допускайте нескольких аудитов, идущих одновременно. Расставьте приоритеты и оставьте какой-то один. Закончите его, отработайте замечания — и только потом переходите к следующему.