Embed Size (px)
DESCRIPTION
Presentation took plase at the CIASO Forum 2014: http://infosecurity-forum.ru/programme.php
Citation preview
Информационная безопасность крупной
корпорации
С чего начать и чем закончить?
Сергей Солдатов
Преамбула
• В презентации НЕ БУДЕТ:• Конкретных решений конкретных вендоров
• Названий конкретных компаний
• Привязки к отрасли
• Но БУДЕТ:• Альтернативный взгляд на привычные вещи
• Многие моменты проверены на практике
• Возможны гиперболы
Краткий план
• Эволюция подходов к обеспечению ИБ в Компании: с чего обычно начинают, к чему со временем приходят
• Типовые заблуждения
• Как можно делать ИБ, если понимания в ее необходимости нет
• Как развить понимание необходимости ИБ
Эволюция ИБ в Компаниии типовые заблуждения
Эволюция ИБ в Компании (по видению)
«Что бы поделать?»
• Участие везде
• Нет стратегии
• Не определена ответственность
«Против ИТ»
• Выполнение технических сервисов ИТ
• «Конфликт интересов» с ИТ
• Низкое качество сервисов ИТ для потребителей
• Уклон в сопровождение инфраструктуры
• Нет мониторинга
• Нет аудита
«Сервис ИТ»
• Выполнение технических сервисов ИТ
• Па факту –подразделение ИТ
• Уклон в сопровождение систем ИБ
• Мониторинг инфраструктуры
• Аудит инфраструктуры (?)
«Сервис бизнеса»
• Все технические сервисы переданы в ИТ
• Технический сервис ЭБ
• Уклон в мониторинг бизнес-транзакций
• Аудит соответствия
Эволюция ИБ в Компании (по видению)
«Что бы поделать?»
• Участие везде
• Нет стратегии
• Не определена ответственность
«Против ИТ»
• Выполнение технических сервисов ИТ
• «Конфликт интересов» с ИТ
• Низкое качество сервисов ИТ для потребителей
• Уклон в сопровождение инфраструктуры
• Нет мониторинга
• Нет аудита
«Сервис ИТ»
• Выполнение технических сервисов ИТ
• Па факту –подразделение ИТ
• Уклон в сопровождение систем ИБ
• Мониторинг инфраструктуры
• Аудит инфраструктуры (?)
«Сервис бизнеса»
• Все технические сервисы переданы в ИТ
• Технический сервис ЭБ
• Уклон в мониторинг бизнес-транзакций
• Аудит соответствия
Эволюция ИБ в Компании (по модели OSI?)
• Различные вариантыЧто бы поделать?
• Сетевое оборудование (маршрутизаторы, МЭ, АСО*, VPN)
• Почтовые шлюзы, HTTP(S)/FTP-прокси
• Выделенные системы ИБ (IDS/IPS, сканеры, пр.)Инфраструктура
• Мониторинг работы бизнес-пользователей
• Контроль Проектов и Изменений
Бизнес-приложения
• Анализ бизнес-процессов, прогнозирование сценариев атак\мошенничества, проектирование контролей ИБ
• Расследование инцидентов ИБ => корректировка контролей
• Аудит и оценка эффективности контролей ИБ
Бизнес-процессы
* Активное сетевое оборудование
Эволюция ИБ в Компании (глазами пользователей)
А они есть?
Полностью незаметно
Полное непонимание
Исключительно негатив
Полный или частичный
запрет всего
Вредительство
Как к ИТ
Неотличимо от ИТ
Равноправная БФ
Экспертиза в предметной
области
Помощь
« К а р а т е л ь н а я » ф у н к ц и я
«По видению» -- «По модели OSI» --«По отношению пользователей»
? Против ИТ Сервис ИТ Сервис бизнеса
Инфраструктура Бизнес-приложения? Бизнес-процессы
? Негатив Как к ИТ Равноправная БФ
Шкала времени
Этап становления («?»)
• Compliance – все
• Активный поиск врагов…
• Подмена «соответствует» на «безопасно»
• … и они находятся рядом
• Парадоксальные выводы
Индикаторы Проблемы Последствия
«Против ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама обслуживает системы ИБ.
• «Навесные решения»
• Нет общего SLA с ИТ перед бизнесом
• Рассогласование работы оборудования ИТ и ИБ
• Неоптимальные решения
• Высокие накладные расходы на коммуникации
• Низкий уровень доступности сервисов ИТ
• Высокая трудоемкость обеспечения качества сервиса
Индикаторы Проблемы Последствия
Основные заблужденияКорпоративный стандарт неприкосновенен
Это такой же контроль, как и любой другой.
Compliance – основа построения СУИБ
Compliance – побочный продукт
Основная угроза - ИТНелояльность админа не компенсируется исключительно техническими контролями.
«Доверенно» == «Самостоятельно»
Нехватка ресурсов => снижение уровня сервиса => снижениеуровня ИБ
Потребность в сервисе – личное желание (не желание) пользователя
Пользователь решает свои бизнес задачи(без понимания бизнес-процессов утверждать обратное –безосновательно, в т.ч. и права «в прок»)
Основной уклон в запрещениеИмея минимальный доступ к информации (чтение) всегдаможно ее унести
Цель управления Инцидентами – найти нарушителя
Цель – выработать и реализовать меры по не повторению
Сервис вместо отсутствия
Защита данных
в ИС
Защита данных на АРМ
Контроль АРМ*
Информационныепотоки с и на
Мотивированный нарушитель:Запрет не остановит мотивированного нарушителя, однако отсутствие запрета позволит эффективно его выявить и собрать доказательную базу
«Нарушитель»
Непросвещенный пользователь:Эффективнее использовать другие мероприятия (обучение, оценка знаний, пентесты социнженерии)
ИБ только тогда эффективна, когда интегрирована на всех уровнях бизнес-процесса => каждый его участник несет свой вклад в обеспечение ИБ => эффективность ИБ достигается только при участии каждого, когда каждый играет правильную роль правильно.
* АРМ == Endpoint
«Против ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама обслуживает системы ИБ.
• «Навесные решения»
• Нет общего SLA с ИТ перед бизнесом
• Рассогласование работы оборудования ИТ и ИБ
• Неоптимальные решения
• Высокие накладные расходы на коммуникации
• Низкий уровень доступности сервисов ИТ
• Высокая трудоемкость обеспечения качества сервиса
Индикаторы Проблемы Последствия
«Сервис ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама обслуживает системы ИБ.
• «Навесные решения»
• Есть общий SLA с ИТ
• Согласованная работа систем ИТ и ИБ
• Неоптимальные решения
• Оптимизированы коммуникации
• Нормальный уровень сервиса
• Нормальная трудоемкость
Индикаторы Проблемы Последствия
«Сервис ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама обслуживает системы ИБ.
• «Навесные решения»
• Есть общий SLA с ИТ
• Согласованная работа систем ИТ и ИБ
• Неоптимальные решения
• Оптимизированы коммуникации
• Нормальный уровень сервиса
• Нормальная трудоемкость
Индикаторы Проблемы Последствия
Переходный период «инфраструктурной» к «бизнес-процессной» ИБ
IDPS VM FW
Сетевая ИБ
MС
ACA
CM
CM
Бизнес-приложения
Переходный период «инфраструктурной» к «бизнес-процессной» ИБ
IDPS VM FW
Сетевая ИБ
MС
ACA
CM
CM
Бизнес-приложения
Пр
оек
ты
Изм
енен
ия
Целевое состояние и пути к нему
Целевое состояние ИБ («процессная ИБ»)
Бизнес-процесс 1
Бизнес-процесс 2
Бизнес-процесс i
Бизнес-процессы ИТ
Бизнес-процессы безопасности
Бизнес-процесс 1
Бизнес-процесс 2
Бизнес-процесс i
Бизнес-процессы ИТ
Безопасность
Безопасность
Безопасность
Безопасность
Си
стем
а у
пр
авл
ени
я
Обеспечение инфраструктурной ИБ
Распределение обязанностей внутри ИТ
IDPS
VM
FW
С ACА
уди
т
Изм
енен
ия
Пр
оек
ты
Mо
ни
тор
ин
г
VM
Operations ИТ Operations ИБ
Бизнес-приложения
Инфраструктура
Проекты. Что это такое?Проект Изменение
Формально стартованНе имеет формального старта, но дату поступления запроса
Выполняется выделенной проектной командой
Выполняется ресурсами существующих операционных подразделений
Всегда финансируется отдельноВыполняется в рамках существующих сервисных договоров
Операционные подразделения –члены проектной команды, могут выполнять любые работы
Операционные подразделения выполняют работы, заявленные в их SLA в соответствии с требованиями эксплуатационной документации (Инструкции администраторов и т.п.)
Сроки регулируются планом проекта
Сроки регулируются SLA
Предпосылки ИБ в проектах
Интегрированная безопасность эффективнее «навесной»
Вопросы безопасности
адресовать непосредственно в
проекте
Эксперт по ИБ – в составе проектной
команды
Дополнительно:
• Требования безопасности не всегда очевидны
• Зачастую следует выбирать компромиссное решение, основанное на анализе рисков
• Требуется хорошая экспертиза в предметной области
ИБ в проектах
Что есть в наличии:• NIST SP800-64R2: Security Considerations in the System Development
Life Cycle
Бизнес-потребность
ИТ
Бизнес
ИБАнализ рисков*
Разработка ИТ-решения Информационная
система
Реализовано в системе Требуетсядополнительно
Необходимые контроли безопасности
Дорабтки
Аудит
ИБ
* Автоматизируемого БП
Аудит в проектах, и не только
Аудит соответствия Тест на проникновение
Проверяет соответствие требованиям\критериям
Проверка возможности осуществления атаки
Легко автоматизируется Не очень
Не требователен к квалификации
Требует практический опыт
Приводит к изменению в системе
Приводит к изменению требований\критериев
Заключение об участии в проектах
• Очевидный способ выхода на уровень бизнес-процессов
• Очевидный способ строить интегрированную безопасность
• Очевидный способ участвовать в построении целевой архитектуры ИТ
• Очевидный способ «идти в ногу» с ИТ
Что делать пришедшему в поле?
Типовой план
• Определение ключевых бизнес-процессов
• Изучение бизнес-процессов
• Определение рисков
• Определение мероприятий по снижению рисков (1)
• Выявление существующих контрольных процедур (2)
• Gap-анализ (1) и (2)
• План построения нового, доработки существующего
Что делать?
• Аудит:• Интервью
• Изучение ОРД и пр. *РД
• Технологический аудит
• Справочники контролей:• NIST SP800-53
• ISO 2700*
• CobIT
• ….
• Взять у кого это уже есть
Чем делать?
Типовой план
• Определение ключевых бизнес-процессов
• Изучение бизнес-процессов
• Определение рисков
• Определение мероприятий по снижению рисков (1)
• Выявление существующих контрольных процедур (2)
• Gap-анализ (1) и (2)
• План построения нового, доработки существующего
Что делать?
• Аудит:• Интервью
• Изучение ОРД и пр. *РД
• Технологический аудит
• Справочники контролей:• NIST SP800-53
• ISO 2700*
• CobIT
• ….
• Взять у кого это уже есть
Чем делать?
неТиповой план
Мониторинг Инфраструктура Периметр Зоны Внутри*.info
Управление инцидентами
1 Первый контроль ИБ
РасследованияПланирование
2
3
4
Новые контроли ИБ
Интеграция в процессы
ij
k
Мониторинг бизнес-приложений
Мониторинг транзакций
Аудит
СУИБ == совокупность контролей из operations
http://reply-to-all.blogspot.ru/2013/01/blog-post.html
Основные заблужденияПридумывание СУИБ можно поручить Интегратору (*)
Если вам известно мало, то Интегратору – еще меньше
Комплексный подходВажно давать как можно больше результата, как можно раньше. Актуальность решения может значительно меняться во времени
Compliance и сертифицированные решения – основа ИБ
Соответствовать не значит быть безопасным.
Выбор лучших в классе Интегрированность\Управляемость - важнее
Все можно зааутсорсить Закон сохранения трудоемкости\сложностиhttp://reply-to-all.blogspot.ru/2012/04/blog-post_19.html
Борьба с атаками нулевого дня Оставьте это производителям ПОhttp://reply-to-all.blogspot.ru/2014/03/0-day-apt.html
Борьба с АНБ Оставьте это ФСБhttp://reply-to-all.blogspot.ru/2014/01/blog-post_15.html
Функциональные тендеры Простое превращение CapEx в OpExhttp://reply-to-all.blogspot.ru/2014/04/blog-post.html
Сервис вместо отсутствия: продолжение
Мотивированный нарушитель: не останавливается запретом
«Нарушитель»
Пользователь
Работа с Интернет Работа на АРММинимум функционалаМинимум полномочийМинимум …..
Альтернативные маршруты в Интернет
Работа на альтернативных АРМ
Прощай, периметр! Прощай, данные! Здравствуй, зло «из дома»!
П р о щ а й , к о н т р о л ь !
Что можно аутсорсить (критерии)?
• Критичность сервиса
• Ситуация с предложением на рынке
• Внутренние компетенции
• Степень соответствия Стратегии
• Степень формализации требований
• Себестоимость
• Стоимость управления и контроля
Выработали критерии
Пропустили через них все работы
Определили что продать
Проводите такую оценку регулярно
http://reply-to-all.blogspot.ru/2012/02/blog-post.html
Инсорсинг == Аутсорсинг || Аутстаффинг ?
Нап
рав
лен
ие
1
Нап
рав
лен
ие
2
Нап
рав
ле
ни
е i
Нап
рав
лен
ие
n
Лидер 1 Лидер 2 Лидер i Лидер n
С т р а т е г и я Корпорация
ИнсорсерАутстаффинг
Аутсорсинг
Штат
Спасибо за Ваше внимание!
Сергей Солдатов, CISA, CISSP
reply-to-all.blogspot.com
