Все достаточно просто (ну или почти просто). Если окинуть взглядом то, что реально защищает большинство и чем изобилует большинство конференций, то мы увидим, что приоритет №1 для всех - защита периметра. Межсетевые экраны, системы предотвращения вторжения, защищенные маршрутизаторы, anti-DDoS, VPN, внешние пентесты, сегментация сетей, контролируемая зона и т.п. Все это, безусловно, необходимо, но уже явно недостаточно. Прошло то время, когда атаки концентрировались на этом уровне - злоумышленники пошли дальше, а безопасники пока нет. Причина проста - их либо не пускают дальше, либо они сами боятся сделать шаг вперед.
Следующий уровень - это защита инфраструктуры. Внутренней локальной сети. Именно из-за недостатков разграничения доступа внутри сети происходят утечки данных, попытки НСД, вирусные эпидемии и другие проблемы. Но мало кто из безопасников пытается изменить ход событий. Я знаю немало организаций, входящих в Топ1 ;-) в своих отраслях (а то и в Топ5 в России), в которых до сих пор внутреняя сеть плоская - никакой сегментации, никаких VLAN, ничего... Проблема в одной части сети не локализуется, а мгновенно распространяется по всему предприятию в рамках, как минимум, центрального региона России, а иногда и за его пределы уходит. И это проблема; очень серьезная проблема. Я уже не говорю про виртуализацию, которая требует похожих, но все же своих механизмов защиты. А еще есть сети хранения данных (SAN)... Да мало ли чего еще есть. Индустриальные системы, кстати, сюда же относятся. Очень уж много неизвестных протоколов и способов взаимодействия там ходит. Да и ответственность за работоспособность выше.
Что у нас идет после инфраструктуры и на что пока внимание безопасников не легло? Приложения. ERP, CRM, SCM, Unified Collaboration, Telepresence, HRM, АБС, ДБО... Да мало ли этих приложений в разных компаниях. И как они защищаются? Где проекты по защите унифицированных коммуникаций - IP-телефонии, видеоконференцсвязи и Telepresence? Максимум, навесят на операционную систему какую-нибудь СЗИ от НСД. А причина та же - мало кто понимает, как эти приложения работают с точки зрения ИБ. Это ж вам не межсетевой экран Cisco ASA поставить и не систему предотвращения вторжений Cisco IPS внедрить - тут совершенно иной уровень компетений нужен. Не то, чтобы его нельзя было получить (даже в России). Просто на это надо выделить время, деньги, иметь желание и доступ к приложениям. Если со вторым и третьим еще как-то можно справиться, то первого обычно катастрофически не хватает, а с четвертым вообще швах. Если к инфраструктуре безопасников еще могут пустить, то уж к приложениям... Редкость большая. Особенно в отсутствие стандартов и лучших практик по настройке приложений с точки зрения безопасности. Дыры в них искать умеют многие, а вот разработать что-то действительно полезное для реального безопасника, увы... Из российских компаний
Но и это еще не все. По сути, все что мы рассмотрели до этого, - это обеспечение доступности систем, обрабатывающих конфиденциальную информацию. Но защищать-то мы должны не только и не столько информационные системы, сколько именно информацию. Парадоксальная ситуация - все учебники, все регуляторы нам уши прожжужали про защиту конфиденциальной информации (и даже лицензию на нее выдают), но о реальной защите информации они не говорят вообще. Ведь если посмотреть на большинство рекомендуемых защитных мер, регуляторы твердят про защиту систем, а не обрабатываемой ими информации. Даже ФСБ, которая наиболее близка к теме защиты информации, все же говорит об обеспечении защиты каналов связи или файлов, без привязки к их содержимому. Есть у меня канал связи, объединяющий два офиса. Будь добр шифруй - ходят там обычные персданные или специальные категории персданных, ходит там конфиденциальная информация или гостайна, используется текстовый чат или видеоконференцсвязь.
Мы много говорим о конфиденциальности и целостности информации, но мало кто обеспечивает их на практике. Т.е. либо все, либо ничего. Либо шифруем все, либо ничего. Мы почти никак не учитываем содержимое и тип защищаемой информации. МСЭ, IPS, антивирусы, шифраторы... это все хорошо. Но где активное продвижение и внедрение DLP, DRM, NAC/ISE, IdM? Эпизодические проекты есть. Эпизодическое упоминание в нормативных актах (пожалуй, только в последних приказах ФСТЭК по ПДн и ГИС этии вопросам уделяется больше внимания, чем раньше) тоже. Но серьезного внимания пока, увы, не хватает.
Инвестируя только в одну часть, мы не получаем целого.Защищая периметр, мы сталкиваемся с проблемами на уровне приложений. Защищая приложения, мы попадаем на инциденты из-за недостатков в ИБ инфраструктуры. А защищая инфраструктуру, у нас утекают беззащитные данные. Нужно комплексное решение задачи. Только тогда вложенные миллионы рублей или долларов дадут свой эффект.
Пора уже переходить от защиты периметра вглубь - к инфраструктуре, и наверх - к приложениям. А там и до самих данных недалеко. Хотя их защищать сложнее всего. В итоге мы получим следующий картину движения и развития в области информационной безопасности.
Следующий уровень - это защита инфраструктуры. Внутренней локальной сети. Именно из-за недостатков разграничения доступа внутри сети происходят утечки данных, попытки НСД, вирусные эпидемии и другие проблемы. Но мало кто из безопасников пытается изменить ход событий. Я знаю немало организаций, входящих в Топ1 ;-) в своих отраслях (а то и в Топ5 в России), в которых до сих пор внутреняя сеть плоская - никакой сегментации, никаких VLAN, ничего... Проблема в одной части сети не локализуется, а мгновенно распространяется по всему предприятию в рамках, как минимум, центрального региона России, а иногда и за его пределы уходит. И это проблема; очень серьезная проблема. Я уже не говорю про виртуализацию, которая требует похожих, но все же своих механизмов защиты. А еще есть сети хранения данных (SAN)... Да мало ли чего еще есть. Индустриальные системы, кстати, сюда же относятся. Очень уж много неизвестных протоколов и способов взаимодействия там ходит. Да и ответственность за работоспособность выше.
Что у нас идет после инфраструктуры и на что пока внимание безопасников не легло? Приложения. ERP, CRM, SCM, Unified Collaboration, Telepresence, HRM, АБС, ДБО... Да мало ли этих приложений в разных компаниях. И как они защищаются? Где проекты по защите унифицированных коммуникаций - IP-телефонии, видеоконференцсвязи и Telepresence? Максимум, навесят на операционную систему какую-нибудь СЗИ от НСД. А причина та же - мало кто понимает, как эти приложения работают с точки зрения ИБ. Это ж вам не межсетевой экран Cisco ASA поставить и не систему предотвращения вторжений Cisco IPS внедрить - тут совершенно иной уровень компетений нужен. Не то, чтобы его нельзя было получить (даже в России). Просто на это надо выделить время, деньги, иметь желание и доступ к приложениям. Если со вторым и третьим еще как-то можно справиться, то первого обычно катастрофически не хватает, а с четвертым вообще швах. Если к инфраструктуре безопасников еще могут пустить, то уж к приложениям... Редкость большая. Особенно в отсутствие стандартов и лучших практик по настройке приложений с точки зрения безопасности. Дыры в них искать умеют многие, а вот разработать что-то действительно полезное для реального безопасника, увы... Из российских компаний
Но и это еще не все. По сути, все что мы рассмотрели до этого, - это обеспечение доступности систем, обрабатывающих конфиденциальную информацию. Но защищать-то мы должны не только и не столько информационные системы, сколько именно информацию. Парадоксальная ситуация - все учебники, все регуляторы нам уши прожжужали про защиту конфиденциальной информации (и даже лицензию на нее выдают), но о реальной защите информации они не говорят вообще. Ведь если посмотреть на большинство рекомендуемых защитных мер, регуляторы твердят про защиту систем, а не обрабатываемой ими информации. Даже ФСБ, которая наиболее близка к теме защиты информации, все же говорит об обеспечении защиты каналов связи или файлов, без привязки к их содержимому. Есть у меня канал связи, объединяющий два офиса. Будь добр шифруй - ходят там обычные персданные или специальные категории персданных, ходит там конфиденциальная информация или гостайна, используется текстовый чат или видеоконференцсвязь.
Мы много говорим о конфиденциальности и целостности информации, но мало кто обеспечивает их на практике. Т.е. либо все, либо ничего. Либо шифруем все, либо ничего. Мы почти никак не учитываем содержимое и тип защищаемой информации. МСЭ, IPS, антивирусы, шифраторы... это все хорошо. Но где активное продвижение и внедрение DLP, DRM, NAC/ISE, IdM? Эпизодические проекты есть. Эпизодическое упоминание в нормативных актах (пожалуй, только в последних приказах ФСТЭК по ПДн и ГИС этии вопросам уделяется больше внимания, чем раньше) тоже. Но серьезного внимания пока, увы, не хватает.
Инвестируя только в одну часть, мы не получаем целого.Защищая периметр, мы сталкиваемся с проблемами на уровне приложений. Защищая приложения, мы попадаем на инциденты из-за недостатков в ИБ инфраструктуры. А защищая инфраструктуру, у нас утекают беззащитные данные. Нужно комплексное решение задачи. Только тогда вложенные миллионы рублей или долларов дадут свой эффект.
Пора уже переходить от защиты периметра вглубь - к инфраструктуре, и наверх - к приложениям. А там и до самих данных недалеко. Хотя их защищать сложнее всего. В итоге мы получим следующий картину движения и развития в области информационной безопасности.