Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

понедельник, 4 апреля 2011 г.

Что нам стоит ИБ построить?

За последний год-два  многие руководили компаний наконец обратили внимание на собственную информационную безопасность. Точнее на ее отсутствие. Точнее на ее отсутствие, вопреки наличию собственных специалистов по информационной безопасности. Вроде бы и есть собственный специалист (а то и целый отдел). Вроде бы чем-то занимается. Умные бумаги пишет. Иногда покупает солидного вида мигающие коробочки, которые могут генерировать неподвластные разуму отчеты. А инциденты сыпятся как из рога изобилия.
И приглашает руководство внешнюю проверку - узнать как же можно горю помочь. Посидев несколько недель (зависит от размера компании, размера подразделения ИБ и его деятельности и т.д.) консультанты предоставляют отчет. В нем много страниц умного текста и красивые графики зрелости процессов против ведущих практик. Уже на четвертой странице презентации (где сводная таблица с результатами) в душе руководителя зарождается смутное чувство. Дальнейшие детали с красочными иллюстрациями только усиливают это чувство. Чувство того, что если бы это (функция безопасности) была лошадь, то лучше ее сразу пристрелить. Чтобы не мучилась. Написанные документы по ИБ на проверку оказываются бесполезной грудой бумаги с мечтами не воплощенными в жизнь. Заумная программа, генерирующая красивые отчеты, оказывается системой мониторинга событий, настроенной по-умолчанию. Т.е. генерирующая сотни false-positive инцидентов, на которые никто не обращает внимание. И так далее, по всем разделам.  Далее следует короткое и беспощадное решение - разогнать. Что же, ломать - не строить.
Разогнали. Пора строить. Объявляем вакансию, ищем кандидата. Но, чтобы не плодить сразу новый отдел дармоедов, выбираем осторожный подход. Возьмем для начала одного человека, да на испытательный срок. Естественно на невысокую зарплату. Покажет себя хорошо - повысим. И человека и зарплату. Нет - дешевле обойдется, а потом поменяем.
Вот только на сколько хорош такой подход? Кто откликнется на непритязательный компенсационный пакет с туманными перспективами? Рассмотрим соискателей:
  • Студенты. Много энтузиазма. Часто много теоретических знаний, из которых на практике многие не жизнеспособны.Таких берут неохотно и редко. Из-за возраста и опыта. Высокий риск, что что-нибудь сломает в результате эксперимента. Например, прочитает в журнале статью такого же студента про небезопасные сервисы и повыключает больше, чем нужно.  И что-то перестанет работать. И все админы будут два дня искать почему поломалось. Или по любому чиху будет бегать к начальству с криками "у нас проблемы!"
  • Люди без опыта, решившие поменять вид деятельности (бывшие админы, девелоперы и т.д.). Похожи на предыдущих, только возраст поболее и есть кое-какие практические навыки, пусть и не из информационной безопасности, но полезные. Таких берут охотнее, но риски почти те же. Бегать к начальству будет меньше (человек по-опытнее), но сломать что-нибудь может не хуже. Либо начнет строить "бумажную" безопасность, переводя время на нормативную базу, которой никогда не суждено реализоваться на практике.
  • "Похитители тележек". Как-то выпала эта категория прошлый раз. Термин старый - раскрывать не буду, лучше почитать первоисточник. Эти ничего делать не будут. Пополучают пол-года зарплату и привет!
  • Специалисты, которых разогнали в соседней компании. Тоже, что у вас было, только вид сбоку. Закончиться также, как и предшественниками.
Вот такой небогатый выбор. Либо те, кто делать все равно ничего не будет, либо те, кто может превратить компанию в площадку для сомнительных экспериментов, бессмысленных и безжалостных как исследования британских ученых:

  • Пример номер 1 (все примеры из реальной жизни). Служба ИБ решила проверить сложность паролей сотрудников компании. Для этого запустила утилиту для подбора паролей для учетных записей домена. Разумеется, без какого-либо планирования. Ибо при планировании скорее всего бы подумали о последствиях. Например того, что в настройках политики домена была включена блокировка учетной записи после 5-и неудачных попыток ввода пароля. Почему о такой мере безопасности не знала сама безопасность... скромно промолчим. Результат очевиден - с помощью мощного средства автоматизации процесса подбора паролей за считанные секунды удалось заблокировать несколько сот пользователей домена. И остановить работу нескольких подразделений до момента, пока администраторы, перебирая вслух все известные им ругательства, не разблокируют вручную все учетные записи.
  • Пример номер 2. Служба информационной безопасности, придя к выводу об избыточности выданных прав для большого количества сотрудников компании, решает восстановить справедливость.   Благо, право на отбор прав есть - не нужно никого привлекать. Справились сами. Результат такой же - админы вручную (с теми же матами) восстанавливали права для пользователей. Несколько часов часть процессов стояло.
И примеры можно продолжать до бесконечности.
А все потому, что квалифицированные специалисты, с опытом, не пойдут на низкую зарплату. Не так их много на рынке. Спрос на них есть и с лучшими предложениями. И все они при работе. Но скепсис относительно полезности информационной безопасности, не позволяет  руководителю компании инвестировать в мероприятие с сомнительным исходом. А ведь преимущества от данного подхода есть и не малые. Квалифицированный специалист, принятый на позицию руководителя подразделения, сам займется формированием команды, хорошо понимая какие ресурсы ему нужны для  решения задач. Он будет приходить к руководителю с подготовленным решением, а не с вопросами "у нас вот такая проблема - что делать?" Ибо кумулятивный ответ на большое количество таких вопросов у руководителя будет "менять специалиста по ИБ". Он не начнет ставить сомнительные эксперименты и не позволит это делать подчиненным (в будущем, когда они появятся).
В общем, в безопасности как в жизни: дешевая рыбка - плохая похлебка. Сэкономите в начале - чуда не будет. А вот дополнительные незапланированные затраты вполне реальны. Скупой платит дважды. А в случае с информационной безопасностью - регулярно.

1 комментарий:

  1. Честно говоря не уверен что квалифицированным специалистам с многолетним опытам рационально работать не в ИБ индустрии. Вендор, провайдер услуг или интегратор априори в состоянии предложить лучшие условия, так как банально получает прямой доход от деятельности таких специалистов, более полно использует их навыки и умения.

    В данной ситуации же наиболее рационально (ИМХО) посмотреть на ругающихся администраторов. Скажем навыки работы с учетными записями и правами явно пригодятся (ну не знает админ что такое RBAC, ну так выучит), о криптографии человек тоже наслышан..собственно, насколько вижу, проблемы здесь возникнут следующие:
    а) дефицит навыков корпоративных коммуникаций (но для человека изнутри все же будет чем для легче аналогичного по умениям извне )
    б) дефицит навыков работы с бюджетами, планами и сметами
    в) дефицит навыков написания нормативно-распорядительной документации
    Тем не менее, этого всего проще научиться чем технических знаний с примеров (правда пример с брутфорсерами слабоват, так как не нужно практики чтобы помнить о политике паролей, которая выполняет задачу контроля за сложностью паролей в домене получше чем регулярный аудит паролей).

    P.S. Пример с перебором еще интересен как баланс между доступностью и конфеденциальностью..потенциально атакующий или инсайдер тоже может ведь запустить брутфорсер.

    ОтветитьУдалить