Расширяющийся спектр угроз и новые регуляторные требования к информационной безопасности увеличивают важность корпоративного кибербеза для отечественных организаций. Новый софт, «железо», процессы и бизнес-практики — российские CISO вынуждены имплементировать это многообразие сущностей в работу отдела. Часто их «приземление» происходит имеющимися ресурсами, без расширения численности сотрудников.
Учитывая общий дефицит ИБ-специалистов и растущую конкуренцию, тенденция сохранится по крайней мере в среднесрочной перспективе. Другими словами, потребность делать больше прежним количеством рабочих рук станет трендом как минимум на ближайшие пару лет. На этом фоне идея автоматизации ИБ выглядит разумной и логичной.
В данной статье мы рассмотрим процессы, перспективные с точки зрения автоматизации, и проанализируем, как выгода от ее внедрения повлияет на работу корпоративной ИБ и смежных функций.
Админы без рутины
Золотое правило существования и развития ИБ в условиях дефицита средств для реализации — минимум усилий для максимального результата — отлично работает и при выборе сегментов ИБ-функции, которые можно назвать кандидатами на автоматизацию. По нашему опыту, есть как минимум пять направлений, где автоматизация не только сэкономит время и силы сотрудников ИБ-департамента, но и принесет выгоду, очевидную не только CISO.
Управление доступом
До определенного времени особой необходимости автоматизировать эту функцию не было. Более того, работать с «учетками» в ручном режиме было даже удобнее: сотрудник пришел с запросом — и прямо в его присутствии можно завести новую «учетку», дать дополнительные права или отозвать их. Проблемы с ручным управлением учетными записями начинаются с увеличением численности сотрудников в организации, с появлением подрядчиков, а также с ростом количества информационных систем, в которых сотрудники работают. Тут несколько вариантов решений.
Первый — внедрить решение класса PAM (privilege access management). Посредством PAM можно не только управлять правами каждого пользователя, но и задавать сроки, в течение которых права будут действовать. Такая автоматизация исключит истории, когда, например, у представителя компании-подрядчика остается доступ к информационным системам заказчика из-за человеческого фактора, когда админы клиента просто забыли отключить «учетку». Очевидно, такая автоматизация помогает минимизировать возможность утечек — по крайней мере по каналу привилегированных учетных записей.
Применение IdM, или Identity Management — это дальнейшее развитие идеи автоматизации для управления учетными записями. IdM управляет правами на основе ролей конкретных сотрудников и паттернов, этим ролям присущих. Суть применения IdM для автоматизации — в том, что система консолидирует на себе распоряжение учетными записями всего многообразия информационных систем, которые используются в компании. Это уменьшает затраты на распределение ролей, и на их администрирование, а также минимизирует человеческий фактор. Например, она может использовать двух- или трехфакторную аутентификацию и тем самым не только исключить риски компрометации паролей, но и лишить смысла любые попытки хакеров применять скомпрометированные пароли.
Мониторинг логов
Потребность в автоматизации этой задачи напрямую связана с ростом количества информационных систем, которые ИБ-подразделению следует держать на контроле. Пока таких систем
Поможет либо специализированный сервер по аналитике логов типа Logstash, либо полноценная SIEM, либо внешний или внутренний Security Operation Center. SOC в рамках данной задачи представляет собой вершину автоматизации. Он выявляет ИБ-инцидент, указывает на него группе реагирования, собирает цифровые улики, создает отчет и формирует пакет данных для отправки данных в ФинЦЕРТ, ГосСОПКА, НКЦКИ.
Платформа управления безопасностью
Первым и наиболее рациональным шагом к автоматизации управления корпоративной ИБ-функции станет ITSM, она же IT Service Management. Удивительно, но в 2023 году тикетная система для ИБ отсутствует более чем в половине компаний, с которыми мы имели дело; хотя именно она закладывает основу для сопровождения ИБ-инцидентов в рамках их жизненного цикла.
«Измеряешь — значит, контролируешь» — это про ITSM. Встроенная аналитика открывает перед CISO целое поле неожиданных открытий, которые ранее выпадали из его фокуса по причине трудоемкости анализа. Какие затраты ИБ-отдел несет для ликвидации конкретного инцидента? Насколько быстро департамент реагирует на ИБ-происшествия? Высока ли нагрузка на сотрудников? «Бьется» ли реальный спектр киберугроз с представлениями в голове ИБ-директора? И, наконец, какой объем средств тратится на лишние активности в рамках корпоративной ИБ-функции?
Наиболее широкие на данный момент возможности автоматизации аккумулируют в себе решения класса Security Governance, Risk, Compliance, или SGRC. Это достаточно дорогая система. Она показана к применению организациями со зрелым подходом к информационной безопасности, где на уровне акционеров есть понимание: инвестиции в приобретение и настройку такой платформы окажутся более скромными, чем реальный ущерб от хакерской атаки как таковой, от общественного резонанса по ее поводу (когда о взломе напишут деловые СМИ) и от взысканий со стороны регулятора.
Интеграция SGRC — это настоящий вызов не только для CISO, но и для подрядчика, который берет часть усилий по внедрению на себя. Однако главный бенефит — устойчивая «вертикаль кибербеза» — совершенно точно того стоит. SGRC помимо комплексного управления безопасностью автоматизирует анализ состояния ИБ-функции на соответствие актуальным требованиям регуляторов, указывает на необходимость доработок, рассчитывает трудозатраты на эти доработки и констатирует, что улучшения, предписанные аудитором, были выполнены. Грамотная настройка SGRC экономит ИБ-директору примерно 80% трудозатрат на рутинные операции, а также заботится об отсутствии белых пятен в работе ИБ-подразделения.
Обучение и повышение осведомленности
Одна из базовых функций в российских ИБ-реалиях остается на правах «бедной родственницы». Ее либо инициируют по остаточному принципу, либо делают формальностью. Между тем, есть данные, что человеческий фактор становится причиной 85% успешных кибератак. Поэтому правильная автоматизация процессов осведомленности действительно имеет шансы оказаться эффективной при достаточно скромных трудозатратах.
Возьмите в союзники HR-отдел и примените для обучения информационную систему корпоративного университета. Она позволит отказаться от вебинара в пользу онлайн-курса, чтобы дать сотрудникам возможность получить знания тогда, когда им это удобно. Она напомнит о необходимости пройти обучение тем, кто относится к нему слишком легкомысленно. Она реализует механику геймификации и позволит определить самых «подкованных» в ИБ сотрудников. В конце концов, она аккумулирует в себе материалы и сведения, с которыми HR-департамент будет знакомить новичков при выходе на работу.
Для CISO и не только
Последствия от автоматизации — даром, что реализуется она по инициативе CISO — распространяются далеко за пределы ведомства ИБ-директора. С этих позиций внедрение решений, которые берут на себя часть рутины, — существенный фактор, влияющий на деловое окружение огромного количества выгодоприобретателей.
Посчитаем вместе. Первая категория бенефициаров ИБ-автоматизации — конечно, владельцы бизнеса: с их точки зрения инвестиции в отдельные решения отобьются при первом серьезном инциденте. Накануне практически неминуемого введения оборотных штрафов за утечку персональных данных даже развертывание довольно дорогого решения смотрится целесообразно именно с экономической точки зрения.
Вторая категория — финансовый директор, который в силу специфики отечественного бизнеса почти всегда второе лицо в компании. Он оценит снижение стоимости владения корпоративным кибербезом за счет консолидации ИБ-функций в нескольких решениях-«комбайнах» (как SGRC) и перевод капитальных затрат в операционные (при использовании SOC для выявления инцидентов), а также позитивно воспримет отсутствие необходимости нанимать дорожающих ИБ-специалистов.
Третий — глава юридической службы. Его интерес — поддерживать корпоративную ИБ-функцию с точки зрения соответствия нормам права и требованиям регуляторов. И, конечно, управлять готовностью компании к прохождению проверок и аудитов.
Четвертый бенефициар — это HR-директор. Автоматизация проверки киберграмотности посредством корпоративного университета даст ему возможность ввести в бизнес-обиход метрику «успеваемости» сотрудников по части как коллектив проходит обучение по корпоративному кибербезу. Кто знает, возможно, именно эта метрика станет частью новой корпоративной системы KPI.
А что же CISO? Его задача — увлекаясь автоматизацией процессов, не забыть про собственную роль реального «трансформатора» процессов своего отдела и смежных департаментов. Впрочем, сама по себе глобальность задачи по автоматизации в случае ее успешного решения вряд ли позволит ИБ-директору забыть о благах, которые его решения привнесли в работу смежных структурных подразделений.
