В поисках способов защиты от постоянно растущих киберугроз немало компаний поддаются настоящей лихорадке по закупке инструментов и сервисов безопасности. Если к этому добавить ведомственную разобщенность и регулярные поглощения, то вероятность того, что лица, принимающие решения в области безопасности, столкнутся с бесконтрольным разрастанием числа инструментов (tool sprawl), возрастает.
Сокращение этого хаоса отвечает интересам компании не только с точки зрения затрат: слишком большое количество решений по безопасности или алертов может привести к тому, что теряется из виду реальная, острая проблема. И возрастает опасность успешной атаки. Мы поговорили с экспертами по кибербезопасности, которые знают, что с этим делать.
1. Устранение неэффективности
Чтобы оптимизировать ваш стек безопасности, на первом этапе рекомендуется провести тщательную инвентаризацию. Необходимо определить компоненты, которые приносят пользу вашему уровню безопасности. Приобретение инструментов безопасности для конкретной цели с последующим обнаружением того, что условия изменились, — не редкость в корпоративной среде.
Для Кейна МакГлэдри, CISO в провайдере риск-менеджмента Hyperproof, старшего члена IEEE и бывшего консультанта по кибербезопасности, само собой разумеется, что продукты безопасности, в которых больше нет необходимости, можно исключить: «Любая мера контроля, которую нельзя связать с одним или несколькими рисками, должна быть пересмотрена и, скорее всего, исключена из портфеля компании, поскольку она больше не может быть оправдана с точки зрения бизнеса», — констатирует специалист по безопасности.
2. Использование аналитики
Анализ данных, желательно автоматизированный и визуализированный, может дать представление о продуктах, которые больше не нужны.
У МакГлэдри есть хороший пример из его консалтинговой практики, который иллюстрирует, как это должно выглядеть на практике: «Мы с командой работали над проектом, целью которого было объединение телеметрических данных из различных технологий в единой панели управления. CISO мог использовать эту технологию не только для получения информации о неэффективных мерах контроля, но и о тех, которые регулярно давали сбои». Эти данные затем послужили основой для специалиста по ИТ-безопасности для проведения бесед на уровне совета директоров и принятия соответствующих решений.
3. Внедрение автоматизации
Инициативы по автоматизации также могут помочь CISO и другим специалистам по безопасности минимизировать бесконтрольное разрастание инструментов кибербезопасности. Карл Ли, менеджер по информационной безопасности у провайдера бизнес-услуг Api Group, рекомендует в этой связи: «Приоритизируйте инструменты с обширными функциями автоматизации для консолидации алертов, тикетов и тому подобного. В противном случае управление несколькими инструментами безопасности становится сложным, особенно для небольших команд».
Для Прахатесса Ренгасами, инженера по безопасности в американской финансовой компании Block, работающей с криптовалютами, ключ к упрощению процессов безопасности заключается в автоматизации: «Автоматизируя повторяющиеся задачи, такие как управление исправлениями (Patch Management), охота за угрозами (Threat Hunting) и реагирование на инциденты (Incident Response), вы значительно снижаете нагрузку на своих специалистов по безопасности и одновременно минимизируете риск человеческих ошибок».
Эксперт по безопасности знает это по личному опыту, поскольку его работодатель сделал ставку на эту стратегию для перераспределения ресурсов на стратегические инициативы и, по словам Ренгасами, смог значительно оптимизировать общий уровень безопасности.
4. Устранение дублирования
Дублирование инструментов во многих случаях вносит существенный вклад в хаотичное разрастание решений по безопасности. Это происходит по разным причинам, например, из-за слияний и поглощений, ведомственной разобщенности или отсутствия сквозной стратегии безопасности. Независимо от причины, может оказаться чрезвычайно полезным потратить время на устранение дублирования программного обеспечения в стеке безопасности.
Адам Гарсиа, основатель инвестиционной платформы The Stock Dork, знает, как следует подходить к этому вопросу: «Первый шаг — это всесторонняя оценка используемых инструментов и их значимости. Проанализируйте сходства и различия инструментов, обращая внимание на области, которые могут быть перенасыщены или иметь значительные пересечения».
Джейкоб Калво, соучредитель и генеральный директор провайдера прокси-сервисов Live Proxies, уже прошел этот путь, как он признается: «Мы обнаружили, что в разных отделах использовались разные инструменты для схожих задач, например, для обнаружения угроз и мониторинга сети (Network Monitoring). Консолидировав эти инструменты в более комплексной платформе, мы смогли снизить затраты и упростить наши процессы. В конечном итоге это также способствовало оптимизации нашей ситуации с безопасностью».
5. Продвижение платформ
Единые платформы безопасности (Unified Security Platforms), подобные тем, что используются в Live Proxies и других компаниях, объединяют различные функции, такие как аутентификация, управление разрешениями и доступом, или аналитика. Они предоставляют хорошую возможность для консолидации наборов инструментов безопасности.
Специалист по акциям Гарсиа резюмирует преимущества этого подхода: «Единые панели управления или централизованные консоли управления благоприятствуют безопасности в целом и должны быть целью, особенно с учетом управления инцидентами безопасности (Security Incident Management). По моему опыту, это влияет не только на количество необходимых лицензий, но и в нашем случае привело к лучшей видимости конечных точек и оптимизированным возможностям обнаружения угроз».
6. Развитие культуры
Обучение персонала компании безопасному обращению со своими устройствами и инструментами безопасности, а также повышение квалификации специалистов по безопасности в области новейших технологий — это всегда хорошая идея. Так решили и в Live Proxies, внедрив культуру непрерывного совершенствования и непрерывного обучения. Генеральный директор Калво поясняет: «Даже лучшие инструменты бесполезны, если они используются неправильно. Поэтому мы регулярно обучаем наших сотрудников работе с новым программным обеспечением и следим за тем, чтобы используемые нами инструменты безопасности всегда были актуальными. Таким образом, наша команда всегда готова к появлению новых угроз, а наши инвестиции в безопасность окупаются оптимально».
Эксперт по безопасности из Block Ренгасами настоятельно рекомендует привлекать всех соответствующих заинтересованных лиц к процессу обучения по инструментам и консолидации: «Мы провели кросс-функциональные семинары, чтобы согласовать всех участников по новым инструментам и процессам. Этот совместный подход обеспечил плавный переход и оказался полезным для нашей культуры непрерывного совершенствования» (fm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bob Violino
