Привет, Хабр! Представляю вашему вниманию перевод статьи «If You’re Not Doing Continuous Asset Management You’re Not Doing Security» автора Daniel Miessler.
Чем больше компания может рассказать о своих активах, тем лучше у них дела с безопасностью. Чем более комплексная и оперативная инвентаризация реализована, тем выше уровень зрелости организации в вопросах защиты информации. Убеждаюсь в этом на протяжении 15 лет, консультируя сотни корпоративных клиентов.
Но просто попробуйте как штатный работник или как консультант получить отдельного человека, нанятого для создания и поддержания системы управления активами. В большинстве случаев на вас посмотрят так, будто вы просите покрасить стены невидимой краской. Выражения их лиц будут говорить: «Слушай, не знаю, откуда ты, но здесь у нас нет лишних денег, чтобы разбрасываться ими на глупые административные задачи».
Вот что значат их взгляды, и это смешно, учитывая, на что тратятся деньги. Компании несут расходы на печеньки в офисах, отправляют людей на бесполезные тренинги с конференциями и сливают миллионы на маркетинговые кампании, результаты которых не могут потом привязать к уровню продаж. Но потратить деньги на то, чтобы иметь список того, что мы на самом деле защищаем? Неа. Слишком дорого. Расточительство чистой воды.
Управление активами, возможно, самый важный компонент программы безопасности, но я знаю примерно ноль компаний, у которых есть выделенный работник для этого.
Люди продолжают задавать ненужные вопросы о нарушениях. Прекратите спрашивать про сертификаты соответствия, регламенты или дипломы. Это не имеет значения. Вместо этого давайте спросим, у кого из этих компаний был перечень активов, с охватом более 60% и актуальностью менее 30 дней. Думаю, более 99% компаний, столкнувшихся с серьёзным инцидентом или утечкой за последние пять лет, не имели такого списка своих систем, данных и производителей. Я был бы рад услышать от кого-то, что ошибаюсь.
Для большинства компаний самое лучшее, что они могут сделать для своей программы безопасности — это нанять отдельного человека для поддержания перечня активов компании в режиме, близком к реальному времени.
И раз уж мы тут играем с огнём, давайте зададим ещё один вопрос: чего стоит соответствие требованиям регуляторов в области защиты информации, если его можно получить, не имея понятия, где ваши данные, и какие у вас системы? Как такое вообще возможно? Это как если бы автопроизводитель прошёл краштест, не предоставив машину.
Забудьте всё, что вы знали про информационную безопасность. Спустите это в унитаз. Все регламенты, сканеры безопасности, управление уязвимостями и аудиты. Давайте называть это «не-плохо-бы-иметь».
Показатель зрелости команды безопасников — это их ответы на вопросы:
Если они смотрят на вас, как баран на новые ворота, они не занимаются настоящей безопасностью. Если они не знают, что защищают, это всего лишь дорогая и сломанная машина, сжигающая деньги компании.
Они — учитель, который не пересчитывает учеников в опасной поездке, военнокомандующий, потерявший свои боевые части, и родитель, который не представляет, чем занимается их ребёнок. Одним словом они — потеряны. И фиаско неизбежно. Это не значит, что они не знают безопасность, или у них нет слаженного коллектива. Это ловушка, в которую попадаются многие отличные команды.
Если мы хотим знать настоящий уровень безопасности, давайте использовать единую метрику для всей индустрии: «Точность и актуальность инвентаризации активов». Можно начать с чего-то вроде этого:
А теперь поставьте каждому руководителю команды безопасников цель достичь 95% точности с ежедневным/еженедельным обновлением в течение 6 месяцев. А ценой будет просто зарплата 1-3 человек, нанятых для выполнения этой задачи. Это сократит нарушения безопасности и обойдётся в разы дешевле, чем та свалка продуктов, которые мы закупаем и развёртываем каждый год.
Я не говорю, что это легко, или что я всегда превосходно делал это раньше. Я, как и многие, не всегда относился к этому достаточно серьёзно. Но если вы не хотите платить одному или нескольким людям, чтобы они занимались управлением активами полный рабочий день, вы не на пути к неудаче — вы уже потерпели неудачу. Конечно, я не призываю отказаться от остальных важных мер защиты. Но я говорю, что это должно стать приоритетным направлением повышения безопасности, а заплатить за это можно деньгами, которые неэффективно тратятся на другие вещи.
Автор оригинала: Daniel Miessler
Daniel Miessler — специалист по защите информации и писатель, родившийся, выросший и проживающий в северной Калифорнии:
Чем больше компания может рассказать о своих активах, тем лучше у них дела с безопасностью. Чем более комплексная и оперативная инвентаризация реализована, тем выше уровень зрелости организации в вопросах защиты информации. Убеждаюсь в этом на протяжении 15 лет, консультируя сотни корпоративных клиентов.
Но просто попробуйте как штатный работник или как консультант получить отдельного человека, нанятого для создания и поддержания системы управления активами. В большинстве случаев на вас посмотрят так, будто вы просите покрасить стены невидимой краской. Выражения их лиц будут говорить: «Слушай, не знаю, откуда ты, но здесь у нас нет лишних денег, чтобы разбрасываться ими на глупые административные задачи».
Вот что значат их взгляды, и это смешно, учитывая, на что тратятся деньги. Компании несут расходы на печеньки в офисах, отправляют людей на бесполезные тренинги с конференциями и сливают миллионы на маркетинговые кампании, результаты которых не могут потом привязать к уровню продаж. Но потратить деньги на то, чтобы иметь список того, что мы на самом деле защищаем? Неа. Слишком дорого. Расточительство чистой воды.
Управление активами, возможно, самый важный компонент программы безопасности, но я знаю примерно ноль компаний, у которых есть выделенный работник для этого.
Люди продолжают задавать ненужные вопросы о нарушениях. Прекратите спрашивать про сертификаты соответствия, регламенты или дипломы. Это не имеет значения. Вместо этого давайте спросим, у кого из этих компаний был перечень активов, с охватом более 60% и актуальностью менее 30 дней. Думаю, более 99% компаний, столкнувшихся с серьёзным инцидентом или утечкой за последние пять лет, не имели такого списка своих систем, данных и производителей. Я был бы рад услышать от кого-то, что ошибаюсь.
Для большинства компаний самое лучшее, что они могут сделать для своей программы безопасности — это нанять отдельного человека для поддержания перечня активов компании в режиме, близком к реальному времени.
И раз уж мы тут играем с огнём, давайте зададим ещё один вопрос: чего стоит соответствие требованиям регуляторов в области защиты информации, если его можно получить, не имея понятия, где ваши данные, и какие у вас системы? Как такое вообще возможно? Это как если бы автопроизводитель прошёл краштест, не предоставив машину.
Забудьте всё, что вы знали про информационную безопасность. Спустите это в унитаз. Все регламенты, сканеры безопасности, управление уязвимостями и аудиты. Давайте называть это «не-плохо-бы-иметь».
Показатель зрелости команды безопасников — это их ответы на вопросы:
- Что сейчас доступно из Интернета?
- Сколько всего у вас систем?
- Где ваши данные?
- Оборудование скольких производителей вы используете?
- Какого рода данные на оборудовании каких производителей обрабатываются?
Если они смотрят на вас, как баран на новые ворота, они не занимаются настоящей безопасностью. Если они не знают, что защищают, это всего лишь дорогая и сломанная машина, сжигающая деньги компании.
Они — учитель, который не пересчитывает учеников в опасной поездке, военнокомандующий, потерявший свои боевые части, и родитель, который не представляет, чем занимается их ребёнок. Одним словом они — потеряны. И фиаско неизбежно. Это не значит, что они не знают безопасность, или у них нет слаженного коллектива. Это ловушка, в которую попадаются многие отличные команды.
Если мы хотим знать настоящий уровень безопасности, давайте использовать единую метрику для всей индустрии: «Точность и актуальность инвентаризации активов». Можно начать с чего-то вроде этого:
- A: 90% точность, или 1 неделя давности
- B: 80% точность, или 1 месяц давности
- C: 70% точность, или 2 месяца давности
- D: 60% точность, или 3 месяца давности
- E: 50% (или меньше) точность, или 1 год давности
А теперь поставьте каждому руководителю команды безопасников цель достичь 95% точности с ежедневным/еженедельным обновлением в течение 6 месяцев. А ценой будет просто зарплата 1-3 человек, нанятых для выполнения этой задачи. Это сократит нарушения безопасности и обойдётся в разы дешевле, чем та свалка продуктов, которые мы закупаем и развёртываем каждый год.
Я не говорю, что это легко, или что я всегда превосходно делал это раньше. Я, как и многие, не всегда относился к этому достаточно серьёзно. Но если вы не хотите платить одному или нескольким людям, чтобы они занимались управлением активами полный рабочий день, вы не на пути к неудаче — вы уже потерпели неудачу. Конечно, я не призываю отказаться от остальных важных мер защиты. Но я говорю, что это должно стать приоритетным направлением повышения безопасности, а заплатить за это можно деньгами, которые неэффективно тратятся на другие вещи.
Автор оригинала: Daniel Miessler
Об авторе
Daniel Miessler — специалист по защите информации и писатель, родившийся, выросший и проживающий в северной Калифорнии:
Моя главная интеллектуальная страсть в жизни сводится к следующему:
- Изучение интересных принципов мироустройства: их выявление, описание и документирование.
- Решение реальных проблем с использованием структурированных знаний.
- Обмен и обсуждение с другими как самих моделей, так и их применимости для изменения мира.
Говоря иначе, мне нравится находить шаблоны в вещах, создавать модели того, как устроен мир, обсуждать, делиться и использовать эту информацию для улучшения жизни тем или иным образом.