Главный специалист по информационной безопасности (CISO) — это руководитель высшего звена в организации, отвечающий за разработку и поддержание видения, стратегии и программы предприятия для обеспечения надлежащей защиты информационных активов и технологий. CISO руководит персоналом в определении, разработке, внедрении и поддержании процессов на предприятии для снижения рисков, связанных с информацией и информационными технологиями (ИТ).
Это определение классического CISO, выполняющего традиционную роль руководителя службы информационной безопасности и отвечающего за разработку стратегий кибербезопасности, обеспечивающих защиту данных и минимизацию рисков организации.
Если происходило какое‑либо событие, CISO отвечал за процедуры реагирования на инцидент, предпринимал меры по ограничению рисков, потерь и минимизации времени простоя.
Конечно, с появлением облаков все это по‑прежнему в зоне ответственности CISO, но при этом появляются новые задачи, о которых мы поговорим в этой статье.
Распределение зон ответственности
Начнем с рассмотрения отличий облачной инфраструктуры от классической. В облачной среде некоторая часть оборудования и ПО не принадлежит нашей компании и мы используем эти ресурсы только на правах арендатора. В результате мы не можем контролировать, к примеру, ограничение физического доступа к оборудованию, регулярную установку обновлений на ОС и ПО, распределение прав между пользователями гипервизора и многое другое.
В классической архитектуре у нас CISO отвечал за безопасность всей ИТ‑инфраструктуры, здесь же часть компонентов находятся вне нашей зоны ответственности и мы должны это учитывать при планировании работ по обеспечению ИБ.
При обеспечении безопасности в облачной инфраструктуре основной задачей CISO является выбор доверенных поставщиков облачных услуг. Приведем небольшой пример. Допустим в нашем облаке обрабатываются персональные данные. Соответственно в задачи CISO входит выбор поставщика облачных услуг, который обеспечивает необходимый уровень защищенности. При этом CISO должен лично убедиться, что соответствующие требования Приказа ФСТЭК № 21 выполняются облачным провайдером. Для этого можно запросить у провайдера описание применяемых для выполнения требований приказа мер.
На рисунке ниже представлено распределение зон ответственности между облачным провайдером и заказчиком. В зависимости от того, какую модель облачных услуг вы используете, соответствующим образом должны распределяться зоны ответственности с точки зрения ИБ.
Например, в модели IaaS провайдер отвечает за управление уязвимостями в среде виртуализации, а вот в гостевой ОС и установленных на ней приложениях за закрытие уязвимостей отвечает сам заказчик, то есть это зона ответственности CISO.
А в модели PaaS CISO отвечает только за установку обновлений безопасности на само приложение, платформа виртуализации и гостевые ОС находятся в зоне ответственности облачного провайдера.
Чтобы иметь гарантии выполнения требований нормативных актов по обеспечению ИЮ в зоне ответственности облачного провайдера, CISO может запросить у них регламенты управления уязвимостями и иные документы, связанные с обеспечением ИБ предоставляемых сервисов. Несмотря на то что обычно такие регламенты являются конфиденциальными, при наличии подписанного NDA провайдер может предоставить к некоторым из них доступ нашему CISO.
Создайте союзников
Безопасность облачных вычислений может быть чрезвычайно сложной задачей. Чтобы добиться успеха, CISO должны заручиться поддержкой руководителей в нескольких областях, включая ИТ‑подразделения разработки, тестирования и сопровождения.
Современные приложения достаточно сложны и в их разработке и обслуживании участвует множество различных подразделений. В быстро меняющейся среде доверие между командами безопасности и разработчиков имеет решающее значение. К сожалению, часто разработчики и специалисты по сопровождению воспринимают команды безопасности как препятствие на пути к быстрому выполнению задач. Проще говоря, безопасников не любят.
При этом, очень часто именно безопасники предотвращают ошибки и уязвимости допущенные разработчиками при написании кода и ошибки в конфигурациях, допущенные при сопровождении систем.
Здесь CISO необходимо заручившись поддержкой руководства компании донести до других подразделений необходимость соблюдать требования ИБ. Так как на самом деле и ИТ‑
и ИБ‑команды очень важны для успеха друг друга, и CISO должны уделять приоритетное внимание усилиям по налаживанию отношений между ними.
Руководители CISO могут помочь в этом, выбирая хорошо интегрированные инструменты, которые способствуют сотрудничеству и устраняют неэффективность. Интеграция инструментов безопасности должна начинаться на ранних этапах разработки решения, с использованием инструментов с общими рабочими процессами, и определения приоритетности необходимых исправлений с учетом риска для бизнеса.
В результате разработчики не будут тратить время на исправление уже протестированного кода, так как требования безопасной разработки будут учитываться при написании, а безопасники будут меньше времени тратить на расследование возникающих инцидентов.
Внедрение безопасности в процессы
Собственно эта задача CISO плавно вытекает из предыдущей. После того, как удалось наладить отношения с другими ИТ подразделениями, безопасники должны включиться в разработку решения на самых ранних этапах, начиная с проектирования.
При проектировании решения должна учитываться его облачная специфика. Например, при построении модели угроз и выявлении поверхности атаки необходимо учитывать облачную специфику приложения. В частности, в облачных средах очень популярно использования инфраструктуры как код (IaC). Но здесь не все так безопасно.
Посмотрим немного иностранной статистики. Некоторые исследования, проведенные Enterprise Strategy Group (ESG) показали, что более двух третей организаций в настоящее время используют шаблоны IaC, и количество таких организаций со временем только увеличивается.
При этом слишком часто архитекторы облачных вычислений фокусируются исключительно на производительности, забывая о подверженности рискам и угрозам, пока не становится слишком поздно. То же самое исследование ESG показало, что, хотя внедрение IaC растет, количество неправильных конфигураций также увеличивается. Более того, 83% респондентов отметили, что столкнулись с ростом числа неправильных конфигураций IaC.
Такой подход никогда не будет столь же эффективным, как интеграция безопасности в облачную платформу с самого начала. То есть CISO должен интегрировать требования безопасности на этапе разработки IaC шаблонов.
Например, не должно быть ситуаций, когда в шаблоне IaC используется образ ОС, содержащий критические уязвимости, а сетевая топология не обеспечивает должный уровень изоляции критических компонентов.
Помним про данные
До этого мы много говорили в основном о разработке приложения и его IaC инфраструктуры. Но у любого приложения есть данные с которыми оно работает. Здесь в задачи CISO входит выявление, содержат ли обрабатываемые данные конфиденциальную информацию, персональные данные и т. д.
Естественно понимать структуру обрабатываемых данных нужно уже на этапе проектирования приложения, чтобы не возникло типичной ситуации, когда перед самым выпуском релиза вдруг выясняется, что приложение обрабатывает персональные данные и их «оказывается» необходимо защищать.
Обработка персональных данных накладывает определенные ограничения на использование облачных сред для их обработки. Так все ресурсы, участвующие в обработке ПДн должны находиться на территории России. CISO необходимо учитывать эти требования при выборе облачного провайдера.
Автоматизация
Современные приложения достаточно сложны и их реализации в облачных средах в определенной степени только усложняет контроль за выполнением требований ИБ. В связи с этим CISO следует активно продвигать использование решений для автоматизации проведения аудитов и управления уязвимостями.
Также, важный инструмент ИБ который необходим в том числе и в облачной среде это SIEM (Security Information and Event Management), решение для централизованного сбора, анализа и корреляции событий информационной безопасности. Мы не будем подробно погружаться в технические подробности работы решений данного класса, скажем лишь что с помощью SIEM можно автоматизировать выявление инцидентов ИБ, минимизировав использование ручного труда. Коррелируя события, поступающие из различных компонентов облачной среды мы можем своевременно выявлять подозрительные активности.
Заключение
Развитие технологий вносит свои коррективы в те задачи, которые выполняют различные специалисты и руководители. Облачные технологии также многое поменяли для разработчиков и ИТ‑шников, так и для безопасников. Удобства, которые дают облака разработчикам, также иногда могут создать множество проблем и об этом надо помнить.
В этой статье мы рассмотрели некоторые особенности обеспечения ИБ в облачных средах и те задачи, которые теперь ставятся перед CISO. Важно понимать, что руководитель ИБ отвечает за обеспечение безопасности разрабатываемых приложений и ему важно учитывать в своей работе изменяющийся «облачный» ландшафт ИТ‑инфраструктуры.
Освоить все необходимые навыки и лучшие практики для этой роли можно на онлайн-курсе Otus. На странице курса можно ознакомиться с подробной программой и записаться на открытые уроки.