Ни для кого не секрет, что различные классы средств защиты информации появлялись постепенно. Плюс, практически все они проходили перерождение под «брендом» – next generation (NG). В итоге сегодня мы фактически имеем несколько десятков принципиально разных классов средств защиты информации и средств контроля и анализа защищенности (FW, DLP, SIEM, EDR, VM и т. д.). Вдобавок к этому существуют сотни встроенных механизмов защиты информации в общесистемное и прикладное ПО. А если «сдобрить» все это десятками процессов и «бессчетным» количеством регуляторных требований, то получается не самая тривиальная задача по выбору, приоритизации, реализации и поддержанию в актуальном состоянии комплексной системы обеспечения информационной безопасности (кибербезопасности) – КСОИБ.
Эта проблема хорошо знакома ИБ-подразделениям крупных организаций, «растянутых» по всей территориинашей страны, и групп компаний, имеющих различные профильные дочерние зависимые общества (ДЗО). С учетом их масштабов очевидно, что ключевую роль в формировании киберустойчивости здесь имеют архитектура этой самой КСОИБ и тот, кто ее определяет — архитектор комплексной кибербезопасности. В июне мы совместно с Почтой России и другими лидерами рынка ИБ объявили о старте проекта обеспечения киберустойчивости Почты, где «Солар» выступает генеральным подрядчиком — тем самым архитектором комплексной кибербезопасности. Что это за роль такая и почему именно сейчас потребность в ней у крупных компаний возрастает — расскажем в этом материале.
Архитектор комплексной кибербезопасности — роль или миссия?
Прежде чем понять, в чем миссия архитектора комплексной кибербезопасности, нужно ответить на вопрос: что такое архитектура кибербезопасности?
В нашей практике под архитектурой кибербезопасности понимается принципиальная модель КСОИБ (ее компоненты и их взаимосвязь друг с другом и со средой — ИТ‑инфраструктурой, бизнес‑процессами, персоналом и данными организации), а также руководящие принципы для ее проектирования и развития.
На первый взгляд может показаться, что наглядным (осязаемым) результатом работы архитектора комплексной кибербезопасности являются только «бумажки» — концептуальные схемы, но это не так.
Архитектор комплексной кибербезопасности:
Подбирает участников проекта (проектные команды), опираясь на их экспертизу в области обеспечения ИБ;
Выбирает проектные решения (обратите внимание — не технические, а именно проектные) и их альтернативы, руководствуясь принципом вендоронезависимости;
Разрабатывает техническую и процессную архитектуры КСОИБ и roadmap ее развития;
Оркестрирует всех участников (подрядчиков) и осуществляет архитектурный надзор над проектами;
Реализует обучение и поддержку персонала на протяжении всей программы проектов;
Обеспечивает подготовку финансовой отчетности, при необходимости её оценки;
Отвечает за эффективность выстраиваемой инфраструктуры ИБ, проверяя её с помощью независимых оценок защищенности.
При этом стоит отметить, что подача информации на схемах, в план‑графиках и в любых других материалах должна быть понятна практически всем участникам (от топ‑менеджеров до конечных исолнителей), вне зависимости от их погружения в вопросы обеспечения ИБ. Это элемент экспертизы, который привносит архитектор комплексной кибербезопасности в построение (модернизацию) КСОИБ.
Возвращаясь к изначальному вопросу, если поискать успешные примеры подобной роли, то они, конечно же, есть. Например: есть понятия генерального конструктора и главного конструктора. При этом, реализовав за свою практику сотни «типовых ИБ‑проектов» и сейчас работая над несколькими программами проектов в формате архитектора комплексной кибербезопасности, мы пришли к тому, что за понятием архитектора комплексной кибербезопасности стоит полноценная структура — практико‑ориентированный проектный офис и даже вся наша компания — «Солар».
ДП — директор программы проектов
ГАП — главный архитектор программы проектов
РП — руководитель проекта
ГИП — главный инженер проекта
ТО — технический ответственный
Это обусловлено тем, что, к сожалению, на рынке ИБ нет и, скорее всего, не будет специалистов, которые в одиночку готовы планировать и организовывать реализацию программы из десятков проектов, идущих не один месяц и даже год.
Да, обсуждая здесь роль архитектора комплексной кибербезопасности, мы имеем в виду десятки единовременно выполняемых проектов, которые объединяются в единую программу. И в данном случае ключевой вопрос — как сделать ее управляемой не в плане сроков и объемов (что, безусловно, важно, но уже решено в той или иной степени в рамках направления Project Management), а в части практического вклада в обеспечение киберустойчивости организации?
Доменный фреймворк как работающий инструмент
Наверняка каждый из ИБ-специалистов слышал про лучшие практики (best practices), такие как ISO 27k и другие ИБ-фреймворки. К сожалению, большая часть из них имеет «плоскую структуру» (например, популярное приложение А к ISO/IEC 27001), которая не дает ответов на вопросы: какую отдельную меру защиты информации или ИБ-проект нужно реализовать в первую очередь, чтобы получить практический результат, как ИБ-проекты влияют друг на друга, как ими управлять в ИБ-контексте конкретной группы компаний?
Именно поэтому мы решили собрать свой доменный фреймворк для архитектора комплексной кибербезопасности, который будет иметь вложенную структуру, где каждый домен (как область профильных знаний) будет влиять на соседний:
Домен: управление кибербезопасностью — задает приоритеты для всей программы проектов, в терминах стратегических рисков информационной безопасности, относящихся к ИТ‑активам и деятельности конкретной организации, а также формирует процессы (деятельность) как основу для КСОИБ.
Домен: аудит и соответствие требованиям к защите информации — дополняет и обогащает заданные практические приоритеты требованиями нормативных правовых и методических документов регуляторов, относящихся к типам (классам) объектов информатизации и видам деятельности конкретной организации.
Домен: мониторинг и реагирование на инциденты — учитывает то, что невозможно в современных реалиях построить КСОИБ только на основе превентивных мер защиты информации (контроля), устанавливает, что изначально все «нижележащие» ИБ‑проекты должны предусматривать регистрацию событий безопасности для качественного обнаружения инцидентов и своевременного реагирования на них.
Домен: анализ защищенности — учитывает практико‑ориентированность решаемых задач, проверяет все «нижележащие» ИБ‑проекты на качество технической реализации, в т. ч. отсутствие уязвимостей.
Домен: идентификация, аутентификация и авторизация — предусматривает наличие механизмов управления доступом во всех системах, учитывает то, что все механизмы подлежат проверке в рамках домена по анализу защищенности и должны «рапортовать» об успешных и неуспешных действиях в ходе идентификации, аутентификации и/или авторизации в домен мониторинга и реагирования на инциденты.
Домен: безопасность инфраструктуры — включает в себя четыре базовых поддомена (безопасность сети, безопасность инфраструктуры, безопасная разработка и ознакомление пользователей), отвечающие за базовые меры информационной безопасности лежащие в основе киберустойчивости организации.
Рис.2. Доменный фреймворк для архитектора комплексной кибербезопасности
Именно данное доменное деление позволяет найти специалистов на роли архитекторов отдельных доменов, которые наряду с главным архитектором всей программы проектов войдут с состав практико-ориентированного проектного офиса, который в периметре «Солара» мы называем Практикой архитектора комплексной кибербезопасности. Это возможно за счет того, что в каждом домене сконцентрирована определенная ключевая (core) экспертиза, например: во 2-м домене compliance-экспертиза, а в 3-м — SOCосстроительство.
Здесь же стоит отметить, что построить КСОИБ для организации федерального масштаба или просто крупной компании с более чем 100 000 ИТ-активов за «один присест» не получится, даже если собрать команды всех лидеров отечественного ИБ-рынка. И это не громкие слова, а проверенная реальностью практика. Что мы предлагаем в этой ситуации?
Изначально формировать типовые и масштабируемые проектные решения (мы их называем подсистемы КСОИБ). Каждая подсистема КСОИБ рассматривается как отдельный проект для всей ИТ-инфраструктуры. Это позволяет нам использовать унифицированные меры и средства защиты информации во всей ИТ-инфраструктуре, а не создавать уникальные СБ ЗОКИИ, СЗПДн и т. п., т. е. превращать КСОИБ в «лоскутное одеяло».
Харденинг в одном ряду с дорогостоящими средствами защиты информации
Практический опыт в форензике нашего центра Solar 4RAYS говорит о том, что, к сожалению, несмотря на десятки «внедренных» средств защиты информации в организации, атакующие обходят их, используют уязвимости в необновленном ПО, слабые пароли, «брошенные» учетные записи и т. п.
Часто организации недооценивают роль правильной настройки встроенных в общесистемное и прикладное ПО механизмов защиты информации. Такую настройку мы называем харденингом (hardening) и уделяем ему не меньше внимания, чем внедрению даже самых модных средств защиты информации. Для этого заводим один или несколько проектов по данной тематике, при этом формируя рабочую группу лучших экспертов в предметной области, вовлеченных в реализацию всей программы проектов.
Для организаций это возможность реально повысить свою защищенность с первых дней реализации программы проектов без капитальных затрат в моменте.
Новый формат испытаний КСОИБ
Большинство ИБ-специалистов сталкивалось с классическими ГОСТовыми видами испытаний: предварительные, опытная эксплуатация и приемочные. Каждый вид испытаний делает свой акцент, но, к сожалению, не отвечает в моменте на вопрос: а готова ли КОСИБ противостоять как широкомасштабным, так и целевым кибератакам?
Для ответа на него в период проведения испытаний требуется задействовать команду атакующих. В своей практике мы приглашаем в качестве красной команды одного из лидеров отрасли по пентестам, который не принимал участие в построении КСОИБ. А все «строители» КСОИБ формируют синюю команду.
В течение нескольких недель по тем приоритетам (целям) в терминах стратегических рисков ИБ, которые были определены в рамках работ по 1-у домену, красная команда стремится достичь всех целей, а синяя команда — остановить эти попытки. Здесь ключевым отличием от классического тестирования на проникновение или red teaming является то, что красной команде нужно постараться достичь всех бизнес‑целей максимально возможными вариантами и подтвердить это, а не просто захватить домен организации и «успокоиться», утверждая, что дальше это просто «дело техники». Синяя команда же должна превентивно сдерживать атакующих, в случае неуспешности (а она будет, можете не сомневаться) — оперативно обнаруживать инциденты и локализовывать их. Да, обращаем внимание, что синяя команда непосредственно участвует в реагировании, а не просто шлет оповещения об обнаруженных инцидентах в надежде, что кто‑то на стороне организации‑заказчика выполнит рекомендации по реагированию четко и в срок.
По итогам таких испытаний оценивается вклад каждой подсистемы КСОИБ, подтверждается возможность ее дальнейшего масштабирования, а также проходит тюннинг настроек, в т. ч. относящихся к харденингу.
Вместо заключения
Расследования последних инцидентов, в результате которых ИТ‑инфраструктуры были полностью или практически полностью выведены из строя, говорят нам о том, что требуется пересматривать подход к построению КСОИБ. К сожалению, привычное многим «нагромождение» популярных (хайповых) средств защиты информации не дает нужного результата.
Как раз вариантом решения может быть привлечение архитектора комплексной кибербезопасности, который позволит организовать и реализовать работу по созданию новой или модернизации существующей КСОИБ с прицелом на практико‑ориентированный результат, но не упустит из вида и регуляторные требования, а по итогам на практике подтвердит качество КСОИБ и киберустойчивость организации к широкомасштабным и целевым кибератакам.
Автор: Александр Кузнецов, руководитель группы архитектуры Solar JSOC ГК «Солар»
