|
|
Безопасность сливается с ИТ?
С самого сначала необходимо определиться с терминологией. Когда речь заходит о конвергенции ИТ и ИБ, на самом деле все подразумевают ИТ-безопасность, а не ИБ. Знак равенства между ними ставить нельзя. Например, безопасное хранение бумажных документов входит в сферу ИБ, но не в сферу ИТ-безопасности. Если разбить всю деятельность, связанную с обработкой информации в компании, на уровни, то все сразу встанет на свои места. На нижнем находится инфраструктура, по которой передаются различные, так называемые "сырые" данные. Оборудование, работающее здесь (маршрутизаторы, коммутаторы, межсетевые экраны, системы предотвращения атак, антивирусы и т.д.) не делает разницы между ними, так как не знакомо с их содержанием. Есть, конечно, некоторые исключения, когда на этой ступени предпринимается попытка связать информацию с контекстом (например, в концепции Cisco Application-Oriented Network, AON), но пока это скорее исключение, чем правило. Все, что происходит на этом уровне с точки зрения защиты информации и есть ИТ-безопасность. Именно тут наиболее вероятна конвергенция. Уровни управления информацией
Источник: Cisco, 2007 На втором уровне располагаются информационные (в последнее время они часто стали получать приставку "бизнес") системы — ERP, CRM, SCM, DRP, биллинг и т.д. Опираясь на инфраструктуру, они облегчают решение различных бизнес-задач. И, наконец, на высшем уровне находится результат работы бизнес-систем — данные, которыми руководствуется предприятие и топ-менеджмент при принятии тех или иных решений. Вот это уже полноценная ИБ, учитывающая различные форматы представления информации, — электронный, бумажный, устный и т.д. Предпосылки к конвергенции Если посмотреть на задачи, решаемые ИТ и ИБ-продуктами, окажется, что они идентичны. На техническом уровне данные решения призваны обеспечить работоспособность и поддержку корпоративной инфраструктуры, а на уровне бизнеса — помочь в достижении бизнес-целей предприятия. Раз так, противопоставлять безопасность и ИТ друг другу было бы неправильно. Наоборот — с целью снижения издержек и отказа от дублирования некоторых функций гораздо эффективнее и проще объединить ИТ и ИБ в рамках единого решения или продукта. И такие процессы сейчас активно идут. Например, всего несколько лет назад индустрия безопасности пришла к идее конвергенции схожих защитных функций в едином устройстве. Так родились многофункциональные системы отражения угроз (Unified Threat Management, UTM), которые объединяли в себе межсетевой экран, систему построения VPN и отражения атак, антивирус и т.п. Действительно, каждая из них делает одни и те же действия — получает IP-пакет, разбирает его, проводит анализ и затем отправляет дальше к месту назначения, иногда производя над ним какие-нибудь манипуляции (шифрование, перенаправление и т.д.). Разница только в методах анализа. Маршрутизатор, коммутатор или точка беспроводного доступа работают по тому же принципу — "принял, обработал, отправил". Почему бы не интегрировать в рамках сетевого устройства еще и защитные функции? Такой шаг был сделан рядом сетевых производителей, которые сегодня предлагают маршрутизаторы с функциями межсетевого экрана, системы предотвращения атак, VPN, контроля URL и даже антивируса. Аналогичная ситуация происходит и на системном уровне. Если раньше безопасность была "навесной", то сегодня не редки ситуации, когда производитель ОС, СУБД, ERP, web-сервера и т.п. встраивает в свои решения достаточно мощные механизмы безопасности. Разумеется, существуют и другие предпосылки к конвергенции. Например, усложнение и рост числа уязвимостей, устранение которых требует применения систем управления патчами и распределения программного обеспечения, что находится уже в ведении ИТ-департаментов, в то время как уязвимости и их поиск, как правило, являются прерогативой отделов информационной безопасности. И здесь никак не обойтись без координации деятельности двух подразделений, а то и - использования единого инструментария. Среди других примеров, во-первых, электронная почта, за функционирование которой отвечает ИТ-служба, а за безопасность — ИБ. Во-вторых, доступ к приложениям, который предоставляет отдел ИТ, а определяет - ИБ. В-третьих, работа баз данных организуется ИТ-подразделением, а события безопасности от БД анализируются ИБ. В-четвертых, конфигурация сетевого оборудования или серверов и рабочих станций, реализуемая департаментом ИТ, проверяется ИБ на соответствие требованиям тех или иных стандартов (СТР-К, ISO 17799 и т.д.). В-пятых, встроенная безопасность беспроводных сетей, IP-телефонии, сетей хранения данных (SAN). Обратный ход Помимо конвергенции "от ИБ к ИТ" существует и обратное направление — когда различные "чисто" ИТ-шные функции проникают в продукты безопасности. Примером можно назвать инвентаризацию, ограничение полосы пропускания, использование Netflow для обнаружения аномалий, генерацию тикетов для систем Service Desk и т.п. Такая тенденция к обоюдной конвергенции наметилась относительно недавно, но уже сейчас многие производители (IBM, CA, EMC, HP, Symantec, Cisco и др.) стали предлагать консолидированные решения, объединяющие ИТ и ИБ в единый или интегрированный комплекс. Кроме технологической бывает также организационная и архитектурная конвергенция, причем последняя пока не находит широкого распространения в России и в мире за исключением некоторых компаний. Речь идет о внедрении ITIL, которая достигнет своего пика, по прогнозам Gartner, лет через 5-10. Согласно этой модели, одинаково распространяющейся и на область ИТ, и на область ИБ, правильно строить некоторую систему на базе сервисов, которые представляют собой элементарную, стандартную бизнес-операцию. В данном случае их использование — это аналог модульного принципа в инженерии и многих других сегментах и отраслях. Не надо строить единую и неповторимую систему защиты — она должна быть модульной, гибкой и удобной. Каждый сегмент, сервис или процесс должен иметь понятный вход и понятный выход. Это позволит при необходимости менять отдельные модули не в ущерб остальным. Монолитность сегодня уже не приветствуется, так как не отвечает задачам гибкости и адаптивности ИТ и ИБ инфраструктур. Такой подход позволяет реализовать проект создания системы информационной безопасности поэтапно — сервис за сервисом, процесс за процессом. В качестве таких сервисов, применимых как к ИТ, так и к ИБ, можно назвать управление инцидентами, управление изменениями, управление доступностью, управление конфигурацией и т.п. Исключения из правила Но не всегда конвергенция ИБ и ИТ является панацеей. Одно из направлений, в котором она пока недостижима — мониторинг событий. Возьмем, к примеру, снижение пропускной способности сети. С одной стороны, это событие может быть вызвано не только неграмотной настройкой сетевого оборудования (и тогда оно является предметом рассмотрения систем мониторинга сетевых событий), но и атакой "отказ в обслуживании" (и тогда оно уже относится к сфере применения систем мониторинга событий безопасности). Или, например, атака SYN Flood может быть вызвана как целенаправленными действиями злоумышленника, так и обычными неполадками в сетевой карте. В чем же различия двух решений для мониторинга системы и безопасности, и почему их не рекомендуется объединять в одном продукте? Несмотря на кажущуюся схожесть, мониторинги безопасности и инфраструктуры "проповедуют" абсолютно различные подходы. Начнем с того, что контроль ИТ-событий "направлен внутрь" информационной системы, в то время как мониторинг безопасности не делает серьезной разницы между природой источника — зарегистрировано событие извне или изнутри. В ряде случаев внешняя причина имеет даже больший приоритет, т.к. позволяет идентифицировать нарушителя, оценить уровень его квалификации и т.п. Во-вторых, управление инфраструктурой базируется на принципе "минимума изменений" — работает и отлично, ничего менять не надо (немного утрировано, но суть именно такая). В безопасности такой подход не применим. Ситуация меняется постоянно — новые приложения, новые пользователи, новые узлы, новые уязвимости. А, следовательно, реагировать на все это надо также оперативно. Никакого "минимума изменений" здесь быть не может — установка новых патчей, реконфигурация средств защиты и т.п. — все эти операции должны происходить постоянно, невзирая на время суток, будни или праздники, рабочие или выходные дни. Другое, даже более серьезное отличие — в том, что именно ищут средства мониторинга инфраструктуры и безопасности в анализируемых событиях. Первые концентрируют свое "внимание" на доступности, производительности, снижении качества обслуживания, отказе сервисов и т.п. Вторые фокусируются на поведении субъектов контроля, доступе к ресурсам, использовании привилегий, изменении конфигурации и т.д. Еще одно коренное отличие в том, что для систем мониторинга инфраструктуры анализируемые события, как правило, точно указывают на причину их появления. В мониторинге безопасности все наоборот — события являются лишь звеном в целой цепочке действий, ведущих к некоторой угрозе. Например, мониторинг сетевого устройства ориентирован на контроль его состояния — работает, "зависло", снизилась пропускная способность. А вот при мониторинге межсетевого экрана нас интересует не сиюминутное состояние, а ответы на целый набор вопросов — кто, когда и откуда получил доступ к защищаемому ресурсу. Все это требует различных подходов к реализации и управлению системами. Существуют и другие отличия — разные источники данных, различные процессы, администраторы и т.п. Получается, что на текущем этапе развития ИТ интеграция технологий мониторинга инфраструктуры и безопасности является нецелесообразной. Как, собственно, и возложение сразу двух задач на уже имеющийся программный продукт. В заключение хотелось бы еще раз отметить, что конвергенция имеет свои плюсы и минусы, свою область применения и ограничений. Интеграция программных продуктов хотя и выглядит заманчивой и вполне реализуемой, но на практике может только снизить эффективность обеих технологий и не принести желаемой отдачи, достигнуть которую можно в среде программных продуктов, а на уровне бизнес-процессов внутри компании — отдел информационной безопасности и ИТ-департамент обмениваются важной информацией между собой. Только в этом случае конвергенция может принести желаемый эффект. Алексей Лукацкий
Илья Трифаленков: С заказчиками необходимо общаться не в терминах ИТ, а в терминах бизнес-процессов
CNews: Какие новые тенденции обозначились в секторе ИБ за последнее время? Насколько быстро общемировые тренды готовы воспринять в России? Илья Трифаленков: В информационной безопасности основные тенденции соответствуют тенденциям в развитии ИТ-систем. Сегодня можно говорить о создании не просто систем информационной безопасности, а набора дисциплин интегрированных не столько с ИТ-технологиями, сколько с бизнес-процессами: управление пользователями, управление инцидентами, управление информационной безопасностью, управление содержимым информационных потоков. Примечательно, что в ряде случаев под такими дисциплинами лежат специализированные технологии, а в ряде случаев — нет. Идеи решения отдельных задач — вроде "борьбы с утечками информации" — вряд ли перспективны с нашей точки зрения, поскольку применение узкоспециализированных решений для отдельных аспектов информационной безопасности постепенно уходит в прошлое. |
С момента своего зарождения сегмент информационной безопасности тесно связан с ИТ. Предпосылок к слиянию здесь достаточно. Казалось бы, различные системы решают, по сути, одни и те же глобальные задачи. Активно идет процесс интеграции: защитные функции "проникают" в ИТ-продукты, и наоборот. Однако не всегда конвергенция на программном уровне является эффективной. Есть направления, где желаемый результат может принести только взаимодействие ИБ и ИТ-отделов на уровне бизнес-процессов.
На вопросы CNews, касающиеся новых тенденций при построении систем управления безопасностью, об их специфике для разных вертикальных рынков, ответил Илья Трифаленков, директор по развитию бизнеса информационной безопасности, руководитель группы международных проектов компании "Инфосистемы Джет".
