Колонка эксперта

На всех мероприятиях по ИБ (и не только в России) постоянно звучат жалобы безопасников на то, что им не выделяют бюджетов, финансируют по остаточному принципу и вообще все плохо. Давайте трезво подумаем над тем, на что не хватает денег и можно ли заниматься своей деятельностью.

SIEM, DLP с модной UEBA, SOC, анализ Netflow и т.п. Но если честно, так ли они вам нужны? Выжали ли вы все возможное из того арсенала, который у вас есть сейчас? Например, внутри Cisco 95% угроз закрывается достаточно типовыми защитными мерами, которые не требуют серьезных капиталовложений и людских ресурсов. Да, безусловно у нас остается оставшиеся 5% сложных атак, но надо ли погружаться в их отражение, если мы не решили базовые вещи? Но какие меры являются основополагающими? На чем сконцентрировать свои усилия?

Увы, в России пока нет таких документов, которые бы сказали: "Вот 10 (или 20) основных защитных мер, с которых надо начать и которые позволят закрыть большинство угроз". Но тут нам на помощь приходят коллеги с другой части Земли, из Австралии. Их регулятор выпустил прекрасный и краткий список, с которого я бы и начал защиту своих активов в условиях нехватки бюджетов (в надежде на их увеличение): создание замкнутой программной среды (Аpplication Whitelisting), регулярное обновление приложений и операционных систем, а также ограничение административных привилегий. Эти, всего четыре, защитные меры позволяют "закрыть" 85% угроз! Представляете, всего четыре. Не 160 из приказов ФСТЭК, не 400 из нового ГОСТа Банка России. Всего четыре. Тем, кто реализовал эти меры, австралийский ASD предлагает еще четверку, позволяющую увеличить значение 85% до 95%, – конфигурация макросов в MS Office, усиление защиты приложений пользователей (отключение Flash, блокирование Java и скриптов и т.п.), многофакторная аутентификация, ежедневное резервное копирование.

Обратите внимание: все эти меры практически не требуют серьезных средств защиты и по сути являются хорошими практиками системного администрирования. Тем, кто реализовал австралийскую "восьмерку", можно идти дальше и реализовать либо список топ-35 того же регулятора, либо топ-20 Center of Internet Security (CIS Controls). А потом уже можно идти к заветным 160 мерам ФСТЭК или 400 Банка России. Главное – помнить, что работа безопасника заключается не в том, чтобы ждать бюджета и покупать на него новомодные средства защиты, а заниматься своим делом даже без денег.