Интересный результат показал один из опросов на сегодняшнем эфире AM по TI.Самые удивительные сектора: 1. Бесплатные источники и автоматическая загрузка данных в средства мониторинга.Коллеги логично прокомментировали, что это необычайно смелое решение, как для прода, и свидетельствует то ли о незрелости, то ли о великой храбрости тех, кто выбрал этот вариант. А их 11%, между прочим. Сначала для ассоциативного ряда с вышеупомянутыми 11% мне вспомнилась цитата из фильма "Враг государства" (1998):"Ты либо дурак, либо очень умный"Но, поразмыслив, я вспомнил киберучения пятилетней давности, в которых участвовали несколько компаний различного размера. По результатам разбирали отчеты, кто что задетектил и кто на что отреагировал. Одна маленькая компания отрапортовала абсолютно все действия Red Team, даже сканы портов внешнего периметра. В то же время, более крупные компании сканы не репортили, потому что такое событие имеет нулевой плейбук реагирования в SOC, и отражается инвазивными средствами защиты, установленными в разрыв (NGFW, WAF, AntiBot). Соответственно, маленькая компания, у которой все более-менее секурно настроено и обычно ничего не происходит, с самым дешевым SIEM и одним ИБшником-технарем, вполне может себе позволить брать бесплатные фиды и автоматом сгружать их в SIEM. Если будет фолса - хоть развлечение какое-никакое. А надоест - можно будет уже и тюнить, и поискать платные, ежели государь соизволит денег выделить. 2. Своя самописная платформа TI.Интересно, что этот вариант выбрали целых 7%, и это не 1 человек, потому что есть еще и 3% в диаграмме. Мне почему-то кажется, что они имели в виду скриптовую обвязку для обработки TI-фидов, которая еще не платформа и не факт, что ей станет. Потому что если нет, то получится, что каждая 15я компания в России разрабатывает свою платформу TI. И это считая такие компании, как описанная в п. 1. А вы что скажете?
Регуляторный иммунитет.Позабавила меня недавно формулировка, ведь, будучи на первом месте в списке, она показывает, что компания больше боится регулятора, чем злоумышленников. Возможно, еще остались и такие, которые хакеров воспринимают, как бабайку для взрослых, не опасаясь их всерьез. Конечно, это "небитые", которые считают, что "ну с нами-то этого не произойдёт", и которых на развес дают за одного битого. Тогда получается, что их можно запугать только регулятором. Хакеры-то эфемерные, сделают что-то или нет - вопрос. А регулятор тут, рядом, может и оштрафовать, и деятельность компании приостановить, и даже посадить в особо запущенных случаях. Соответственно, в качестве защиты от регулятора приходится принимать ряд мер. Сначала бумажных, а потом и технических. Насколько они превратятся в практическую плоскость - зависит от мышления и осознанности ИБшника. Но, если рассматривать не одну компанию, а множество, то определённый процент из них таки сможет встать в правильное русло и добиться того, чтобы защита от регулятора спасала и от злоумышленников. Пусть и в виде побочного эффекта, но это лучше, чем ноль. Главное - чтобы ниже нуля не получилось, а такое тоже может быть.
Выступал недавно на одном закрытом мероприятии для директоров по ИБ. Затронул актуальную для многих тему выбора между внедрением on-prem решения в свою инфраструктуру и приобретением сервиса. Если отбросить исторически предвзятое отношение российского бизнеса к облачным сервисам и посчитать исключительно финансовую сторону, то банальный расчёт показывает, что чем меньше защищаемых ресурсов, тем выгоднее использовать внешний сервис.График для компании со штучными веб-ресурсами показывает, что on-prem WAF для нее будет финансовой обузой, а организация с несколькими десятками ресурсов может разве что через несколько лет приблизиться по TCO к сервису, но ненадолго. При этом обе компании остаются незащищенными, пока внедряют on-prem WAF (минимум полгода), а сервис включается практически сразу (пара недель на обучение системы особенностям трафика).Чтобы не говорили, что графики подогнаны под результат - держите еще и формулы расчета стоимости для on-prem и MSS. Страшный значок суммы ежемесячных платежей можно заменить годовой стоимостью с учетом коэффициента индексации. Я его использовал исключительно чтобы график был гладким по месяцам, а не шагал ступеньками по годам. Стоимость сервиса и внедрения можете узнать из коммерческих предложений, а по ФОТ с админ расходами учтите, что для круглосуточной поддержки WAF (он же пропускает через себя трафик 24х7) вам понадобится:- смена L1 24x7 (можно делегировать смене ИТ, но учесть их человекочасы)- команда L2 (минимум 3 человека с графиком дежурств по звонку, а со временем возможен рост до смены)- команда L3 для особо сложных случаев (на первых порах все решать будет L2)- вычислительные мощности- стойко-места и электропитание- сопутствующие административные расходыПоследний пункт самый интересный, и зачастую не учитывается. А зря. Каждый сотрудник обходится компании в определенную сумму, которая включает стол, стул, ноутбук, связь, ДМС, аренда офиса, налоги, премии, страховые взносы, туалетная бумага, другие отчисления... Порой эта сумма может превышать размер оклада.В ходе дискуссии с директорами по ИБ мы выяснили, что моя формула для on-prem не учитывает факторы управленческой нагрузки, потому что одно дело - когда на тебя работает целая команда профессионалов узкого профиля, а ты спрашиваешь с нее за результат по договору, и совсем другое - создать такую команду и поддерживать ее уровень работы. Плюс оборудование, софт и т.п. А в это время нужно фокусироваться на более релевантных для бизнеса вещах. Как это превратить в деньги и добавить в формулу - попробуйте придумать сами.Один умный CISO мне сказал однажды:- Я возьму твои сервисы, пусть сейлы нормальное КП сделают, которое не будет ощутимо дороже создания и содержания in-house сервисов. Будет дешевле - отлично. Будет равно или чуть-чуть дороже - тоже возьму, это мне сэкономит менеджерскую нагрузку. Но если будет совсем дороже - потеряете клиента, а я потеряю время на организацию всего этого, либо возьму сервисы у другого MSSP.ЗЫ. Все у нас с ним получилось тогда.А вы что предпочитаете?👍 - MSS🤓 - on-prem и пусть весь мир подождет🤯 - нафиг эту вашу ИБ
