Аутсорсинг процессов безопасности
Процессы безопасности – это способ уменьшения рисков. Средства защиты сети всегда имеют недостатки: необходимы некоторые процедуры, как для того, чтобы поймать нарушителей, которые используют в преступных целях эти недостатки, так и для исправления найденных ошибок. Если атакующий является посвященным лицом, то необходим процесс, который позволит обнаружить нападение, восстановить систему после нанесенных повреждений и преследовать преступника по закону. В сложных системах обычно присутствует множество уязвимых мест, и это может поставить под угрозу функционирование программ и оказание многих услуг (вспомните сотовые телефоны и DVD); тогда процесс необходим для восстановления системы и укрепления безопасности. Контрразведка – единственный способ быть в курсе того, что действительно происходит. Чтобы управлять остаточным риском, существует страхование.
Все эти процессы сложны, и, чтобы их обеспечить, нужны специалисты. И поскольку уже многие аспекты нашей жизни тем или иным образом связаны с киберпространством, растут требования к компьютерной безопасности, а следовательно, и спрос на специалистов. Единственно правильное решение – привлекать экспертов как можно чаще.
Представим центр, контролирующий безопасность большой сети. Требуется как минимум пять обученных аналитиков для замены одного, работающего в режиме 24 х 7 (часов и дней), а согласованные атаки могут потребовать внимания полдюжины аналитиков. Отдельной организации не выгодно нанимать стольких людей на постоянную работу, поскольку нападения происходят довольно редко, удобнее привлекать этих людей в необходимых случаях. Независимая служба способна обучать своих аналитиков теории и практике. Эта служба может активно испытывать меры противодействия, анализировать способы вторжения, разрабатывать новые способы отыскания уязвимых точек и быть в курсе новых методов взлома. Она также может наблюдать процессы, происходящие в различных зонах Интернета, а не только в сети одной организации.
Я думаю, что в ближайшее время возрастет число действующих в киберпространстве независимых служб безопасности, подобно тому как в физическом мире растет число частных служб охраны, таких как Allied Security и компаний по обслуживанию сигнализации, подобных ADT. Слишком много специальных знаний требуется для обеспечения безопасности киберпространства, и только сотрудники специализированной службы могут в полной мере обладать этими знаниями. Моя консультационная компания Counterpane Systems предлагает разработку и анализ систем безопасности с привлечением средств криптографии. Другие компании предлагают оценку риска, разработку политики безопасности, установку, испытание, обновление оборудования и т. д.
Такие компании оказывают и услуги по защите систем на предприятиях. Кто-то должен постоянно контролировать работу средств защиты и реагировать на все, что происходит. Они (один человек не может находиться на рабочем месте все 24 часа) должны разбираться в нападающих и их методах. Они должны поддерживать средства защиты, приспосабливаясь к постоянным изменениям в сетях и сетевых службах. Компании не могут самостоятельно справиться с этим. Они производят автомобили, продают книги или занимаются чем-либо еще, но не безопасностью сетей. Они привлекают независимые, специализирующиеся в этом компании для управления их сетями, а также для обеспечения безопасности. Конечно, всегда будут специализированные сети (банковские, сети сотовой связи, системы кредитных карточек), которые должны быть закрытыми, и всегда найдутся консультанты безопасности, специализирующиеся в этом. Этим занимается моя новая компания Counterpane Internet Security, Inc.
Это нормальная эволюция служб безопасности. Никто не нанимает свою собственную охрану; ее привлекают. Никто не нанимает своих собственных аудиторов; их привлекают. Даже такая обыденная вещь, как нарезка бумаги для документов, лучше будет сделана в привлеченной компании, специализирующейся в этом.
Кроме выгоды от профессионального подхода и эффективности, практика привлечения специализированных служб способствует тому, что аналитические данные по проблемам безопасности накапливаются. Привлекаемые компании могут заниматься активным сбором информации о новых видах нападений и, возможно, даже вести разведывательную деятельность среди хакеров для предотвращения преступлений. Они сталкиваются с различными моделями нападения и могут их распознавать. И они способны защитить от атак своих многочисленных клиентов: могут обнаружить нападение в Нью Дели и защитить своих клиентов в Нью-Йорке. В реальном мире организации привлекают службы безопасности. Никакая компания не нанимает собственных охранников, каждая обращается в охранную компанию. Банки платят за транспортировку автомобильным компаниям, обеспечивающим вооруженную охрану. Компании приглашают аудиторов для проверки правильности ведения дел. Обеспечение безопасности компьютера от обеспечения безопасности сети ничем не отличается. Оно в той же степени сложно и важно. Безопасность требует бдительности. В цифровом мире привлеченные услуги – единственное, что может обеспечить необходимую бдительность.