SecOps объединяет инструменты, процессы и технологии, помогающие предприятию комплексно обеспечивать информационную безопасность, снижать риски и повышать гибкость бизнеса
Компаниям все сложнее обеспечивать информационную безопасность: появляются новые угрозы, киберпреступники ищут более изощренные методы взлома и проникновения. Если раньше периметр Сети можно было защитить брандмауэром, то сегодня сотрудники работают дома или в коворкингах в любой точке мира.
Тем не менее многих проблем можно избежать, если одной сплоченной командой работать на опережение. Именно в этом смысл внедрения SecOps – методологии, которая предполагает автоматизированное управление безопасностью. SecOps-практики появились на фоне глобальной цифровизации благодаря изменениям, затронувшим корпоративную инфраструктуру и модель предоставления ИТ-услуг.
Причем бизнес может использовать Security Operations в разных проявлениях: от управления инцидентами и событиями безопасности до организации комплексной защиты с администрированием через операционный центр кибербезопасности (Cybersecurity operations center, CSOC). В любом случае SecOps будет подразумевать постоянную защиту информационных активов организации, включая ИТ-системы, хранимые данные и человеческие ресурсы.
SecOps — новый подход к обеспечению безопасности в бизнесе?
Когда SecOps-практики интегрируются в существующую модель работы, вопросами безопасности начинает заниматься не один ответственный человек, а несколько. Им не обязательно иметь прямо отношение к службе безопасности предприятия, достаточно помнить о значении безопасности для бизнеса, его продуктов и услуг. Тогда SecOps становится связующим звеном между разными группами и помогает им лучше и быстрее реагировать на потребности рынка.
А что если распространить практики SecOps не на ИТ-компанию, а на любую другую? Если это средний или крупный бизнес, он получит новую методологию обеспечения информационной безопасности. В идеале разработает соответствующую стратегию и сможет использовать конкретные инструменты для ее внедрения.
Задачи SecOps:
- Заинтересовать руководителей в повышении уровня безопасности компании;
- Объединить команды и преодолеть разрозненный подход к управлению организацией;
- Дать сотрудникам больше знаний о том, как вопросы безопасности затрагивают бизнес-процессы;
- Обеспечить надежными автоматизированными инструментами, которые можно интегрировать в работу разных команд.
Преимущества SecOps
Согласно отчету EMA, чаще всего практики SecOps внедряют финансовые и банковские организации (13 %), разработчики ПО (12 %), ретейлеры и оптовые поставщики (11 %), производственные предприятия (10 %) и поставщики высокотехнологичных услуг (10 %). Более 250 компаний, принявших участие в исследовании EMA, с помощью SecOps достигли таких результатов:
Это стало возможным благодаря тесной интеграции службы безопасности с другими отделами. Они стали единой командой, в которой все члены беспокоятся о безопасности. Иногда за успешным внедрением SecOps-практик стоят не совсем очевидные причины. Например, если руководитель компании задает высокие стандарты и придерживается их, его подчиненные будут поступать так же.
Бизнес видит в SecOps такие преимущества:
- Увеличивается уровень защищенности компании. Естественным образом снижается риск утечки данных, компания быстрее реагирует на проблемы, клиенты больше доверяют ее продуктам и услугам.
- Растет производительность труда. Появляются новые возможности для сотрудничества специалистов из разных отделов, ИТ-инженеры более уверены в своих решениях и действиях.
- Снижается потребность в ресурсах. С ростом производительности меньше требований предъявляют к облачным сервисам, задействованным в работе.
- Быстрее окупаются инвестиции. Благодаря инструментам автоматизации в SecOps компания может отказаться от внедрения дорогих мер безопасности (например, внешней аналитики) и сократить расходы на персонал.
- Компании получают реалистичные оценки по результатам аудита безопасности. Если в Agile и других методологиях эти проверки сдвинуты к концу разработки, то в SecOps они распределены по всем циклам.
Работа персонала после внедрения SecOps
Сотрудников не просто объединяет формальная задача – меняется их подход к работе:
- Каждый специалист компании отвечает за безопасность продукта/процесса, к которому имеет непосредственное отношение.
- Сотрудники постоянно обучаются и обмениваются информацией о безопасности по мере развития продуктов и услуг компании.
- Руководители отвечают за внедрение эффективных коммуникационных каналов и облегчают процесс принятия решений на местах.
Как внедряют SecOps
Компании, которая планирует внедрить SecOps с нуля, лучше делать это поэтапно.
Первый этап: аудит рисков
Проведите аудит безопасности компании и выясните, каким рискам в наибольшей степени подвержена компания и отдельные проекты. Угрозу для безопасности представляют недовольные и конфликтные сотрудники, уязвимости в цепочке доставки продуктов/услуг, промышленный шпионаж и кража данных. Нужен не общий профиль угроз, а конкретные риски: что не так с настройкой облачной инфраструктуры, у кого есть доступ к критически важным данным, какие проблемы с безопасностью есть у операционных систем.
Второй этап:оценка рисков
В каждой группе рисков оцените, какую угрозу они несут, насколько серьезными будут последствия, а также выясните вероятность их возникновения. Например, остановка бизнес-процессов из-за сбоя в облачной инфраструктуре может стать одним из самых серьезных рисков для компании, но вероятность ее низкая. А вот кража или потеря сотрудником рабочего ноутбука более вероятна, но последствия менее критичные (конечно, если это не ноутбук топ-менеджера).
Третий этап: чек-ап по кибергигиене
Убедитесь, что для всех входов настроена двухфакторная авторизация (2FA), пароли сотрудников устойчивы к взлому, вы используете VPN там, где это необходимо, настроено автоматическое обнаружение фишинга. Даже второстепенные на первый взгляд оповещения о безопасности могут легко привести к утечке данных.
Четвёртый этап: интеграция с бизнес-процессами
Когда SecOps превращается в инструмент поддержки любых бизнес-операций, потребуется его полная интеграция с этими операциями. Показываем, как вы можете реализовать это на практике.
- Назначьте специалистов командного центра. Они будут отвечать за стратегические задачи в вопросах безопасности предприятия и выберут инструменты, которые наилучшим образом защитят информационные активы бизнеса. Командный центр будет посредником между бизнесом и операционным центром безопасности.
- Организуйте мониторинг сетевой безопасности. Непрерывно анализируйте данные, чтобы вовремя обнаружить аномалии.
- Анализируйте угрозы. Изучайте действия злоумышленников, чтобы выработать эффективные ответные действия и обеспечить усиленную защиту при следующих инцидентах.
- Быстро реагируйте на угрозы. Назначьте группу оперативного реагирования на нежелательные ситуации в информационной безопасности.
- Используйте криминалистический подход. Научитесь видеть важные детали, которые помогут в расследовании инцидентов.
- Оценивайте бизнес с точки зрения информационной безопасности. Вы должны в любой момент знать состояние информационных систем и других критически важных ресурсов компании. Тестирование на проникновение позволит понять, насколько хорошо защищен ваш бизнес.
Результаты
Сотрудники компании воспринимают информационную безопасность как свою сферу ответственности и понимают, как она влияет на бизнес-процессы:
- Продукты и услуги компании менее уязвимы и лучше соответствуют требованиям клиентов/пользователей.
- Вы улучшаете процесс управления инцидентами и быстрее на них реагируете.
- В любой момент вы можете оценить безопасность отдела/проекта/компании.
Security Operations наиболее эффективны тогда, когда они тесно интегрированы в бизнес, а специалисты, которые применяют SecOps-практики, понимают, какие возможности дают отдельные инструменты и как они взаимодействуют друг с другом.
Инструменты SecOps
Следование принципам SecOps предполагает использование в первую очередь автоматизированных инструментов. Причем разработчики хотят, чтобы они были универсальными, легко интегрировались в работу команды и поддерживали масштабирование по мере роста проекта или компании.
Смотрим, какие типы инструментов будут полезны компаниям, придерживающимся принципов SecOps.
Дашборды. Собирают информацию о данных, визуализируют, показывают местонахождение проблем. Используются для оперативного анализа и мониторинга приложений.
Автоматизация. Автономные сервисы, которые получают и обрабатывают информацию, а затем запускают рабочие процессы по заранее составленным правилам (например, автоматическое исправление при обнаружении ошибки, очистка журналов для освобождения места на диске).
Поиск ошибок. Инструменты для обследования конечных устройств и приложений. Оперативно расследуют инциденты, связанные с нарушением безопасности периметра.
ChatOps. Гибкие многофункциональные чат-платформы для общения в командах. Часто поддерживают интеграцию с сервисами вроде Trello, GitHub и Heroku.
Шеринг. Публикация презентаций и текстового контента: документации по API, баз знаний, FAQ и т. п.
Визуализация. Платформы для просмотра и анализа данных. Умеют строить графики разных типов, находить взаимосвязи между объектами, показывают атаки в реальном времени, умеют определять IP-адреса и геоположение атакующего.
Моделирование атак. Классифицируют атаки, приводят их к общему шаблону, описывают связи между атаками и предлагают возможные решения.
«Белое хакерство» (read team). Сервисы для поиска проблемного кода.
Предупреждения об опасности. Управляют оповещениями об угрозах, присваивают им приоритеты, находят обострившиеся инциденты и неактуальные предупреждения.
Управление безопасностью. Занимаются шифрованием и дешифрованием файлов, перемещаемых в репозиторий, упрощают расшифровку перед редактированием с помощью GPG-ключа.
Анализ угроз. Дают доступ к источникам информации для оценки доверия: черным спискам, новостным каналам; показывают критичные индикаторы и метрики.
Тестирование. Сканеры безопасности для поиска уязвимостей. Формируют отчеты по результатам обнаруженных уязвимостей, оценивают конфигурацию на соответствие требованиям безопасности.
ИТ Гильдия поможет вашей компании внедрить услугу SecOps, чтобы оперативно реагировать на угрозы безопасности и уязвимости, выявлять новые и предотвращать их. Мы интегрируем практики Security Operations с вашей инфраструктурой безопасности и предоставим инструменты для быстрого выявления и устранения реальных угроз.
