Как добиться, чтобы разведка угроз была адекватна и эффективна?
Ответом на этот вопрос онлайновый журнал Chief Security Officer (Jan 17, 2017) предлагает статью Брайана Контоса.
Он пишет, что многие организации просто не в состоянии в материальном и кадровом отношении обеспечить адекватную разведку и анализ угроз. Обрушивающиеся на них огромные массивы данных при плохой обработке и систематизации зачастую дают искаженную картину и характеризуются:
Дублированием информации
Противоречащими и взаимоисключающими деталями
Быстро устаревающими данными
Просто неверной информацией
Информацией слишком общей для конкретных выводов
На помощь могут прийти Центры обмена информацией и анализа (Information Sharing & Analysis Centers – ISAC). Такие центры в США действуют в сфере финансовых услуг, ритейла и других секторах экономики. Взаимодействуя с ними, вы не только получаете доступ к отраслевой информации, но и можете завязать полезные для разведки контакты с другими компаниями, обмениваться с ними информацией, если только они не ваши прямые конкуренты.
Однако взаимодействие с ними не позволяет вывести на высокий уровень персонализацию информации, необходимой для определения конкретной угрозы, предотвращения инцидента безопасности, адекватного реагирования на него, если желаете выйти за пределы технологических возможностей и оценивать эффективность программы и процессов охраны и безопасности, работы персонала. Без персонализации разведки угроз руководителю службы безопасности трудно ответить на самые простые вопросы, такие как:
Насколько надежны средства физической охраны и информационной защиты?
Как будут реагировать и действовать мои подчиненные на попытки несанкционированного физического или виртуального вторжения?
Как определить, что имеющаяся в наличии комбинация людей, процессов и технологий достаточно эффективна, гибка, способна к модернизации и совершенствованию?
Автор статьи называет и характеризует несколько способов решения проблемы:
1. Приступая к разведке угроз, вы должны четко представлять себе, сколько она стоит. Мониторинг данных из открытых и бесплатных источников, прежде всего, интернет ресурсов, небесполезен, но отнимает много времени. Зачастую имеет смысл обращаться к аутсорсингу, к специализированным информационным компаниям, платить им за информацию, что, в конечном счете, рентабельнее самодеятельности. Время для разведки – важнейший фактор успеха.
2. Воспользуйтесь возможностями, которые предоставляют упомянутые выше центры обмена информацией и анализа (Information Sharing & Analysis Centers – ISAC).
3. Приобретите программные решения, способствующие персонализации разведки угроз, т.е. помогающие давать оценку персоналу, процессам и технологиям безопасности, определять и контролировать реальные возможности СБ (отдела информационной защиты, в том числе) в деле обнаружения, предотвращения и реагирования на инциденты безопасности. Такие решения позволяют в автоматическом режиме выявлять несоответствия между результатами разведки и реальными возможностями адекватного реагирования, которыми располагает служба безопасности, направлять фокус внимание на минимизацию и сокращение обнаруженных разрывов.
|