Автоматизация ИБ: «кандидатский минимум» для корпоративной безопасности

Пока компанию не взломали, сложно убедить руководство в необходимости автоматизации информационной безопасности. Но откладывая вопрос на потом, бизнес рискует всем. О том, как правильно выстроить этот процесс и какие инструменты использовать, рассказал руководитель Управления информационной безопасности АО «Свой Банк» Алексей Ахмеев.

Для корпоративного сегмента, то есть там, где речь идет о собственной ИТ-инфраструктуре с множеством компонентов, автоматизация — это жизненно необходимый элемент обеспечения информационной безопасности. Чем больше компонентов в ИТ-инфраструктуре, тем сложнее за ней следить, а тем более держать под контролем все те процессы, которые в ней происходят. Автоматизация таких вещей, как поиск новых устройств в сети, выявление уязвимостей в компонентах инфраструктуры, информирование о вредоносной активности, внесение изменений в конфигурации ПО и устройств, создание, удаление или повышение прав пользователей и управление доступом в Интернет является тем самым «кандидатским минимумом», который необходимо выполнять.

Самое важное в этом деле то, что все необходимые инструменты для автоматизации описанных процессов существуют, а главное, есть бесплатные опции (Open Source). Тому, кто никогда не сталкивался с реальным взломом компании и не устранял его последствия, тяжело понять, для чего необходима такая автоматизация. Это как в профессиональной ИБ-поговорке: «Люди делятся на два типа: на тех, кто еще не делает резервные копии, и тех, кто уже делает». Кроме того, нельзя забывать, что любые решения требуют для своей работы технические ресурсы. С ними дело обстоит несколько сложнее: если даже, например, за использование Open Source-программ платить не нужно, то за покупку или аренду серверных мощностей это сделать все же придется.

Также стоит помнить о том, что текущее развитие технологий позволяет автоматизировать рутинные, однообразные / повторяющиеся / стандартные задачи, применяя искусственный интеллект. Разработаны не сильно ресурсоемкие модели, которые позволяют создать локальные версии ИИ-помощников для ИБ-инженеров. Можно применять их для проверки конфигураций средств защиты или с их помощью разбирать журналы безопасности компонентов инфраструктуры. Другими словами, они помогают обрабатывать большие объемы информации и искать в ней подозрительные события.

Однако, естественно, не стоит полностью полагаться на ИИ в вопросе обеспечения информационной безопасности. Все результаты, полученные от такого помощника, необходимо перепроверять. Тем не менее после оптимизации и своеобразного «обучения» ИИ может выдавать результаты с довольно высокой точностью.