Одна из проблем безопасника — ”зоопарк решений”. Его нужно не только обслуживать и обновлять, но и тратить время и силы специалистов на интеграцию и обмен данными. Возможно спасительным решением в экосистемности? Даниил Бориславский, эксперт Контур.Эгиды, рассуждает о том, возможно ли единое окно для всей ИБ и насколько это эффективно.
Интеграция ИБ-решений — это реально
У зоопарка ИБ-решений зачастую один конечный заказчик — это руководитель ИБ. Поэтому он будет только за интеграции, чтобы сократить расходы на сбор дашбордов и отчётов, снизить время выполнения задачи, оптимизировать стоимость владения.
Легче всего интегрировать решения вокруг одного понятного и прописанного бизнес-процесса. Например, «жизненный цикл сотрудника в компании». Потому что если взять его за основу, то разные продукты ИБ, используемые на разных этапах будут выстроены логично, будут понятны сценарии использования.
Ещё один вариант — интеграция продуктов для “усиления” друг друга. Например, 2FA для web-консоли NGFW.
Внутри ИБ-продуктов Контура такие интеграции уже реализованы: единый личный кабинет у сервисов PAM и ID, Staffcop получает данные от Доступа и ID.
Идеальный вариант, некая фантазия о будущем, — это единый центр управления с всевозможными ИБ-дашбордами. Из каждого дашборда можно провалиться в систему которая хранит дополненные данные и контекст, причём из разного места в дашборде возможно попадание в web-консоли разных продуктов. Управлять доступами в такой экосистеме можно как в AD в смысле единообразия и «всё в одном месте». Для настройки политик и отчётов используется nocode-программирование.
Конечно, сделать один «чудо-инструмент», который «накрывает» все процессы ИБ – утопия. Но сделать интегрированное решение для одного блока, например, сетевой или кадровой безопасности — вполне возможно.
Единое окно для ИБ — это эффективно?
Эффективность ИБ-решений можно измерить с помощью нескольких метрик: MTTD (время обнаружения инцидента), MTTR (время реагирования на инцидент), MTTC (время локализации инцидента). На MTTD экосистемный подход не повлияет, а вот MTTR и MTTC будут выше при использовании системного решения, чем при эксплуатации отдельных продуктов.
Кроме этого эффективность проявляется в экономии времени. Экосистема — это интеграция, настроенная за тебя. Если разработчики за тебя подумали о разграничении доступов, взаимных исключениях, настйроках продуктов, то системному администратору в компании придется тратить меньше времени.
Ещё экосистема из таких «связок» извлекает дополнительны синергичные возможности, которые были недоступны по отдельности. Например, Staffcop и ID в рамках одной экосистемы обмениваются данными для обогащения контекста в расследовании инцидента.
Ещё на эффективность повиляет возможность переиспользовать или совместно владеть каким-то ресурсом. Например, использование гипервизора с виртуальными серверами вместо нескольких отдельных серверов позволить сэкономить на закупке “железа” (сейчас это очевидно, но “на заре” технологии приходилось доказывать эффективность). Использование в нескольких продуктах одного вида базы данных будет администрироваться одним специалистом, а не несколькими, или дорогим гуру. Возможно, для каких-то сценариев приобретение безлимитных возможностей для нескольких продуктов будет дешевле, чем раздельное использование со своими лимитами.
Но у такого подхода есть и дополнительные риски: как минимум, компрометация одной учётной записи, которая является администратором нескольких систем, несёт больше угроз для компании. В случае использования объединенной базы данных в разных системах – её отказ может парализовать всю систему в целом.
Интеграция ИБ-решений, это трудозатратно?
Сложно объединять между собой продукты с особенной архитектурой и интерфейсами. В рамках одной экосистемы могут существовать продукты с разным уровнем нагрузки в стандартной работе с разными требованиями к выдаче информации. Например, одному сервису нужна MongoDB в контейнере, другому – только PostgreSQL в монолите. Всё это должно быть согласовано на уровне архитектуры экосистемы.
Также может пострадать безопасность инфраструктуры. При увеличении количества компонентов системы количество связей между ними растёт экспоненциально, а каждый продукт и каждая связь – это элементы, которые должны быть защищены.
Получается, что единое окно для всей ИБ будет реально, если выстроить его вокруг определенного бизнес-процесса. Будет эффективно за счёт снижения издержек и увеличения скорости реализации большой задачи. Но будет более трудозатратно, и снизить эту трудозатратность должен вендор, предлагающий экосистему или платформу продуктов.