среда, 12 марта 2014 г.

Облачным провайдерам на заметку

Если взять любое исследование, в котором рассматриваются причины, по которым организации не торопятся переводить свою ИТ-инфраструктуру в облака (несмотря на все плюсы, которые это может сулить), то на первом месте мы там увидим, конечно же, "безопасность". Точнее опасение о снижении ее уровня в случае перехода. 

Надо сказать опасения эти не лишены почвы, т.к. в настоящий момент есть ощущение, что подавляющее большинство разного рода облачных сервисов безопасность либо вообще никак не предлагают, либо ограничиваются самыми базовыми вещами вроде парольной аутентификации и упрощенного ролевого разграничения доступа. А ведь только разработчики облачных сервисов могут и должны еще на этапе проработки архитектуры закладывать элементы безопасности, т.к. навесить что-то снаружи на облачный сервис практически невозможно.

В этом посте мне бы хотелось обозначить некоторые характеристики, отсутствие которых должно как минимум насторожить потенциального клиента (если он конечно заботиться о безопасности).  

Сразу оговорюсь, что под "облачным сервисом" я пониманию в данном случае только SaaS-сервисы.

1) Обеспечение бесперебойности функционирования. Если вы начинаете использовать облачный сервис (почту, CRM, систему управления проектами и пр.), то как правило, у вас отсутствует возможность забекапировать систему и вы, получается, целиком должны довериться системам бекапирования, которые реализует провайдер.  Честно говоря, схема выглядит как-то очень ненадежно.  Поэтому "правильный" провайдер должен обеспечить одну из следующих возможностей:
  • Бекапирование данных, обрабатываемых в системе (в виде экспортируемых файлов, специальной функции создания резервных копий и пр.)
  • Возможность получить оффлайн-версию ПО, которую можно в случае экстренной ситуации развернуть на собственных серверах.
Если вы перешли на облачного провайдера, у вас всегда должен быть план на случай, если вы приходите на работу, а сервис провайдера недоступен (по любой причине: технический сбой, политический кризис в стране, в которой располагается провайдер, недружественное поглощение конкурентом и пр.). Вариантов защиты тут не много, они описаны выше. Если ни один из вариантов ваш провайдер не обеспечивает, то это означает, что в случае инцидента, вы ничего не сможете сделать  и вам останется только уповать на "авось".

2) Расширенные схемы аутентификации.  В большинстве случаев сейчас можно встретить только обычные парольные схемы. А как быть если я хочу обеспечить аутентификацию по токену ? или одноразовому паролю ? По-хорошему провайдер должен либо предоставить специализированный API, либо готовые варианты аутентификации с использованием различных (в т.ч. многофакторных) схем.  Однако, конкретно в  данном вопросе как правило есть возможность "прикрутить" к облачному сервису собственный механизм аутентификации, который обеспечит реализацию более надежной аутентификации поверх имеющейся парольной. 

3) API для интеграции со средствами защиты. Раз уж мы заговорили про API, то опять же в "правильном" сервисе должна быть возможность подключить к облачной системе различные механизмы защиты, которые могут обеспечить выявление подозрительных действий, антивирусную проверку, контроль конфигурации, аудит правил доступа и многое другое.  В противном случае получается, что компании, потратившие огромные деньги на приобретение разного рода средств защиты, оказываются беспомощны перед облачными системами, не допускающими никакой интеграции и внешнего контроля.

4) Логи, и еще раз логи.  Журналы работы системы - это один из важнейших источников для оперативного выявления событий, которые могут негативно отразиться на деятельности организации, а также сбора необходимой базы для проведения расследования и юридического преследования возможных виновников. Предоставляет ли ваш провайдер логи работы системы (пусть даже только применительно к вашему экземпляру системы) ? Есть ли возможность отправить эти логи в SIEM-систему, чтобы обеспечить централизованный мониторинг и хранение информации ?  Боюсь что в большинстве случаев ответ на эти вопросы будет - "нет".  А ведь без этого вы вообще никак не контролируете что происходит в системе.

5) Получение отчетов, необходимых с точки зрения выполнения требований законодательства. Это пока вообще фантастика (ну для России по крайней мере точно), но ведь если, скажем, клиент переводит обработку персональных данных в облако, он же должен по-прежнему иметь возможность, к примеру, выгрузить списки доступа, чтобы показать кто к какой информации имеет доступ (а это прямое требование закона). 

К сожалению разработчики облачных сервисов пока не рассматривают наличие функций безопасности как один из возможных драйверов продажи их решений, а зря.

понедельник, 3 марта 2014 г.

О проведении конференций на примере Уральского форума

Коллеги Андрей Прозоров и Алексей Лукацкий уже сделали достаточно подробные обзоры всех новостей, озвученных на Уральском форуме, поэтому я в своем посте хотел бы коснуться несколько другой стороны вопроса, а именно организации конференционной составляющей на примере Уральского форума. 

В Москве проходит достаточно большое количество конференций, так или иначе связанных с информационной безопасностью (тема в последнее время становится все более популярной), но надо отметить что практически все они проходят по одной схеме: набор презентаций, главным образом от представителей спонсоров, зажатых в узкую программу так, что порой даже не остается времени для дискуссий и все переносится "в кулуары", что, как я считаю, не очень правильно, т.к. количество участвующих "в кулуарах" явно меньше собравшейся аудитории и получается что то, ради чего люди пришли, они и не получают. 

Ну а теперь по пунктам:

1) Круглые столы. Официальный круглый стол на форуме был только один (если я ничего не пропустил) и был посвящен вопросам регуляторам.  На мой взгляд отличный формат для разбавления презентаций и думаю что количество таких секций на конферениях надо увеличивать. Более правильное название для такого формата, пожалуй, Панельная дискуссия, но это уже мелочи. Формат предусматривает вопросы из зала к аудитории по заранее заданной теме (или нескольким темам). 

Как вариация на эту тему - блоггер-панель, которую Михаил Емельянников уже дважды проводил на Инфобезе и один раз на Форуме директоров ИБ (на мой взгляд успешно).

2) Пресс-коктейль. Не знаю почему именно такое название было выбрано, но не суть. Таких мероприятий на форуме было два.  Первое было посвящено вопросам взаимодействия Поставщиков (вендоров и интеграторов) и Заказчиков, второе - вопросам организации банковского центра реагирования на инциденты информационной безопасности.   Формат предполагал обсуждение в свободной атмосфере (в т.ч. всем желающим наливали пиво :)) заданной темы. Формат, несмотря на демократичность, предполагал модерирование (Олег Седов как мне кажется отлично справился с этой ролью), чтобы желающие высказаться не перебивали друг друга. Оба мероприятия прошли довольно интересно, было живое общение, дискуссия, спор, в котором рождается истина. При этом высказаться мог практически любой желающий.

3)  Демо-день. День, отданный производителям и интеграторам целиком для того, чтобы продемонстрировать свои решения/проекты.  На мой взгляд отличное решение, т.к. позволяет найти консенсунс между желаниями поставщиков представить себя и ожиданиями аудитории о сути выступлений. Никто не пытается спрятать свою рекламу за какими-то красивыми фразами или слайдами, выступающий показывает свой продукт и видно, что для многих это привычно и комфортно. Аудитория же в свою очередь также понимает, что пришла на демонстрацию продуктов и совершенно нормально воспринимает то, что в иной ситуации расценивалось бы как "голимая реклама".

4) "Публичное мочилово" докладчиков. Алексей Лукацкий (как мне показалось, могу ошибаться) прям упивался этой темой. И не упускал возможности указать на то, какие плохие доклады делают некоторые спонсоры (что отчасти конечно было правдой, но...).  При том, что я не могу сказать, что выступаю против выставления неких оценок докладчикам (в виде карточек или как-то иначе), но я не думаю что это прям как-то глобально изменит ситуацию.  Спонсор платит деньги и получает доклад, на доклад отправляют продукт-менеджера или маркетолога и руководство ему ставит задачу "пропиарить вот эту тему". Он пиарит (гонит рекламу) и может быть даже и сам не рад этому, да только служба обязывает. Выставленные за выступление красные карточки ему конечно настроение подпортят, но только это никак не отразится на его руководстве, которое через год снова заплатит за участие в форуме и снова потребует от того же (или нового) продукт менеджера "пропиарить наш новый продукт / сервис".  Решить эту проблему можно только изменением формата (см. предыдущий пункт про "демо-день").

5) Не ИБ-шные доклады. ИБ это ведь не только про технику или бумажки, это еще и про работу с людьми, про общение с бизнесом и проч. Так что добавлять в конференцию доклады на тему мотивации, управления людьми, психологии, бизнес-практики и т.д. и т.п. очень даже нужно. На Уральском форуме в последний день был доклад Олега Вайнберга на тему мотивации. При том, что сам доклад мне лично понравился, мне показалось, что он не очень соответствовал потребностям аудитории. Мне как руководителю бизнеса, еще раз повторюсь, были интересны представленные идеи, модели, подходы, но я совсем не уверен что безопасник в реальности может много что применить из представленного. Все же степень свободы Директора по ИБ явно меньше ТОП-менеджера, на кого (как мне показалось) была ориентирована эта презентация. Но в любом случае было интересно.

На PHD, кстати, я несколько раз попадал на доклады, не связанные с хакингом и подобными темами, и зал был полон.

Подводя итог, хочу сказать, что будущее за интерактивными форматами, предполагающими максимальное вовлечение аудитории и свободную дискуссию. Это вроде бы очевидно, я тут никому Америку не открываю, но пока это не нашло в полной мере отражение в наших ИБ-конференциях (хотя Уральский форум, как мне кажется, продвинулся дальше всех).

P.S. И еще подкину идею формата, который пока не нашел отражение в конференциях - "За и Против" (или "К Барьеру). Суть в том, что выступающие, которые имеют противоположные точки зрения на какую-то проблему, коротко презентуют свою позицию всем собравшимся, а после отвечают на вопросы из зала, создавая дискуссию.