現在、多くの開発者は、情報セキュリティの状態を監視し、次の性質の企業や組織の情報システムにおける悪意のある(ハッカー)アクティビティを検出するための集中型ソリューションを提供しています。
- サービスの利用者は、情報システム内のすべてのイベントに関する情報を収集するエージェントとして機能するデバイスをインストールします(完全にまたは選択的に、決定に応じて)、必要に応じて、デバイスはITインフラストラクチャのコンポーネントに直接インストールされたソフトウェアエージェントで補完できます;
- 受信した情報は、サービスを提供する会社のサーバーに送信されます。
- 企業のサーバー上で、組織の知識ベースと専門家の経験を使用して、悪意のある(ハッカー)アクティビティが情報全体から特定され、サービス消費者の企業に悪影響を与える可能性のあるイベントが特定され、これらのインシデントが分析されます。
- 消費者にはリアルタイムで、結果を排除したり、特定された脅威に対抗するサービスが提供されます。
同様の製品は、 Cisco(Sourcefire) 、 Check Point、 Palo Alto Networks、およびSymantecから入手できます。
もちろん、このアプローチには大きな利点があります。
- サービスの消費者は、情報セキュリティを確保するという問題のすべてのニュアンスを完全に理解する必要はなく、すぐに既成のソリューションを取得し、実際にそのパフォーマンスの維持にお金を費やすことはありません(IS担当者のメンテナンスコストを明らかに下げます;常に新しい要素を購入する必要はありません(ソリューションの更新とテクニカルサポートの費用のみです)。
- そのようなサービスの機能の便利な増加とスケーリング。 ニーズに応じて、お客様はITインフラストラクチャの必要なコンポーネントを監視し、対応するためにサービスを拡張できます。 顧客の仕事は「したい」と言うことであり、有能な企業はこの問題を解決するためのオプションを提案します。 この点で、セキュリティツールとシステムがますます緊密に統合されることは、サービスプロバイダーの手に渡り、実装プロセスをスピードアップします。
- そのようなサービスを提供する企業は、情報セキュリティの分野における広範な知識ベースとインシデントの分析を確実に行う必要があります。さらに、スタッフには、情報セキュリティ要件とハッカーの行動のさまざまな違反に適切に対応できるトレーニングと実践スキルの専門家が含まれます。サービスの消費者は、情報セキュリティの問題を調査し、対策を開発する従業員を大量に維持する必要はありません。 違反者の行動に対抗します。
しかし、このアプローチの実装には欠点もあります。 いいえ、これは技術またはその実用的な実装の弱点ではありません。 主な欠点は、サービスの消費者がサービスプロバイダーによってされた決定に依存していることです。 さらに、サプライヤーは、意図または強制によって個々のインシデントを「抑制する」ことに関心を持つ場合があります。 これらの製品はすべて、主に外国のベンダーによって提供されています。 現在の外交状況と我が国に対する制裁の可能性を考えると、これらの決定の実施には重大なリスクがあります。
これらのリスクは次のとおりです。
- サービスプロバイダーによって識別された情報セキュリティインシデントの意図的な「抑制」またはその誤解。
- 仕事に対する怠慢な態度または顧客の仕事の組織を深く掘り下げることを嫌がり、テンプレートソリューションに迅速にスタンプしたいという欲求のために、会社のビジネスプロセスに重大な危険をもたらさないイベントを監視するエージェントを設定します。
- エージェントによって特定された特定のインシデントおよび/またはイベントの実装中に、情報リソースに対する危険性についてサービスの消費者を誤解させる;
- サービスプロバイダーには信頼の問題があります。 この質問は、機密性の確保とサービスの可用性の確保の両方で表現できます。 顧客は、いかなる状況においても、彼の事件に関する情報が第三者に落ちないことを確認しなければなりません。 また、多くの場合、企業はデータの完全な整合性を確保するためにサプライヤが引き受ける十分な「紙」を持っていません。最近の世界の出来事、すなわちロシアに対する制裁とE.スノーデンが公開した情報は、そのような「紙」の価値について考えさせます。 また、お客様は、インシデント処理システムが利用可能であり、稼働状態に24時間365日あることを確認する必要があります。 パフォーマンスを制御することが不可能であるという事実は、そのようなサービスから企業を遠ざけることがあります。
- 導入されたエージェントの機能を使用したサービスの消費者の情報システムに対する悪意のある影響。
提示された資料に照らして、このようなソリューションの開発における国内ベンダーの明確な関心に注意を払う価値があります。 しかし、残念ながら、国内の開発者の一部の決定は、「 海外 」にあるサーバーと決定センターに依存しています。 そして、このアプローチは以前に示されたリスクを取り除くものではありません。 したがって、この種の情報セキュリティサービスの消費者にとって特に関心があるのは、論理的には、ロシア連邦の独自のイベント処理および分析センターを使用する国内のサプライヤーです。
結論として、私はこれまでのところ、この方向は国内企業によって開発されていなかったことに留意したいと思います。 これには理由があります:
- 公共部門と協力しているほとんどの企業は、この分野の活動にほとんど関心を示していません。 規制当局によって定義された情報セキュリティ要件を満たすという点で彼らの仕事は「展開」しており、ガイダンス文書は事実上、情報セキュリティを確保するためのそのようなアプローチを説明しておらず、そのような相互作用システムを構築する要件はありません;
- 認定ソリューションを含むほとんどの国内ソリューションは、インシデント(さまざまなタイプの脆弱性)の前提条件をタイムリーに特定するように設計されており、インシデント管理アクションの完全なサイクルを実装していません。
- 中小企業は、多くの場合、違反者の行為により重大な金銭的損失を被るまで、情報セキュリティの確保にまったく関心を持ちません。
- そのようなプロジェクトに興味を持っているかもしれない大企業は、しばしば情報セキュリティ事件を部外者に開示することを「 恥ずかしく思う 」か、外国の事件情報センターの参加を考慮して、そのような解決策を急ぐことはありません。
本質的には、そのような決定は、情報セキュリティに対する脅威のほとんどをそのリソースにクローズする手段として、単一の企業にとってかなり「便利」であり、企業が情報リソースを常に安全な状態に維持するために大きなコストを必要としません。