Как устроена информационная безопасность:
модели и направления
Возможно, именно сейчас вы стоите на пороге своей новой карьеры.
Перед тем как начать осваивать новую профессию, необходимо узнать, что делает специалист этой области, какая у него зона ответственности и как он работает.
Перед тем как начать осваивать новую профессию, необходимо узнать, что делает специалист этой области, какая у него зона ответственности и как он работает.
Специалист по информационной безопасности (ИБ) — это высококвалифицированный специалист, отвечающий за защиту информации в компании. Расплывчато, не правда ли?
Действительно, в этой области крайне много ответвлений, и каждое из них лишь немного пересекается с остальными, но все они принадлежат к одной области — информационной безопасности.
Действительно, в этой области крайне много ответвлений, и каждое из них лишь немного пересекается с остальными, но все они принадлежат к одной области — информационной безопасности.
По фразе «Я работаю в информационной безопасности» достаточно сложно точно определить, чем конкретно занимается собеседник. Может, он атакующий (в хорошем смысле)? А может, защищающийся? Может, он исследует новые атаки злоумышленников? Или занимается разработкой своевременного реагирования на атаки? Или настраивает системы защиты информации? Как и многие профессиональные области, информационная безопасность охватывает значительное количество направлений.
Модели обеспечения ИБ компании
Основные три кита, на которые опирается информационная безопасность организации, — это специально обученные люди, верно выстроенные процессы и используемые технологии и средства защиты информации. У разных компаний свои ограниченные ресурсы, которые она может тратить на кибербезопасность. В связи с этим возникли три модели обеспечения безопасности в зависимости от возможностей организаций:
- MSSP (Managed Security Service Provider)— безопасность как бизнес-услуга, предоставляемая компании и специалисты, и настроенные средства защиты информации (СЗИ);
- интегратор — компания, поставляющая решения в области ИБ с последующим сопровождением и настройкой;
- in-house — собственный отдел (или несколько отделов) ИБ-специалистов, обеспечивающий защиту компании и ответственный за сопровождение используемых СЗИ.
MSSP
MSSP берёт на себя ответственность за управление и защиту инфраструктуры клиента, часто на основе ежемесячной платы (или подписки), то есть может включать в себя управление брандмауэрами, системами обнаружения вторжений, антивирусной защитой и другими средствами безопасности, с которыми познакомимся позднее в курсе.
Важно понимать, что обычно MSSP использует уже готовые решения в области ИБ, разработкой собственных не занимаются. Проще говоря, предоставляют услуги по принципу «Безопасность под ключ», используя свои команды, выстроенные процессы и проверенные на опыте предыдущих заказчиков реализации.
Важно понимать, что обычно MSSP использует уже готовые решения в области ИБ, разработкой собственных не занимаются. Проще говоря, предоставляют услуги по принципу «Безопасность под ключ», используя свои команды, выстроенные процессы и проверенные на опыте предыдущих заказчиков реализации.
Интегратор
Интегратор ИБ специализируется на установке, настройке и интеграции различных программных и аппаратных решений, включая системы безопасности, под нужды заказчика. При этом специалисты, которые будут пользоваться интегрированными решениями, должны быть у компании-заказчика, так как интегратор не предоставляет услуги мониторинга и реагирования на инциденты. Также интегратор не занимается выстраиванием внутренних рабочих процессов, необходимых для функционирования отдела ИБ.
В чём главное отличие MSSP от интегратора?
MSSP предоставляет услуги по обеспечению безопасности в формате сервиса на основе подписки, включая специалистов, а интегратор специализируется на внедрении и настройке конкретных решений и систем, часто в рамках проектной деятельности.
In-house модель обеспечения ИБ
Отдельно стоит упомянуть модель in-house. Здесь ключевую роль играют специалисты, нанятые или обученные внутри компании. В данном случае создание собственного отдела ИБ занимает значительное время и требует достаточное количество бюджета, однако в перспективе такой отдел имеет массу преимуществ:
- возможность тонкой настройки под специфические потребности компании, так как есть знания собственной инфраструктуры и того, как в ней всё устроено;
- полный контроль над внутренними процессами и оперируемыми данными, что исключает утечки информации, ведь с ней работают собственные специалисты.
Виды команд в ИБ
Информационная безопасность обеспечивается специалистами разных направлений, их принято объединять в команды. Самые часто встречаемые — это Red Team и Blue Team. Первые, Red Team, — это команда атакующих, те, кто занимается «легальным» взломом тех или иных систем компании. В своей работе они полностью имитируют действия хакеров. Red Team помогает оценить, насколько быстро и слаженно работает команда защиты, то есть Blue Team.
Как сказано ранее, Blue Team занимается защитой от хакеров. Это команда, которая обеспечивает защиту информационных ресурсов компании. Она состоит из специалистов, которые занимаются мониторингом и реагированием, и специалистов, обеспечивающих расследование возникших инцидентов.
Благодаря взаимодействию Red Team и Blue Team растёт защищённость компании.
Между ними стоят так называемые Purple Team, которые являются связующим звеном между Red Team и Blue Team. Они анализируют работу первых и вторых и выдвигают предложения по улучшению защиты компании.
Как сказано ранее, Blue Team занимается защитой от хакеров. Это команда, которая обеспечивает защиту информационных ресурсов компании. Она состоит из специалистов, которые занимаются мониторингом и реагированием, и специалистов, обеспечивающих расследование возникших инцидентов.
Благодаря взаимодействию Red Team и Blue Team растёт защищённость компании.
Между ними стоят так называемые Purple Team, которые являются связующим звеном между Red Team и Blue Team. Они анализируют работу первых и вторых и выдвигают предложения по улучшению защиты компании.
Существует ещё четыре «цветные» команды, который вместе составляют достаточно полное описание всех аспектов деятельности ИБ.
Yellow Team занимается внедрением безопасности в архитектуру программного обеспечения, проверкой на уязвимости и рекомендациями по их устранению.
Кто входит в Yellow Team?
Кто входит в Yellow Team?
- Архитекторы безопасности — проектируют и тестируют на безопасности архитектуру безопасности.
- Инженеры DevSecOps — обеспечивают и автоматизируют безопасность на всех этапах цикла разработки (могут входить как в Yellow Team, так и в Green Team).
- Инженеры ИБ — выполняют задачи по внедрению средств защиты, включая настройку и последующее администрирование, чтобы СЗИ работали в «боевом» режиме.
- Разработчики ПО — занимаются непосредственно безопасной разработкой ПО.
Orange Team можно представить как слияние Red Team и Yellow Team: команда может как проверять текущие меры безопасности с точки зрения законодательства, так и разрабатывать рекомендации по их улучшению. Важной задачей этой команды является взаимодействие с персоналом: обучение, тестирование и в целом развитие культуры ИБ в компании.
Green Team — это всё, что связано с аудитом системы безопасности и предложением новых технологий для внедрения. Вдобавок эта команда занимается автоматизацией процессов, разработкой скриптов и других решений, основываясь на полученном опыте команды Blue Team.
И наконец, White Team — это команда, обеспечивающая критерии, контроль процесса, оценку результатов, то есть регулирующая все процессы ИБ. Не участвует в защите или организации проверки мер защиты компании напрямую.
Более подробно можно ознакомиться со всеми «цветными» командами здесь и здесь.
Стоит отметить, что во многих российских компаниях присутствуют далеко не все, основные же — это Red Team, Blue Team и Yellow Team, поэтому задачи из других «цветных» команд будут присутствовать именно в этих трёх, а зачастую даже в двух — Red Team как «атакующих» и Blue Team как «защищающихся».
Green Team — это всё, что связано с аудитом системы безопасности и предложением новых технологий для внедрения. Вдобавок эта команда занимается автоматизацией процессов, разработкой скриптов и других решений, основываясь на полученном опыте команды Blue Team.
И наконец, White Team — это команда, обеспечивающая критерии, контроль процесса, оценку результатов, то есть регулирующая все процессы ИБ. Не участвует в защите или организации проверки мер защиты компании напрямую.
Более подробно можно ознакомиться со всеми «цветными» командами здесь и здесь.
Стоит отметить, что во многих российских компаниях присутствуют далеко не все, основные же — это Red Team, Blue Team и Yellow Team, поэтому задачи из других «цветных» команд будут присутствовать именно в этих трёх, а зачастую даже в двух — Red Team как «атакующих» и Blue Team как «защищающихся».
Как устроена Red Team?
Для основной задачи, то есть тестирования на проникновение (пентест) в инфраструктуру компании, в Red Team нужны специалисты со знаниями об эмуляции хакерских атак.
Сама услуга пентеста может быть проведена как своими специалистами, работающими в компании, так и в рамках договора «заказчик — исполнитель». Второй тип пентеста обеспечивает аутсорс.
В зависимости от первоначальных условий существует несколько видов пентеста:
Сама услуга пентеста может быть проведена как своими специалистами, работающими в компании, так и в рамках договора «заказчик — исполнитель». Второй тип пентеста обеспечивает аутсорс.
В зависимости от первоначальных условий существует несколько видов пентеста:
- Чёрный ящик — тестирование без знаний об инфраструктуре и внутренних процессах обеспечения ИБ.
- Серый ящик — частичное знание о том, что происходит внутри компании.
- Белый ящик — на руках все знания, как и что устроено в инфраструктуре, обычно осуществляется по договору или согласно обговорённым условиям. Например, выдаётся стартовый внутренний хост или иная информация.
Отдельно можно рассматривать такую классификацию пентеста, как внутренний и внешний пентесты. Внутренний подразумывает нахождение пентестера уже внутри периметра компании, то есть пентестер уже имеет доступ к внутреннему хосту и начинает тестирование с него. Его задачей является добраться до целевого хоста и определить максимальную область доступа из начальной точки входа. Внешнее тестирование означает оказаться внутри периметра компании, пройдя всю защиту периметра, направленную на атаки извне. Стартовый хост находится за пределами компании.
Как устроена Blue Team?
Информационная защита компании обычно начинается с Blue Team. Сегодня многие процессы так или иначе основаны на IT, в первую очередь это банковские, финансовые процессы, документооборот. Поэтому защита этих процессов становится первоочередной задачей, ведь она может защитить компании от потери данных, денег, клиентов, репутации.
В одних компаниях Blue Team имеют свои подразделения и специалистов, под ними понимается всё, что относится к методам защиты в ИБ, а именно:
В одних компаниях Blue Team имеют свои подразделения и специалистов, под ними понимается всё, что относится к методам защиты в ИБ, а именно:
- SOC (Security Operation Center) — сердце и основа Blue Team. Это команда ИБ-специалистов, ответственная за мониторинг безопасности и реагирование на инциденты. SOC в своей структуре подразделяется на следующие элементы:
- L1 — первая линия, она же круглосуточный мониторинг. Определённая группа специалистов, которая работает по сменам круглосуточно и мониторит активность, фиксируемую на средствах защиты информации (антивирусы, файрволы и не только). Она стоит на передовой всех происходящих атак и отражает их;
- L2 — вторая линия — получает данные с первой линии и анализирует произошедший инцидент, пытаясь выстроить весь путь злоумышленника. Эти ребята пытаются понять связь между происходящими событиями, анализируют вкупе данные с нескольких источников. Специалистам L2 требуется больше знаний и компетенций, чем L1;
- L3 — третья линия, это уже высококвалифицированные специалисты с большим опытом работы, прошедшие первую и вторую линии. Они дают экспертную оценку состоянию защищённости компании и произошедшим инцидентам. L3 занимается анализом процессов и проактивным поиском угроз информационной безопасности. Специалисты L3 также предлагают меры по улучшению систем защиты компании, аргументируют свои предложения перед руководством;
- CTI (Cyber Threat Intelligence) — cпециалисты по киберразведке, которые отвечают за поиск ранее не обнаруженных или затаившихся вредоносных программ. Также они занимаются поиском так называемых индикаторов компрометации (IoC), то есть артефактов, наблюдаемых в сети или в операционной системе, которые с высокой достоверностью указывают на вторжение в компьютер. Такой поиск осуществляется в открытых источниках и на специализированных форумах;
- VM (Vulnerability Management) — это специалисты, которые отвечают за поиск уязвимостей (брешей) в инфраструктуре компании и контролируют процесс устранения найденных уязвимостей, так называемый патч-менеджмент. Чаще всего это использование автоматизированных сканеров уязвимостей, анализ того, что выдают сканеры, и контроль за устранением или обновлением уязвимого программного обеспечения;
- DFIR (Digital Forensics and Incident Response) — специалисты, которые охватывают сразу несколько векторов: выявление, устранение и расследование инцидентов кибербезопасности. Они, в отличие от SOC, проводят полное расследование произошедших инцидентов. К примеру, произошла атака на компанию, её отразили, можно же расслабиться? Ни в коем случае! Нужно исследовать, почему произошла данная атака, что ей способствовало и многие другие вопросы: «Что, зачем, с какой целью?»;
- TH (Threat Hunting) — специалисты, которые занимаются обнаружением кибератак, не поддающихся выявлению традиционными средствами защиты. Специалисты по TH встречаются в компаниях, где модель информационной безопасности уже достаточно зрелая, где выстроены все линии SOC;
- MA (Malware Analysis) — специалисты, которые занимаются анализом вредоносного ПО, его функциональностью, тем, как распространяется и как противостоять последствиям, а одним из применяемых методов является Reverse Engineering, используемый для детального анализа внутреннего устройства программы.
Размер и состав Blue Team зависит от масштабов инфраструктуры компании и от бюджета, выделяемого на защиту информации.
Ниже на картинке можно увидеть, что в ходе поэтапного процесса работы с инцидентом задействованы все подразделения. Они составляют единый организованный механизм, благодаря которому и получается повышать уровень защищённости компании, что и является приоритетной задачей ИБ.
Ниже на картинке можно увидеть, что в ходе поэтапного процесса работы с инцидентом задействованы все подразделения. Они составляют единый организованный механизм, благодаря которому и получается повышать уровень защищённости компании, что и является приоритетной задачей ИБ.
Какими навыками и знаниями должен обладать специалист по информационной безопасности
Так как область ИБ обширна и необъятна, то перечислить все навыки и знания будет достаточно сложно, однако основные выделим в виде списка:
- Знание сетей, сетевого взаимодействия, построения сетей.
- Знание ОС Windows/Unix-подобных и того, как обеспечивается их безопасность.
- Знание классов средств СЗИ, умение ими пользоваться.
- Понимание современных методов, инструментов и технологий для проведения атак, также актуальные угрозы ИБ.
- Умение программировать (зависит от задачи и направления: где-то достаточно автоматизировать с помощью скриптов, где-то полноценно разрабатывать и понимать код).
- Опыт работы с инструментами и фреймворками (для каждого направления свои тулзы, с ними познакомимся в рамках курса в следующих уроках).
- Базовые навыки реагирования и мониторинга инцидентов.
- Умение анализировать информацию, стремление учиться и не бояться работать с чем-то новым и неизведанным!
Итоги
- «Специалист ИБ» — широкое понятие, охватывающее множество областей и знаний, поэтому все специалисты делятся на команды и направления.
- Существует три модели обеспечения ИБ: MSSP, интегратор и in-house.
- Основные команды, существующие в российских компаниях: Blue Team, Purple Team и Red Team.
- Blue Team — это команда защитников. Они занимаются мониторингом, реагированием и расследованием инцидентов и событий безопасности. Специалисты Red Team имитируют действия хакеров и выдвигают отчёт по «слабым» местам инфраструктуры, через которые возможен тот или иной взлом. Purple Team — это сотрудники, которые отвечают за взаимодействие Blue и Red Teams, объединяют их функции и координируют работы по анализу защищённости.
- Blue Team имеет шесть направлений, каждое из которых сосредоточено на своих задачах, но вместе они составляют единый процесс для качественной защиты инфраструктуры компании.
Мы обсудили общую картину: кто обеспечивает информационную безопасность в компании.
Курс для старта в ИБ от Inseca
Освойте введение в информационную безопасность. Курс знакомит с основами сети, операционными системами, уязвимостями и средствами защиты, практические задания выполняются в SOC лаборатории Inseca.
Подходит:
Студентам последних курсов и выпускникам технических специальностей (ВУЗов и колледжей)
Начинающим специалистам в сфере ИБ, для систематизации знаний и расширения компетенций
IT-специалистам любого уровня, не имеющим опыта работы в сфере информационной безопасности
Смежным с IT/ИБ специалистам, чтобы сменить профессиональную траекторию и зарабатывать больше.
Узнать больше о тарифах
Подходит:
Студентам последних курсов и выпускникам технических специальностей (ВУЗов и колледжей)
Начинающим специалистам в сфере ИБ, для систематизации знаний и расширения компетенций
IT-специалистам любого уровня, не имеющим опыта работы в сфере информационной безопасности
Смежным с IT/ИБ специалистам, чтобы сменить профессиональную траекторию и зарабатывать больше.
Узнать больше о тарифах