Az egyetemről frissen kikerülve lelkesedést éreztem ahhoz, hogy ebben a szakmában és egy olyan helyen dolgozzak, ahol jelentős, érdekfeszítő dolgok történnek. És hogy őszinte legyek, sok izgalmat és romantikus rejtélyt is vártam ettől a pályától.
Ezzel szemben ma egy, a globális piacra fejlesztő vállalat vezetőjeként kicsit más kép kezd bennem kirajzolódni. Napjainkban ugyanis az IT-biztonságot leginkább a félelem, a marketing és a jogászok határozzák meg. Amikor például egy vállalat vezetőjét óriási zombihálózatokkal fenyegetik a médiában, akkor elrendeli, hogy a biztonsági csapat telepítse az „Anti-Zombi” terméket (melynek egyébként a reklámhirdetése közvetlenül a cikk után volt elhelyezve). A kormányzat ugyanerre a hírre egy új törvénytervezet megalkotásával reagál, amely gyakorlatilag kötelezi a szervezeteket, hogy vásároljanak antizombi-megoldásokat. Rendben, talán túlzok egy kicsit, de a bennünket körülvevő túlszabályozás és mikromenedzsment napi szinten tetten érhető.
Az is megfigyelhető, hogy az IT-biztonsággal foglalkozó szakemberek korántsem a legnépszerűbb srácok a cégeknél. Hiszen minden egyes biztonságtechnikai intézkedés vagy új technológia bevezetése sokak szemében – megfelelő biztonságtudatosság nélkül – csak visszahúzza az üzletet. Újabb korlátozásokat és szabályokat vezetnek be, melyek a biztonság oltárán rontják a nyereségtermelő folyamatok hatékonyságát. Ráadásul az új technológiák az esetek egy jelentős részében még csak nem is olyan hatékonyak, mint azt elvárnánk tőlük. Ugyanakkor a törvényi előírások teljesítése és az érzékeny üzleti adatok védelmének garantálása is a versenyképesség kulcstényezői közé tartozik. Nehéz szituáció. Mi a fontosabb? A COBIT vagy a cég? Mit jelent a biztonság egyáltalán?
Hadd idézzem Kris Buytaert a DevOps mozgalomból. „Egy jó biztonsági szabályzat meggátolja az embereket, hogy aláássák a saját üzletüket. Egy rossz biztonsági szabályzat meggátolja az embereket, hogy gyarapítsák a saját üzletüket.”
Tehát azt gondolom, hogy az IT-biztonság krízisben van. Hiszen nap mint nap egyre több és több konfliktusunk adódik az üzleti oldallal. Egyrészről szükség van több biztonságra, másrészről nem szeretnénk több kontrollt. Ez az állandó konfliktus mérgezi a mindennapi életünket.
A megoldás az agilis IT-biztonsági szemlélet, amely mindig az üzletet tartja szem előtt. Megérti, hogy az IT-biztonság egy üzleti szükséglet a profit eléréséhez. Így nincs értelme bevezetni olyan biztonsági intézkedéseket, amelyek nagyobb mértékben gátolják, visszahúzzák az üzletet, mint egy potenciális biztonsági incidens bekövetkezése tenné. Az agilis IT-biztonság a rugalmas szabályokat preferálja, de nem rugalmas a szabályzat végrehajtásában.
Mit jelent a szabályzat-végrehajtás napjainkban? Mindenekelőtt kontrolleszközöket. Olyan eszközöket, amiket azok merevsége miatt ki nem állhatnak az emberek. A kontrolleszközöknek ezen túl egy rossz üzenete is van: csináld, ha tudod! Ez az, amiért nem egyszer érezhetjük úgy, hogy digitális vadnyugat uralkodik a hálózatokon.
Ha nem a kontroll, akkor mi a szabályzatok betartatásának agilis megközelítése? A láthatóságon és nyomon követhetőségen alapuló biztos felderítés és az ezzel járó hatékony büntetés. Egyszóval a törvény. A vadnyugat vége.
Ennek érdekében a kontroll helyett helyezzünk nagyobb hangsúlyt a felügyeletre. A biztonsági szintet a felügyelettel, monitoringgal is emelhetjük, ami ráadásul egyéb előnyöket is képes biztosítani. Alacsonyabb költségek, kisebb bürokrácia, javuló munkahelyi morál és agilitás. És természetesen magasabb biztonsági szint.
A monitoring számos esetben képes helyettesíteni a kontrollt, hiszen a biztonság alapvetően az emberekről szól. A kontrolleszközök pedig éppen az emberi tényezővel képtelenek mit kezdeni. Pontosabban az emberi intelligenciával vagy az ostobasággal. Találkoztunk már olyan kereskedelmi munkatárssal, aki munkahelyváltás esetén ne a teljes ügyféladatbázissal távozott volna? Nem hiszem. Meglepődünk azon, hogy a munkatársaink közel fele használja a vállalati jelszavait privát regisztrációkhoz? Nem hiszem. Vagy gondoljunk csak az APT támadások klasszikus kellékét képező social engineeringre. Szembe kell néznünk azzal a ténnyel, hogy az emberi tényező jelenti a legmagasabb kockázatot a hálózatunkon. A kontrolleszközök ugyan továbbra is hatásosak a kevésbé kifinomult automatikus, gépi támadások ellen, azonban gyakran tehetetlenek az emberrel szemben.
Mi a víziónk az IT-biztonságról? Gondoljunk csak a valódi életre. Van elektromos kerítés a kertünk körül? Viselünk golyóálló mellényt munkába menet? Dehogy. Mindkettő nagyon kényelmetlen és drága lenne. Csak a gyémántot tartjuk páncélszekrényben. Szigorú kontrollt csak a nagyon kockázatos esetekben használunk. Minden más esetben megbízunk a bűnüldözésben, a felelősségre vonhatóságban, és ennek elrettentő erejében.
Tehát amire az IT-biztonságban szükségünk van, az a szabályzat olyan eszközökkel történő végrehajtása, amely az üzletmenetre nincs negatív hatással, ugyanakkor nem kell kompromisszumot kötni a biztonság területén sem. Találjunk új egyensúlyt a kontroll és a megfigyelés között azáltal, hogy több erőforrást fordítunk a monitoringra. Ennek az alábbi kritériumai vannak:
1. A felügyelet alapú biztonság magas minőségű, könnyen előállítható és feldolgozható bizonyítékokat igényel. Az erre a célra jelenleg használt naplóüzenetek korlátokkal rendelkeznek.
2. Többé nem lehetünk elégedettek az utólagos felderítéssel. Prevenciót lehetővé tevő predikcióra van szükség.
3. A tudás nem csupán a korlátlan mennyiségű információ rendelkezésre állását jelenti, hanem strukturált, kereshető adatbázisokat és jól vizualizált elemzéseket.
Hiszek abban, hogy ez az irány a következő nagy lépés az IT-biztonság evolúciójában. Mi úgy hívjuk ezt a koncepciót, hogy Contextual Security Intelligence, vagy nevezzük egyszerűen csak eCSI-nak.