«Мы всегда в режиме инцидентов» — эта фраза стала нормой для многих команд. Но когда постоянная тревога становится обыденностью, команда перестает задаваться вопросом: «Почему мы постоянно оказываемся в такой ситуации?». Статья рассматривает, как перейти от реактивного подхода к проактивному управлению рисками в кибербезопасности.
Впервые вы услышите: «Мы всегда в режиме инцидентов» — и это будет сказано без драматизма. Это будет сказано так же, как упоминают погоду. Опять серый день. Опять пейджер.
И в этом проблема. Когда постоянная тревога становится нормой, ваша команда перестает задавать единственный важный вопрос: «Почему мы постоянно оказываемся в такой ситуации?»
Вы можете купить больше инструментов. Вы можете нанять больше аналитиков. Вы можете повесить больше дашбордов. Но вы все равно будете метаться, пытаясь устранить последнюю утечку, последнюю неправильную конфигурацию, последнее неожиданное заявление поставщика, последнее «незначительное» изменение, которое съело ваш выходной.
Лучшие команды кибербезопасности, с которыми мы работали, побеждали не потому, что действовали быстрее. Они побеждали, потому что были адаптивны и меняли ландшафт рисков. Они создали культуру, в которой слабые сигналы имели микрофон, а для действий не требовалось героизма.
Прогнозирование в кибербезопасности — это не гадание. Это дисциплинированные привычки, четкие решения и команда, которая относится к риску как к ежедневной практике, а не к ежегодному отчету.
Ловушка: когда «занятость» заменяет «осведомленность»
Реактивные команды не выбирают хаос. Хаос выбирает их, по одному небольшому компромиссу за раз.
Срочное изменение вносится в пятницу вечером. Привилегированный аккаунт «временно» остается на месяцы. Патч задерживается из-за дедлайна продукта, а безопасность воспринимается как вежливый гость за столом. Поставщик проходит ускоренную проверку, и никто не возвращается к этому вопросу.
Каждое событие кажется управляемым. Вместе они создают закономерность. Эта закономерность вас и подводит.
Большинство команд тонут в шуме, потому что считают каждый сигнал равным и частью работы службы безопасности. Вы никогда не развиваете направление. Вы развиваете рефлексы.
Рефлексы кажутся полезными. Они хорошо смотрятся на мостах инцидентов. Они также могут держать вас в неведении.
Прогнозирование начинается, когда вы перестаете вознаграждать «спасение» и начинаете вознаграждать «видеть и действовать».
Культура управления рисками: что это такое, если убрать лозунги
Люди говорят о культуре как о чем-то мягком. Плакаты. Ценности. Общий сбор с аплодисментами по команде.
Культура — это нечто более сложное. Культура — это то, что люди делают, когда никто не смотрит, и когда часы тикают громко. Культура — это то, что позволяет вам узнать правду в 16:00, а не в 4:00 утра.
В кибербезопасности культура управления рисками отвечает на четыре вопроса.
Замечают ли люди риски на ранней стадии?
Называют ли они их четко?
Знают ли они, кто может принимать решения?
Действуют ли они без страха?
Если кто-то из них терпит неудачу, вы получаете молчание. Молчание — это самый опасный пробел в здании.
Мы видели команды с дорогими инструментами и плачевными результатами, потому что инженеры усвоили один урок: «Если я подниму риск, меня накажут, замедлят или проигнорируют». Поэтому они молчат, а вы удивляетесь.
Мы также видели команды со средними инструментами, но сильными привычками. Они не притворялись, что риски — это комфортно. Они сделали их обсуждаемыми.
Обсуждаемые риски — это начало предвидения. Предвидение позволяет принять правильное действие или бездействие для достижения наилучшего результата!
Дисциплина сигналов: дайте слабым сигналам место для приземления
Прогнозирование — это не про то, чтобы видеть все. Это про то, чтобы видеть нужные вещи достаточно рано, чтобы действовать.
Лучшие команды собирают «почти случившиеся инциденты» так же, как пилоты собирают данные о полетах. Не для обвинений. Для выявления закономерностей.
«Почти случившийся инцидент» — это злоумышленник, который почти проник. Неудачное изменение, которое почти попало в продакшн. Поставщик, который чуть не раскрыл секрет. Учетные данные, которые чуть не попали в код.
Большинство организаций выбрасывают это. «Вреда не причинено». Тикет закрыт. Затем вред приходит позже, одетый в тот же наряд.
Поэтому вам нужно место, куда «почти случившиеся инциденты» могут «приземлиться». Легкий журнал. Канал, которому люди доверяют. Небольшой еженедельный ритуал, где вы спрашиваете: «Что чуть не произошло?» А не «Кто накосячил».
Вам также нужен общий язык. Не десять страниц таксономии. Просто слова, которые означают одно и то же для разных команд. Когда кто-то говорит «критично», означает ли это «бросить все» или «включить в следующий релиз»?
Неоднозначность порождает задержки. Задержки порождают сюрпризы.
Права на принятие решений: скорость умирает в комитетах
Мы видели звонки по инцидентам, где 20 человек высказывали мнения, а никто не имел полномочий. Это похоже на наблюдение за комитетом, пытающимся управлять кораблем посреди шторма.
Прогнозирование требует скорости, а скорость требует прав на принятие решений и риск-интеллекта.
Многие программы инвестируют в обнаружение и забывают о человеческом узком месте. Даже идеальная видимость бесполезна, если каждое решение требует совещания, а каждое совещание требует старшего руководителя, который «занят на встречах».
Лучшие команды принимают решения, основанные на риск-интеллекте, до наступления жары.
Кто может заблокировать релиз?
Кто может изолировать систему?
Кто может принудительно сменить ключи?
Кто может принять риск и при каких условиях?
Когда проблема поднимается на уровень выше, и что запускает это повышение.
Если вам нужно прогнозирование, исправьте свою сетку утверждений. Сделайте ее короткой. Сделайте ее применимой в 2 часа ночи.
Затем защитите ее. Одно исключение ради удобства, и люди узнают реальные правила. Реальные правила всегда побеждают.
Стандарты поведения: как выглядит «хорошо» во вторник
Вы не можете просить людей «заботиться о рисках» и ожидать, что это приживется. Люди действуют исходя из того, что вознаграждается и что приводит к неприятностям.
Поэтому сильные команды устанавливают стандарты поведения. Не в виде лекции. В виде рабочего соглашения.
Задача службы безопасности — снижать ущерб, обеспечивая при этом рабочий процесс, а не действовать как привратник. Это означает правила, которым люди могут следовать, и ограждения, которые делают правильный путь проще, чем неправильный.
Задача инженеров — отвечать за то, что они выпускают, а не «помогать безопасности». Если вы это создали, вы несете ответственность за радиус поражения.
Задача продукта — учитывать риски при проектировании, а не рассматривать безопасность как чек-лист на поздней стадии. Если вы не можете объяснить, почему функция стоит риска, вы не понимаете функцию.
У владельцев поставщиков тоже есть работа. Они не могут переложить риск поставщика на анкету. Они несут ответственность за последующие действия, когда поставщик говорит: «Мы исправим это в следующем квартале».
Небольшая практика, которую я люблю. Попросите каждую команду назвать три правила «без сюрпризов».
Никакого привилегированного доступа без срока действия.
Никаких изменений в продакшене без отката.
Никакого нового поставщика без владельца и плана выхода.
Короткий список. Четкие глаголы. Реальное исполнение. Вот что такое культура.
Рабочий ритм: неделя — это то, где риск становится реальным
Если вы говорите о рисках только во время аудитов и инцидентов, у вас нет культуры управления рисками. У вас сезонный вид спорта.
Прогнозирование живет в ритме. На встречах, которые вы действительно посещаете.
Еженедельно проводите краткий обзор с тремя вопросами.
Что изменилось, что влияет на подверженность рискам?
Что чуть не пошло не так?
Что требует решения?
Держите его кратким. Если он превратится в театральное представление статуса, прекратите его и начните заново.
Ежемесячно практикуйте один сценарий. Простой, без навороченных презентаций. Если на этот сервис обрушится программа-вымогатель, что произойдет в первый час? Кто принимает решения. Что вы отключите, а что должно остаться включенным?
Ежеквартально тестируйте то, что вы заявляете. Резервные копии. Контроль доступа. Эскалация у поставщика. Если вы не можете это протестировать, вы этого не знаете.
Этот ритм учит людей, что риск — это не неожиданный гость. Риск — это жилец. Вы не паникуете, когда его видите. Вы разбираетесь с ним.
Представьте, что вы однажды пришли на еженедельный обзор команды в качестве гостя. Через десять минут руководитель эксплуатации сказал: «Мы вчера изменили настройки поставщика удостоверений. Это показалось странным». Никакой паники. Никаких обвинений. Просто поднятая рука. Безопасность задала два вопроса, инженеры проверили логи, и они откатили рискованный переключатель до обеда. Ничего не попало в новости. Никто не получил медаль. Все ушли домой вовремя. Вот что дает хороший ритм. Большую часть времени — тихо.
Метрики, указывающие вперед: считайте то, что движется до нанесения ущерба
Многие дашборды показывают, что уже произошло. Инциденты. Сбои. Убытки.
Полезно, но поздно.
Если вам нужно прогнозирование, отслеживайте метрики, которые меняются до наступления беспорядка. Давайте перейдем к более проактивному и превентивному подходу, вместо того чтобы тестировать наши реакции и устойчивость как основные ответы.
Как долго критические патчи остаются на важных системах?
Как часто исключения привилегированного доступа истекают вовремя?
Сколько срочных изменений обходят проверки, и где?
Сколько «почти случившихся инцидентов» сообщается, и как быстро вы учитесь?
Наблюдайте, как команда празднует уменьшение числа инцидентов, в то время как сообщения о «почти случившихся инцидентах» упали до нуля. Они думали, что улучшились. На самом деле люди перестали говорить. Через шесть недель их поразили. Молчание было сигналом.
Вам не нужны идеальные цифры. Вам нужны честные тенденции, которые побуждают к выбору, а не к отчетам.
Руководство: культура, которую вы вознаграждаете, — это культура, которую вы получаете
Руководители говорят, что хотят прозрачности. Затем они наказывают первого, кто приносит плохие новости. Этот единственный момент учит организацию больше, чем любой регламент.
Если вы хотите прогнозирования и превентивности, защищайте гонца. Хвалите раннюю эскалацию. Относитесь к риску как к сделке, а не как к личному провалу.
Кроме того, прекратите романтизировать героизм. Полуночное спасение — это приятно. Это отличная история. Но оно также скрывает первопричину: плохое планирование, слабый контроль, нечеткую ответственность и привычку откладывать скучную работу.
Скучная работа обеспечивает спокойствие, дисциплина — надежность, но риск-интеллект позволяет проявиться правильному балансу соответствия, устойчивости и превентивности.
Представьте себе обсуждение в совете директоров, где кто-то спросил: «Зачем тратить деньги на устойчивость, когда в этом квартале ничего не произошло?» А вы ответили вопросом: «Вы бы предпочли платить за тормоза или за скорые помощи?» Это было воспринято, потому что было правдой.
Простой сдвиг за 90 дней: маленькие шаги, реальные изменения
Если ваша команда чувствует себя застрявшей, не начинайте с масштабной программы. Начните с нескольких шагов, которые быстро изменят поведение.
- Первые 30 дней. Составьте карту ваших самых частых повторных сбоев. Выберите пять сигналов для еженедельного наблюдения. Назначьте ответственных.
- Дни с 31 по 60. Устраните один узел принятия решений. Напишите правило. Используйте его.
- Дни с 61 по 90. Практикуйте один сценарий в месяц. Извлеките один урок. Измените один плейбук. Закройте один пробел.
Вы не гонитесь за совершенством. Вы формируете привычку. Привычки накапливаются.
Если вы сделаете это хорошо, что-то изменится. Вы перестанете удивляться тем же проблемам. Люди раньше поднимают вопросы. Инженеры перестают скрывать плохие новости. Безопасность перестает кричать в пустоту. Организация чувствует себя спокойнее. Не самоуспокоенно. Спокойно.
Это спокойствие — не удача. Это культура. Правильный баланс между предотвращением, реакцией и проактивностью обеспечивает устойчивую высокую производительность.
И вот тихий «микрофонный дроп». Когда риск становится ежедневным разговором, вам не нужно угадывать будущее. Вы перестаете шокироваться настоящим.
Эта статья опубликована в рамках Foundry Expert Contributor Network.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maman Ibrahim