SI – новая аббревиатура в ИБ

Security Intelligence весьма созвучно с давно устоявшимся понятием Business Intelligence, которое подразумевает инструменты и технологии сбора и преобразования данных из разнородных источников в значимую и полезную для целей бизнес-анализа информацию. Можно сделать вывод, что понятие SI также касается анализа данных, но уже в сфере безопасности. За счет возникновения все новых угроз стандартный набор систем обеспечения ИБ ежегодно увеличивается. Поэтому в сфере ИБ нет недостатка в данных, которые нужно анализировать.

Взгляд, устремленный вглубь или все-таки вширь?

По сути, данные можно анализировать в двух направлениях: вглубь и вширь. В первом варианте анализируются более детальные данные от систем обеспечения ИБ, причинно-следственные связи и взаимосвязи между событиями, уязвимости, которые привели к реализации событий ИБ. И здесь обычно речь идет о технических данных. В этом случае самый подходящий источник данных для анализа – системы мониторинга событий ИБ (SIEM). В них, как правило, уже подключены имеющиеся элементы инфраструктуры, имеющиеся системы обеспечения ИБ. И дело только за более детальной обработкой данных, поступающих в SIEM. И действительно, производители SIEM начали добавлять сочетание Security Intelligence к названиям своих продуктов, наделив свои SIEM дополнительными аналитическими функциями. А основные потребители таких данных, безусловно, – аналитики в области ИБ.

Если говорить об анализе данных вширь, то тут, в отличие от предыдущего примера, можно попытаться удовлетворить потребности руководителей ИБ-подразделений, а не только ИБ-аналитиков. Все те же данные, поступающие от систем обеспечения ИБ, можно анализировать не на техническом уровне, а в совокупности и более высокоуровнево. Что необходимо, например, при оценке эффективности тех или иных проведенных мероприятий или при отслеживании как трендов и изменений в состоянии ИБ внутри, так и изменений внешних угроз? Или, как вариант, при анализе ситуации и состояния ИБ в филиалах при территориально распределенной структуре или оценке достижения целей изадач в области ИБ, выполнения проектов, направленных на достижение целей ИБ? Иными словами, такой подход обеспечит поддержку принятия решений руководителями в области ИБ, поможет им держать руку на пульсе, своевременно определять проблемные области и реагировать на выявленные отклонения, не погружаясь без необходимости в детальные данные систем обеспечения ИБ.

Security Intelligencе: истина меж двух крайностей

Оба варианта являются в некотором роде крайностями: одна – анализ глубоких технических данных, зачастую понятных узкому кругу специалистов; другая – анализ высокоуровневых и бизнес-ориентированных данных об ИБ. Причем оба варианта хороши и полезны, но между ними есть явный разрыв. Поэтому при развитии понятия Security Intelligence хотелось бы достичь некоторого баланса. С одной стороны, обеспечить сбор и анализ технических данных, с другой – иметь возможность эти же данные анализировать на более высоком уровне и желательно в интерфейсе одной системы (или нескольких, связанных между собой), чтобы переход от данных низкого уровня к данным высокого уровня был прозрачным для конечного их потребителя. Тем более, возвращаясь к изначальной аналогии с системами класса Business Intelligence, стоит вспомнить, что они-то как раз позволяют в рамках своего интерфейса представлять одни и те же данные "под разными соусами" и с каким угодно уровнем детализации. Именно эти задачи только начинают решаться в подходах к анализу данных о состоянии ИБ и процессах ее обеспечения. Все это приводит к созданию новых аналитических ИБ-систем и расширению понятия SI, заданного производителями SIEM-систем. Именно они представляют данные о состоянии ИБ в новом свете и дают возможность анализа эффективности процессов ИБ, связей и влияния их на бизнес, делают безопасность прозрачнее для более широкого круга заинтересованных сторон.