SecOps: безопасность и ИТ-операции

SecOps: поче­му без­опас­ность и ИТ-опе­ра­ции боль­ше не могут рабо­тать порознь. Если совсем корот­ко, SecOps — это исто­рия про здра­вый смысл. 

Про тот момент, когда биз­нес нако­нец пере­ста­ет делать вид, что без­опас­ность живет где-то отдель­но, а опе­ра­ци­он­ная ИТ-коман­да — где-то в дру­гом углу, со сво­и­ми зада­ча­ми, дед­лай­на­ми и веч­ным “нам бы сна­ча­ла запу­стить, а потом уже защи­тим”. Тер­мин SecOps скла­ды­ва­ет­ся из двух слов — security и operations. То есть речь идет о сотруд­ни­че­стве меж­ду ИТ-опе­ра­ци­я­ми и кибер­без­опас­но­стью, где обе сто­ро­ны рабо­та­ют не в изо­ля­ции, а вме­сте, с опо­рой на авто­ма­ти­за­цию, про­цес­сы и общее пони­ма­ние рисков.

Под­пи­ши­тесь на Tiku Digital ВКонтакте

На прак­ти­ке это озна­ча­ет доволь­но про­стую, но важ­ную вещь: без­опас­ность пере­ста­ет быть “тор­мо­зом”, кото­рый под­клю­ча­ют в кон­це, а опе­ра­ци­он­ные коман­ды пере­ста­ют быть людь­ми, кото­рые толь­ко под­дер­жи­ва­ют инфра­струк­ту­ру и тушат пожа­ры. Вме­сто это­го появ­ля­ет­ся еди­ная логи­ка рабо­ты, где защи­та, мони­то­ринг, реа­ги­ро­ва­ние, кон­троль досту­па, жур­на­ли­ро­ва­ние, инфра­струк­тур­ные изме­не­ния и устой­чи­вость систем рас­смат­ри­ва­ют­ся как части одной общей системы.

И если чест­но, имен­но к это­му рынок дав­но и шел. Пото­му что совре­мен­ная циф­ро­вая сре­да ста­ла слиш­ком слож­ной, слиш­ком рас­пре­де­лен­ной и слиш­ком уяз­ви­мой, что­бы поз­во­лить себе рос­кошь ста­рой моде­ли, где каж­дый отдел сидит в сво­ем “коро­лев­стве” и обща­ет­ся толь­ко по боль­шим праздникам.

Что такое SecOps простыми словами

SecOps — это под­ход, при кото­ром коман­ды без­опас­но­сти и ИТ-опе­ра­ций рабо­та­ют сов­мест­но, что­бы быст­рее обна­ру­жи­вать угро­зы, авто­ма­ти­зи­ро­вать рутин­ные про­цес­сы, сни­жать рис­ки и при этом не уби­вать ско­рость биз­не­са. И вот послед­нее осо­бен­но важ­но. Пото­му что реаль­ная про­бле­ма сего­дня не в том, что ком­па­нии не пони­ма­ют цен­ность кибер­без­опас­но­сти. Пони­ма­ют. Про­бле­ма в том, что они посто­ян­но балан­си­ру­ют меж­ду дву­мя силами:

• с одной сто­ро­ны — нуж­но быст­ро выпус­кать про­дук­ты, обнов­ле­ния, сер­ви­сы и инфра­струк­тур­ные изменения;
• с дру­гой — нуж­но не пре­вра­тить всё это в про­ход­ной двор для угроз, уте­чек, уяз­ви­мо­стей и инцидентов.

SecOps как раз и появ­ля­ет­ся в точ­ке это­го конфликта.

Если выра­зить идею фор­му­лой, полу­чит­ся при­мер­но так:

SecOps = безопасность + операции + автоматизация + единая ответственность

Зву­чит про­сто. Но на прак­ти­ке это боль­шой орга­ни­за­ци­он­ный сдвиг.

Почему SecOps вообще стал так важен

Исто­ри­че­ски отде­лы ИТ и инфор­ма­ци­он­ной без­опас­но­сти во мно­гих ком­па­ни­ях дей­стви­тель­но рабо­та­ли отдель­но. У них были раз­ные зада­чи, раз­ные KPI, раз­ный темп и, если гово­рить чест­но, доволь­но раз­ное мыш­ле­ние. Опе­ра­ци­он­ные коман­ды дума­ли о доступ­но­сти, ста­биль­но­сти, ско­ро­сти внед­ре­ния, под­держ­ке инфра­струк­ту­ры и бес­пе­ре­бой­ной рабо­те систем. Коман­ды без­опас­но­сти — о защи­те, кон­тро­ле, соблю­де­нии поли­тик, уяз­ви­мо­стях, рис­ках и предот­вра­ще­нии инцидентов.

Про­бле­ма в том, что в реаль­ном мире эти зада­чи невоз­мож­но разо­рвать. Любое изме­не­ние в инфра­струк­ту­ре — это одно­вре­мен­но и опе­ра­ци­он­ный шаг, и собы­тие с точ­ки зре­ния без­опас­но­сти. Любое новое облач­ное окру­же­ние, новая инте­гра­ция, новый доступ, новый сер­вер, новый релиз, новый endpoint — всё это вли­я­ет сра­зу на обе стороны.

Имен­но поэто­му ста­рый под­ход “давай­те сна­ча­ла сде­ла­ем, а без­опас­ность пусть посмот­рит потом” пере­стал рабо­тать. Пото­му что потом обыч­но ока­зы­ва­ет­ся позд­но, доро­го и нервно.

Когда компании начинают понимать ценность SecOps

Обыч­но это про­ис­хо­дит не в самый роман­тич­ный момент. Напри­мер, когда выяс­ня­ет­ся, что коман­да слиш­ком быст­ро выка­ти­ла сер­вис, но не настро­и­ла кон­троль досту­па. Или когда уяз­ви­мость нашли не внут­ри ком­па­нии, а уже после инци­ден­та. Или когда SOC, DevOps, адми­ны, облач­ная коман­да и без­опас­ность начи­на­ют пере­сы­лать друг дру­гу тике­ты вме­сто того, что­бы решать про­бле­му как одну общую задачу.

Спрос на SecOps осо­бен­но вырос на фоне несколь­ких факторов:

• роста коли­че­ства кибератак;
• уско­ре­ния циф­ро­вой трансформации;
• мас­со­во­го пере­хо­да в облач­ные среды;
• уда­лен­ной и гибрид­ной работы;
• уве­ли­че­ния чис­ла систем, сер­ви­сов, API и интеграций;
• уже­сто­че­ния тре­бо­ва­ний к устой­чи­во­сти и соот­вет­ствию поли­ти­кам безопасности.

В вашем исход­ном тек­сте отдель­но под­чер­ки­ва­ет­ся, что более 50% орга­ни­за­ций жерт­ву­ют кибер­без­опас­но­стью ради ско­ро­сти, а более 80% орга­ни­за­ций, внед­рив­ших изме­не­ния во вре­мя пан­де­мии, уве­ли­чи­ли свои рис­ки и уяз­ви­мость. На этом фоне неуди­ви­тель­но, что 85% кор­по­ра­тив­ных орга­ни­за­ций назы­ва­ют ини­ци­а­ти­вы по без­опас­но­сти частью сво­ей буду­щей стратегии.

Это, по сути, и есть иде­аль­ный кон­текст для роста SecOps.

Главная идея SecOps: не мешать скорости, а делать её безопасной

Очень часто без­опас­ность в ком­па­нии вос­при­ни­ма­ют как тор­моз. Как отдел, кото­рый при­хо­дит и гово­рит “нель­зя”, “надо согла­со­вать”, “это риск”, “сна­ча­ла аудит”, “потом доступ”. Но про­бле­ма здесь не в самой без­опас­но­сти. Про­бле­ма в пло­хой архи­тек­ту­ре взаимодействия.

Когда про­цес­сы не выстро­е­ны, без­опас­ность дей­стви­тель­но начи­на­ет тор­мо­зить. Про­сто пото­му, что её вклю­ча­ют слиш­ком позд­но. А вот если коман­да без­опас­но­сти встро­е­на в опе­ра­ци­он­ный кон­тур зара­нее, если есть понят­ные пра­ви­ла, авто­ма­ти­за­ция, шаб­ло­ны, сце­на­рии реак­ции и общие про­це­ду­ры, всё начи­на­ет рабо­тать совсем по-другому.

В хоро­шем SecOps без­опас­ность не вою­ет со ско­ро­стью. Она дела­ет ско­рость управляемой.

Фор­му­ла зре­ло­го под­хо­да выгля­дит так:

Быстрые изменения + встроенные контроли + автоматизированная проверка = безопасная операционная скорость

Чем SecOps отличается от старой модели работы

Что­бы не оста­вать­ся на уровне абстрак­ций, давай­те раз­ло­жим раз­ни­цу более наглядно.

На уровне ощу­ще­ния это пере­ход от фра­зы “мы пере­да­ли зада­чу даль­ше” к фра­зе “мы вме­сте отве­ча­ем за результат”.

Какие задачи обычно решает SecOps

Важ­но пони­мать, что SecOps — это не одна тех­но­ло­гия и не один про­дукт. Это орга­ни­за­ци­он­но-тех­ни­че­ский под­ход, кото­рый охва­ты­ва­ет мно­же­ство про­цес­сов. В реаль­ной кор­по­ра­тив­ной сре­де он может вклю­чать очень раз­ные практики.

Типовые задачи SecOps

• сов­мест­ный мони­то­ринг инфра­струк­ту­ры и инцидентов;
• авто­ма­ти­за­ция реак­ции на угрозы;
• управ­ле­ние жур­на­ла­ми собы­тий и кор­ре­ля­ци­ей событий;
• кон­троль уяз­ви­мо­стей и патч-менеджмент;
• управ­ле­ние досту­па­ми и привилегиями;
• про­вер­ка кон­фи­гу­ра­ций на соот­вет­ствие политикам;
• инте­гра­ция без­опас­но­сти в CI/​CD и инфра­струк­тур­ные изменения;
• сни­же­ние вре­ме­ни обна­ру­же­ния и устра­не­ния угроз;
• выстра­и­ва­ние сов­мест­ных playbook-сце­на­ри­ев для реагирования.

То есть SecOps — это не “еще один отдел”. Это ско­рее общая опе­ра­ци­он­ная ткань, в кото­рую без­опас­ность встро­е­на как посто­ян­ный слой.

Какую роль здесь играет автоматизация

Авто­ма­ти­за­ция — это один из цен­траль­ных эле­мен­тов SecOps. Ина­че всё быст­ро упи­ра­ет­ся в чело­ве­че­ский ресурс. Совре­мен­ная инфра­струк­ту­ра гене­ри­ру­ет слиш­ком мно­го собы­тий, логов, изме­не­ний, пре­ду­пре­жде­ний и сиг­на­лов. Если пытать­ся всё отс­мат­ри­вать рука­ми, раз­би­рать вруч­ную и каж­дый раз зано­во согла­со­вы­вать дей­ствия меж­ду отде­ла­ми, систе­ма про­сто захлебнется.

Поэто­му в зре­лой SecOps-сре­де авто­ма­ти­зи­ру­ют всё, что мож­но авто­ма­ти­зи­ро­вать без поте­ри кон­тро­ля. Например:

• сбор и нор­ма­ли­за­цию логов;
• выяв­ле­ние аномалий;
• опо­ве­ще­ния по инцидентам;
• бло­ки­ров­ку подо­зри­тель­ной активности;
• ска­ни­ро­ва­ние на уязвимости;
• про­вер­ку поли­тик безопасности;
• повто­ря­е­мые сце­на­рии реакции.

Здесь рабо­та­ет про­стая формула:

Чем боль­ше рути­ны сни­ма­ет авто­ма­ти­за­ция, тем боль­ше вре­ме­ни у людей оста­ет­ся на реаль­ные угро­зы и архи­тек­тур­ные решения

Имен­но поэто­му SecOps почти все­гда тес­но свя­зан с SIEM, SOAR, EDR, XDR, IAM, vulnerability management и дру­ги­ми инстру­мен­та­ми эко­си­сте­мы кибербезопасности.

SecOps и корпоративная реальность

Если гово­рить совсем чест­но, кор­по­ра­тив­ная сре­да любит гово­рить о сотруд­ни­че­стве, но на прак­ти­ке это сотруд­ни­че­ство часто лома­ет­ся о внут­рен­ние гра­ни­цы. У каж­до­го под­раз­де­ле­ния свои зада­чи, свои мет­ри­ки, свои дед­лай­ны и свои боли. Поэто­му внед­ре­ние SecOps — это не толь­ко про тех­но­ло­гии, но и про куль­ту­ру взаимодействия.

И вот здесь мно­гие ком­па­нии стал­ки­ва­ют­ся с непри­ят­ной прав­дой: про­бле­ма не в отсут­ствии реше­ний, а в отсут­ствии дого­во­рен­но­сти. Мож­но купить доро­гие систе­мы мони­то­рин­га, настро­ить авто­ма­ти­за­цию, собрать все логи в одном месте, но если ИТ-опе­ра­ции и без­опас­ность по-преж­не­му не раз­го­ва­ри­ва­ют нор­маль­но, реаль­но­го эффек­та будет мень­ше, чем ожидается.

Поэто­му SecOps все­гда сто­ит на трех опорах:

• люди;
• про­цес­сы;
• тех­но­ло­гии.

Если выпа­да­ет хотя бы одна часть, кон­струк­ция начи­на­ет шататься.

Почему SecOps особенно важен на фоне роста кибератак

Инте­рес к SecOps напря­мую свя­зан с тем, что ата­ки ста­ли чаще, слож­нее и болез­нен­нее для биз­не­са. В вашем тек­сте упо­ми­на­ет­ся оцен­ка Accenture, соглас­но кото­рой коли­че­ство кибе­р­атак в 2021 году вырос­ло на 125%. Парал­лель­но иссле­до­ва­ния пока­зы­ва­ют, что 47% тра­ди­ци­он­ных ИТ-отде­лов не гото­вы про­ти­во­сто­ять кибератакам.

Это очень важ­ный момент. Пото­му что он пока­зы­ва­ет: клас­си­че­ская ИТ-функ­ция сама по себе боль­ше не тянет весь объ­ем ответ­ствен­но­сти за защи­ту. Не пото­му что ИТ-коман­ды сла­бые, а пото­му что зада­ча изме­ни­лась. Сего­дня защи­та — это не над­строй­ка, а пол­но­цен­ная часть опе­ра­ци­он­но­го управ­ле­ния инфраструктурой.

Имен­но здесь SecOps ста­но­вит­ся не кра­си­вой кон­цеп­ци­ей, а прак­ти­че­ской необходимостью.

SecOps как часть более крупного тренда: SOC Goes Mainstream

В вашем тек­сте SecOps рас­смат­ри­ва­ет­ся как часть мета­трен­да SOC Goes Mainstream. Это очень точ­ное наблю­де­ние. Пото­му что рост SecOps тес­но свя­зан с ростом роли SOC — Security Operations Center, то есть цен­тра управ­ле­ния безопасностью.

SOC — это уже не “спец­под­раз­де­ле­ние для очень боль­ших ком­па­ний”, как это часто вос­при­ни­ма­лось рань­ше. Сего­дня Security Operations Center посте­пен­но ста­но­вит­ся более понят­ной и вос­тре­бо­ван­ной частью кор­по­ра­тив­ной инфра­струк­ту­ры, осо­бен­но там, где есть рас­пре­де­лен­ные сре­ды, мно­го циф­ро­вых акти­вов, высо­кие тре­бо­ва­ния к устой­чи­во­сти и серьез­ные рис­ки инцидентов.

Поче­му SOC так хоро­шо соче­та­ет­ся с SecOps? Пото­му что он по сво­ей сути уже рабо­та­ет на сты­ке мони­то­рин­га, реа­ги­ро­ва­ния, коор­ди­на­ции и вза­и­мо­дей­ствия с дру­ги­ми под­раз­де­ле­ни­я­ми. А зна­чит, логи­ка SecOps для него почти естественна.

Фор­му­ла тут выгля­дит так:

SOC + автоматизация + тесная связь с ИТ-операциями = быстреее обнаружение и нейтрализация угроз

Какие выгоды бизнес получает от SecOps

Для биз­не­са любая ини­ци­а­ти­ва долж­на быть не про­сто “пра­виль­ной”, а полез­ной. И здесь у SecOps доволь­но силь­ная пози­ция. Он дает выго­ды не толь­ко с точ­ки зре­ния без­опас­но­сти, но и с точ­ки зре­ния устой­чи­во­сти процессов.

Что получает компания

• быст­ре­ее обна­ру­же­ние угроз;
• мень­ше руч­ной рутины;
• более пред­ска­зу­е­мое реа­ги­ро­ва­ние на инциденты;
• луч­шее вза­и­мо­дей­ствие меж­ду командами;
• сни­же­ние вре­ме­ни про­стоя и послед­ствий атак;
• мень­ше кон­флик­тов меж­ду “ско­ро­стью” и “без­опас­но­стью”;
• более зре­лую киберустойчивость;
• луч­шее соот­вет­ствие внут­рен­ним поли­ти­кам и тре­бо­ва­ни­ям комплаенса.

То есть SecOps — это не про­сто про защи­ту “на вся­кий слу­чай”. Это про управ­ля­е­мость циф­ро­вой среды.

Почему SecOps сложно внедрять

Было бы непра­виль­но делать вид, что SecOps внед­ря­ет­ся лег­ко. На прак­ти­ке это почти все­гда слож­нее, чем кажет­ся в пре­зен­та­ци­ях. Основ­ная при­чи­на — не тех­но­ло­гии, а орга­ни­за­ци­он­ные привычки.

Вот где чаще все­го воз­ни­ка­ют сложности:

• раз­де­лен­ные зоны ответственности;
• раз­ные KPI у команд;
• неже­ла­ние менять процессы;
• пере­гру­жен­ные специалисты;
• насле­дие ста­рой инфраструктуры;
• низ­кий уро­вень автоматизации;
• нехват­ка кад­ров в кибербезопасности.

Очень часто ком­па­нии искренне хотят внед­рить SecOps, но по фак­ту про­сто добав­ля­ют еще один слой инстру­мен­тов поверх уже хао­тич­ной сре­ды. В резуль­та­те шум рас­тет, а зре­лость — нет.

Поэто­му внед­ре­ние SecOps тре­бу­ет не толь­ко соф­та, но и чест­но­го пере­смот­ра процессов.

Как выглядит зрелый SecOps-подход

Зре­лый SecOps — это когда без­опас­ность встро­е­на в опе­ра­ци­он­ную жизнь ком­па­нии настоль­ко есте­ствен­но, что не вос­при­ни­ма­ет­ся как отдель­ный внеш­ней кон­троль­ный орган. Она уже внут­ри систе­мы. Про­вер­ки идут авто­ма­ти­че­ски. Логи соби­ра­ют­ся цен­тра­ли­зо­ван­но. Плей­бу­ки на инци­ден­ты зара­нее согла­со­ва­ны. Ответ­ствен­ность понят­на. Досту­пы управ­ля­ют­ся про­зрач­но. Коман­ды раз­го­ва­ри­ва­ют на одном язы­ке. ИТ зна­ет, что важ­но для без­опас­но­сти, а без­опас­ность пони­ма­ет огра­ни­че­ния и реаль­ность ИТ-операций.

Если совсем корот­ко, зре­лость выгля­дит так:

Зрелый SecOps = меньше хаоса, меньше слепых зон, быстрее реакция, выше устойчивость

И это уже не про­сто улуч­ше­ние одно­го отде­ла. Это улуч­ше­ние опе­ра­ци­он­ной куль­ту­ры ком­па­нии в целом.

SecOps и будущее корпоративной кибербезопасности

На мой взгляд, самое важ­ное в исто­рии SecOps — это то, что он отра­жа­ет более широ­кий сдвиг. Кибер­без­опас­ность боль­ше не может быть узкой функ­ци­ей, кото­рую под­клю­ча­ют отдель­но от все­го осталь­но­го биз­не­са. Она ста­но­вит­ся частью базо­вой архи­тек­ту­ры циф­ро­вой компании.

Чем боль­ше сер­ви­сов, обла­ков, инте­гра­ций, рас­пре­де­лен­ных команд и циф­ро­вых про­цес­сов, тем силь­нее это замет­но. Поэто­му SecOps в буду­щем, ско­рее все­го, будет не “допол­ни­тель­ным уров­нем зре­ло­сти”, а новой нор­мой для ком­па­ний, кото­рые хотят все­рьез управ­лять сво­ей циф­ро­вой устойчивостью.

При­чем осо­бен­но инте­рес­но то, что эта нор­ма будет все боль­ше завя­за­на на авто­ма­ти­за­цию, SOC-под­ход, observability, инте­гри­ро­ван­ные плат­фор­мы защи­ты и более тес­ную связ­ку меж­ду экс­плу­а­та­ци­ей, раз­ра­бот­кой и безопасностью.

Итоги

SecOps — это под­ход, кото­рый объ­еди­ня­ет без­опас­ность и ИТ-опе­ра­ции в еди­ную рабо­чую систе­му. Он появил­ся не пото­му, что кому-то захо­те­лось при­ду­мать еще одну мод­ную аббре­ви­а­ту­ру, а пото­му что ста­рая модель изо­ли­ро­ван­ной рабо­ты пере­ста­ла справ­лять­ся с совре­мен­ной ско­ро­стью изме­не­ний и уров­нем циф­ро­вых угроз.

Его глав­ная сила в том, что он сни­ма­ет лож­ный кон­фликт меж­ду без­опас­но­стью и ско­ро­стью. Вме­сто под­хо­да “либо быст­ро, либо без­опас­но” SecOps пред­ла­га­ет более зре­лую логи­ку: “быст­ро, но с встро­ен­ным кон­тро­лем, авто­ма­ти­за­ци­ей и общей ответственностью”.

А если посмот­реть еще шире, SecOps — это про­сто взрос­ле­ние кор­по­ра­тив­ной ИТ-сре­ды. Пере­ход от раз­роз­нен­ных функ­ций к общей циф­ро­вой устой­чи­во­сти. И, пожа­луй, имен­но поэто­му инте­рес к нему будет толь­ко расти.

Если хоти­те, сле­ду­ю­щим сооб­ще­ни­ем я могу сде­лать для вас еще и отдель­ную вер­сию этой ста­тьи в более корот­ком фор­ма­те для бло­га или в фор­ма­те SEO-ста­тьи с meta title и description.