SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Что за зверь Security Champion?

Что за зверь Security Champion?
07.11.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Автор: Ева Беляева, руководитель Отдела развития Security Vision


Кто это такой


Многие процессы, статьи и корпоративные легенды апеллируют к понятию Security Champion, иногда утверждая, что человек с такой ролью способен сделать невозможное (как говорили и мы в статье о противостоянии разработки и безопасности). Но кто же на самом деле скрывается за этим понятием, какие задачи решает и каков в целом смысл его существования?


В разных местах по-разному, но если поискать определение среди международных ресурсов, можно сильно удивиться, узнав, что Security Champion – это гордое звание одного или нескольких людей, гордо несущих знамя информационной безопасности в компании. То есть, грубо говоря, это такая доступная и приятная каждому сотруднику точка входа в безопасность, процессы и практики внутри компании; спектр задач таких специалистов, оказывается, очень широк – от рисков до комплаенса, от фишинговых писем до безопасной разработки.


рис 1.png

 

А у нас не так?


Разница подходов


У нас не так. Если говорить кратко, то в наших реалиях как будто взяли и адаптировали один из возможных векторов роли Security Champion’a. А потом еще и переделали положение такой роли внутри компании, цели, задачи... Разберемся предметно, что сходится, а в чем проявляются различия.


Вне наших реалий: чемпионом становится или сразу безопасник, или абсолютно любой специалист, текущая позиция которого вкупе со скиллами по информационной безопасности могут поставить его сразу в несколько позиций: ментора, лидера, своеобразного бюро вопросов и ответов, поместить его в среду разработчиков, примерить на себя роль риск-менеджера, нести в массы постулаты комплаенса, и, наконец, проливать свет на ИБ в компании, что называлось модным когда-то словом awareness.


Удивительно при этом то, что существует масса компаний, в которых чемпион – это кто угодно, кроме сотрудника с четко определенными обязанностями и выделенной должностью. Получается так, что такой сотрудник – это скорее покемон, который играет роли в компании от маскота до духовного наставника и штатного психолога в одном лице. Чемпион – тот, которому доверяют все и не стесняются задать вопрос по ИБ без страха быть осмеянными. Такой специалист должен гореть именно безопасностью и по зову сердца делаться своими знаниями с другими.


У нас, мягко говоря, такое вовсе не принято. В наших реалиях термин Security Champion обычно прочно ассоциирован с разработкой. И если вы спросите у компаний, кто у них является чемпионом, вам скорее представят или application security специалиста, сведущего в безопасной разработке, или очень подкованного разработчика в вопросах ИБ. Спектр возможностей нашего чемпиона также отличается широтой: от безопасной разработки до разработки безопасного ПО.


А у кого как у нас?


Что интересно, например, у Adobe или ABBYY чемпион также встроен только в команду разработки и не встречается в других процессах внутри компании. На этом пока всё.


Чем же такие люди должны заниматься официально?


Навыки и задачи


Рассмотрим подробнее навыки, бегло перечисленные ранее. Чаще всего в круг официально-неофициальных (об этом чуть позднее) задач чемпиона могут входить: проведение тренингов, обучение, ответы на вопросы и отдельные киберучения. Чаще всего это идет в связке регулярных проверок и тренинг-сессий на реакцию сотрудников в конктексте фишинга и вредоносного ПО. Реже упоминается разработка, но она также присутствует в списке. Принято считать, что, когда бухгалтеру или маркетологу есть, с кем посоветоваться, они реже нажимают, куда попало, чаще советуются и задаются вопросами информационной безопасности в контексте своей привычной деятельности.


В природе это называют механизмом incidents prevention, снижением рисков и другими красивыми словами.


Навыки чемпиона должны обеспечить интеграцию ИБ во все аспекты процессов и культуры компании, подготовить ее к возможным угрозам. Постоянное общение чемпиона с сотрудниками внутри компании укореняет доверительные отношения, обсуждение конкретных инцидентов и трендов в ИБ – повышает общий уровень осведомленности.


Вопросы разнообразного характера поступают чемпиону в ходе его работы: кибергигиена, обучение, знание о новых технологиях, безопасность устройств (как рабочих, так и личных), популярные сейчас угрозы и уязвимости.


И что немаловажно: сотрудники могут обратиться именно к такому человеку, чтобы сообщить о произошедшем инциденте, анонимно и оперативно.


Именно поэтому чемпионами становятся те, кому важна ИБ в целом и кто готов на собственном примере показать, что следовать правилам – не глупо и не страшно. Со временем общение с чемпионом может приобретать неформальный характер; некоторые сотрудники советуются с «человеком, знающим про ИБ» и вне работы; иными словами, такой себе «тыжпрограммист», только «тыжчемпион».


Что немаловажно, этот человек участвует практически во всех процессах внутри компании – как ни крути, а ИБ важна везде. Маркетинг, поддержка, кадры, фронт- и бэкофис, инфраструктура – всё это нуждается в персональном консультанте, который готов прийти на помощь в любой момент.


Чаще всего чемпион упоминается в процессах риск-менеджмента: со знаниями по ИБ, которые только лишь дополняют его основной функционал, такой человек способен грамотно оценить риски не только из своей позиции, а еще и наложить их на другие практики. Он может как помочь в приоритизации рисков, так и разработать стратегии их митигации, а также внедрить ИБ-практики во все доступные ему процессы.

рис 2.png

 

Такой у нас: Разработка


Звучит грустнее, чем всё предыдущее, но на самом деле не всё так однозначно печально – если это развилось так, как это существует сейчас, значит, такова потребность бизнеса. Касательно интеграции чемпиона в процесс разработки в любых реалиях мнения и цели сходятся, и это главное.


Чемпион в разработке является амбассадором лучших практик и подходов среди, как бы это ни было удивительно, разработчиков. Такому человеку известно все или почти все о последних киберугрозах в разработке, о безопасной разработке, о...


С методами и подходами в целом более-менее понятно: чемпион точно знает, как делать хорошо и как не делать плохо, как применять на практике методы безопасной разработки и даже как проводить тестирование кода; знает кое-что о пентестах, хоть раз да митигировал риски, а еще скорее всего участвовал в программе bug bounty.


Такие знания были бы бесполезными, знай их чемпион только в теории; умение пользоваться инструментариями как безопасника, так и разработчика – основные навыки. Близкое знакомство со статикой и динамикой, умение «профаззить» приложение и разметить код, корректно описать баг, зависание или даже падения, помощь в воспроизведении и иногда даже в устранении критических проблем ПО – вот ежедневные задачи на этой должности.


С такими задачами только и интегрироваться, что в процессы производства продуктов, проводя тестирования приложений, иногда даже устраивая полноценный код-ревью, а иногда даже – обучая разработчиков принципам безопасности в их сфере компетенций.


Редко, но не всегда чемпион может взаимодействовать с ИБ-командой напрямую, дабы убедиться, что дополнительные риски, связанные с выпуском ПО, также учтены. Большую часть времени такой специалист может посвятить сертификации ПО и доверенной разработке, так как данная сфера пролегает как раз на стыке ИБ и ИТ.


Место в компании


Что ж, настало время поговорить о немного странных и удивляющих нас вещах поподробнее: кем же на самом деле является «и швец, и жнец» в иностранных компаниях? Тот самый на все руки мастер, участвующий во всей «внутрянке» и готовый быть на связи 24/7, нагруженный помимо своих обязанностей еще и дополнительными совершенно... бесплатно. Возможно, это какой-то заговор или что-то вроде того, но упоминание Security Champion идет вкупе с четким указанием того, что позиция это скорее волонтерская.


Компании считают, что человек таким образом дополнительно поощряется более широким спектром обязанностей и сферой влияния, а реализовать это все спокойно можно и в нерабочее время. Даже более того, упоминалось одно интересное исследование, в ходе которого выяснилось, что если человек совмещает свои обязанности с чемпионскими больше пяти лет, то регулярные переработки становятся частью его личности, он без них более не может представить хорошей и продуктивной работы, они дают ему энергию для выполнения прямых рабочих обязанностей.


Берите на заметку: если вам хочется, чтобы кто-то бесплатно перерабатывал – просто добавьте ему на пять лет обязанностей консультирующего ИБ-психолога, результат гарантирован.


В противовес этой позиции, у нас принято иначе: чемпион – это отдельная должность, прописанная в трудовом договоре и оговоренный четко в должностной инструкции узкий круг обязанностей.


Откуда берутся чемпионы


И как получить такого чемпиона у себя в компании? На самом деле, раньше было бегло об этом упомянуто: все так или иначе стараются вырастить чемпиона у себя внутри, только если у них это все, что угодно, кроме изначально безопасности плюс скиллы безопасности, у нас присутствует вариативность.


В нашем случае берется разработчик или безопасник, добавляются скиллы по безопасности и разработке. Вуаля – есть человек, существующий между двух миров, «свой среди чужих, чужой среди своих».


И там, и здесь становление чемпиона требует от человека сочетания определенных навыков и компетенций – он должен быть хорошо подкован технически, быть лидером и грамотным управленцем (иногда), и, конечно же, «со взором горящим» и преданностью ИБ. Не будет также и лишним навык решения проблем, конфликтных и нестандартных ситуаций.


Сертификаты для такой позиции будут не лишними, хоть они и необязательны. Тот же CISSP, например, упоминается довольно часто, но далеко не во всех материалах.


То же, без чего обойтись нельзя – это намерение быть внутри трендов, постоянно актуализировать свои знания, прокачивать навыки и вносить свой вклад в ИБ в целом.

Практика ИБ Управление ИБ Управление инцидентами Управление уязвимостями Мониторинг ИБ Подкасты ИБ Пентесты

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют