Слайд 12. Как выбирать средства защиты: фреймворк решений

Блок 3. Выбор и оценка архитектуры Как выбирать средства защиты: фреймворк решений Слайд 12 / 15

CIS Controls IG1 Matrix (Center for Internet Security / центр интернет-безопасности — 56 контролей, базовый уровень кибергигиены)

Реализован Частично Отсутствует

1. Инвентаризация и контроль (Inventory & Control)

2. Инвентаризация ПО (Inventory & SW)

3. Защита данных (Data Protection)

4. Безопасная конфигурация (Secure Config.)

5. Управление аккаунтами (Account Mgmt)

6. Управление доступом (Access Control)

7. Непрерывный поиск уязвимостей (Continuous Vuln.)

8. Управление аудит-логами (Audit Log Mgmt)

9. Почта и веб (Email & Web)

10. Защита от вредоносного ПО (Malware Def.)

11. Восстановление данных (Data Recovery)

12. Сетевая инфраструктура (Network Infra)

13. Сетевой мониторинг (Net Monitoring)

14. Осведомлённость о безопасности (Security Aware.)

15. Поставщик услуг (Service Provider)

16. ПО приложений (App Software)

17. Реагирование на инциденты (Incident Resp.)

18. Тестирование на проникновение (Penetration Test)

Инвентаризация инструментов (Tool Inventory)

Инструмент	Функция	Стоимость	Покрытие риска	ROI	Рекомендация
Антивирус (10 лет)	Защита конечных точек (Endpoint)	500 тыс./год	5% современных атак	Отрицательный	ЗАМЕНИТЬ → EDR
Старый SIEM	Мониторинг	12 млн/год	10% вместо 60%	Низкий	ОПТИМИЗИРОВАТЬ переконфигурировать
EDR (2 года)	Конечная точка (Endpoint)	8 млн/год	70% endpoint-рисков	Положительный	ОСТАВИТЬ
2 DLP (наследие)	Утечки данных	6 млн/год	Дублирование функций	Низкий	ОПТИМИЗИРОВАТЬ выбрать один

Платформа vs Точечное решение (Platform vs Point Solution)

Платформа (Platform)

Один вендор (Microsoft Defender Suite, Palo Alto Cortex)

+ Единая интеграция

+ Единая поддержка

+ Ниже стоимость владения

- Привязка к вендору (Vendor lock-in)

- Не лучшие в своем классе (Not best-of-breed)

Точечное решение (Point Solution)

Лучшее в классе (Best-of-breed) для каждой функции

+ Лучшая защита

+ Гибкость выбора

- Высокая стоимость интеграции

- Разные интерфейсы

- Сложности обновления

Стартап

Платформенный подход: один вендор покрывает 80% потребностей, нет ресурсов на интеграцию.

Корпорация

Гибрид: Платформа для основной защиты + Точечное решение (Point Solution) для критичных областей.

Архитектурный аудит

Каждый инструмент должен оправдывать своё существование. «Мы это купили 7 лет назад», не аргумент.

Если CISO (Chief Information Security Officer / руководитель ИБ) защищает каждый инструмент, спросите, какой риск возрастёт без него и какой ALE-эффект.

Архитектурный аудит инвентаря, ваше право и обязанность. Регулярная (раз в 1-2 года) ревизия портфеля защитных инструментов, нормальная практика. Каждый инструмент должен оправдывать своё существование через снижение ALE (Annualized Loss Expectancy / ожидаемые годовые потери).