Привет, Хабр! Меня зовут Андрей Бирюков. Я являюсь независимым экспертом в области ИТ и ИБ, преподаю в учебных центрах и пишу книги. Полагаю, многим известна фраза Черчилля о том, что «старые генералы всегда готовятся к прошедшей войне». Это высказывание можно в полной мере отнести и к стратегиям, применяемым многими CISO.

Давайте поговорим честно. Когда вы в прошлый раз утверждали бюджет, вы, конечно, решили почитать, какие угрозы сейчас являются наиболее актуальными? Например, какие громкие утечки были у конкурентов. Или, может быть, вспомнили свою собственную историю «как мы чуть не легли, когда фишеры развели финансового директора».

И на этом энтузиазме вы решили добавить +200 тысяч на антифишинговый шлюз (еще один, пятый по счету), полмиллиона на донастройку новых правил корреляции для SIEM (хотя он и так уже еле дышит) и пару миллионов на очередной EDR, потому что «старый уже маловато блокирует».

Вроде бы всё верно, по крайней мере дистрибьютеры ПО и интеграторы, работающие с вашей компанией, должны быть довольны. А теперь вопрос с подвохом: сможет ли всё это защитить вас от того, что произойдет, например, через полгода? Здесь с очень большой вероятностью можно сказать, что не защитит… А вот почему эти средства не помогут, мы и поговорим далее в статье.

Итак, добро пожаловать в когнитивное искажение, которое можно назвать «законом CISO заднего вида». Мы лихо рулим по скоростной трассе, но смотрим исключительно в зеркало.

Когда опыт — наш враг

Есть в психологии такой зверь — ошибка доступности. Звучит умно, а по факту: мы оцениваем угрозу не по реальной вероятности, а по тому, насколько яркий след она оставила в нашей памяти. И что же лучше всего отпечатывается в нашей памяти?

Обычно мы вспоминаем массовый фишинг, который вы отбили в прошлом квартале. Мы помним, что над этим все смеялись в Slack, и ИБшникам дали премию. А вот о том, что где‑то в даркнете появилась новая эксплойт‑цепочка для вашей CRM‑системы, про которую вы даже не знали, и что с ее помощью злоумышленники смогли проникнуть в вашу сеть, и узнали об этом вы сильно позже по косвенным признакам — об этом вы вряд ли будете охотно вспоминать.

Здесь проблема в том, что атакующий — не дурак. Он не будет долбиться в дверь, где вы повесили уже пять замков. Он найдет форточку, про которую вы забыли десять лет назад.

Ваша главная ошибка как CISO: вы планируете бюджет под атаки, которые уже случились, а не под те, что только придуманы.

Суровая реальность

Один знакомый директор ИБ (назовем его Олег) работал в крупной логистической компании. После нашумевшего инцидента у ритейлера с утечкой баз через уязвимость в OpenSSL он закупил супердорогой WAF, перетряхнул весь TLS, нанял пентестеров «покачать» внешний периметр.

Казалось бы, молодец, но не всё так просто. Через пять месяцев они тоже прилегли капитально. Как? Хакеры не трогали его идеальный периметр. Они скомпрометировали API‑шлюз для загрузки накладных от контрагентов. Эту систему Олег не проверял — она была «старой и надежной, потому что работала семь лет без изменений».

Бюджета на threat intelligence (чтоб узнать, что такие атаки уже пошли в массы) у него не было. Потому что все деньги ушли на WAF от прошлой угрозы.

В итоге Олег написал заявление через неделю после инцидента и не потому, что его «попросили», а потому что он сам понял, что проспал эволюцию угроз, занявшись полировкой борта «Титаника».

Бюджет как отчет, а не как оружие

А теперь давайте разбираться, в чем же здесь ошибка. Основной корень зла кроется в том, как устроено бюджетное планирование в 99% компаний.

Сначала вы приходите к финансовому директору. Он говорит: «Покажи, что сгорит, если не дам денег». Вы, естественно, показываете прошлый инцидент, или, если не было своих инцидентов, то показываете чужие, например, статистику по отрасли.

Здесь стоит сделать небольшое отступление и отметить, что, строго говоря, при оценке рисков мы и должны так поступать, но этого недостаточно.

И финансист кивает: «О, понятно. Опасная штука. Держи бюджет на защиту от этого».

Вы получаете деньги на защиту от этой угрозы. Но вы никогда не получите бюджет на то, чего еще не случилось, потому что эту угрозу невозможно красиво нарисовать в Excel.

И в итоге вы попадаете в ловушку, так как вы становитесь идеальным защитником от угроз годичной давности. А хакеры, кстати, читают те же отчеты, что и вы. И они знают: все будут ставить антифишинг. Они уже придумали три способа его обойти и переключились на атаки на цепочки поставок.

Представьте, что вы поставили замок на входную дверь, но воры залезли через окно. И вы даже не знаете, что окна открыты, потому что проверяли только дверь.

Бюджетирование через беспокойство

Для решения проблемы нам придется прибегнуть к некоторым приемам, которые очень не любят финансовые директора, но которые реально работают. Вместо того чтобы прийти с отчетом «была такая‑то атака, надо защититься», вы приходите с утверждением:

«Я не знаю, какой будет следующая атака. Но я знаю пять самых вероятных векторов, которые появятся через полгода. Давайте потратим 20% бюджета на то, чтобы узнать про них прямо сейчас».

Что это значит на практике? Вы выделяете обязательные 20–30% на обнаружение будущих угроз. Не на защиту — на разведку, то есть вы покупаете не «очередной шлюз безопасности», а инструменты разведки.

Например, хорошим средством выявления неизвестных угроз являются сервисы threat intelligence. Только не те бесплатные фиды из Telegram, где пишут школьники, и их угрозы уже давно известны, а хорошие платные подписки у известных вендоров ИБ.

Также, это могут быть услуги команды Red Team, которая будет проверять не только периметр, но и проэмулирует атаки, которых еще нет в дикой природе. Помимо этого, команда проведет аудит поверхности атак на ваших контрагентов, потому что следующая утечка начнется не у вас, а у поставщика.

Битва на бюджетном комитете

Совершенно очевидно, что выбивание средств при таком подходе из финансового блока будет идти еще тяжелее. И в качестве рекомендации мы предлагаем конкретный чек‑лист для следующего бюджетного комитета, на котором будет рассматриваться финансирование ИБ.

Вместо того чтобы говорить: «Нам нужен еще один антивирус/EDR/файрволл», скажите совету директоров следующее (перевод с ИБ‑языка на человеческий):

• «Мы не знаем, где будем убиты. Давайте потратим деньги, чтобы найти эту точку» — это выделение средств на проактивный поиск угроз по неизвестным тактикам.

• «Давайте сделаем ставки, куда ударят через 9 месяцев, и проверим это» — конкурс внутри команды + внешние аналитики для гипотетического моделирования атак (ATT&CK predictive mapping).

• «Я хочу 15% бюджета положить в фонд „непредвиденных векторов атак“. Он неприкосновенен, как НЗ» — подушка на случай, когда новая угроза появилась вчера, а денег на ее закрытие нет.

• «Нам нужно ужалить себя первыми» — бюджет на регулярные пентесты силами наших же инженеров с использованием недокументированных тактик, техник и процедур.

Делаем выводы

В завершении статьи давайте посмотрим, как можно проверить, что вы вылечились от «ошибки планирования по прошлому»? Для этого просто посмотрите на три пункта вашего бюджета.

• Если все три — это «защита от того, что уже было» (антифишинг, антивирус, защита от DDoS), вы не CISO, вы — хранитель музейных экспонатов прошлых атак.

• Если хотя бы один пункт — это «мы не знаем, что это, но это новая техника атаки, и давайте разберемся, как она может нас убить» — вы живой и адекватный директор по безопасности.

Потому что серьезные хакеры почти никогда не повторяются. Почти никогда. А вы повторяетесь. Из года в год.

P. S. В следующем квартале, когда финдиректор спросит: «Зачем тебе эти странные расходы на то, что еще не случилось?», — улыбнитесь. И скажите: «А ты хочешь, чтобы случилось? Потому что если не вложимся сейчас, через полгода случится. И это будет стоить в десять раз дороже». Это работает. Честно.

CISO редко проигрывает из-за одного пропущенного патча или плохо настроенного EDR. Чаще проблема глубже: безопасность живёт в режиме реакции на прошлые инциденты, бюджет защищается через страх, риски описываются языком, который бизнес не понимает, а новые векторы атак замечают уже после того, как они становятся проблемой компании.

На курсе «Директор по информационной безопасности (CISO)» разбираем, как выстраивать ИБ не как набор инструментов, а как управляемую систему: от стратегии, риск-менеджмента и бюджетирования до работы с инцидентами, подрядчиками, командой и советом директоров.

Ближе познакомиться с подходом можно на открытых уроках курса:

• 26 мая, 20:00 — «Первые 60 минут ИБ-инцидента: как действует CISO». Записаться
  _{Разберём, как CISO в первый час ИБ-инцидента оценивает масштаб, принимает решения и объясняет риски бизнесу.}

• 16 июня, 20:00 — «Техдолг ИБ: что чинить первым». Записаться
  _{Поговорим о том, как CISO переводит техдолг ИБ в риски, выбирает приоритеты и защищает бюджет перед бизнесом.}

Больше анонсов открытых уроков, подборок по ИБ и полезных материалов выходит в канале в MAX. Подписывайтесь.