Пост Лукацкого

Возвращаясь к разговору о телеметрии. Если не брать в расчет историю с личными устройствами, а посмотреть на средства ИБ, которые собирают большой объем данных для своевременной идентификации угроз, изучения их поведения и на основе этих данных обновления механизмов защиты. Без этой информации система не сможет адекватно реагировать на новые угрозы или повышать эффективность защиты от уже известных.

Иногда слышу опасения, что такую телеметрию нельзя передавать вендору, потому что... что? Иностранным производителям средств защиты эти данные раньше передавались, не задумываясь. Облачные средства защиты так вообще только так и работают. А тут вдруг опасения... В любом случае для управления ими давно уже придуманы вполне конкретные меры:

1️⃣ Анонимизация и агрегирование данных. Собираемая телеметрия может быть предварительно анонимизирована, чтобы исключить привязку данных к конкретным пользователям или системам. Например, внутренние IP-адреса могут быть хэшированы, а персональные данные удалены.

2️⃣ Сбор только релевантной информации. Вендор может собирать минимально необходимую информацию для целей безопасности, избегая данных, не относящихся к киберзащите (например, содержимого файлов, личной переписки и т. п.).

3️⃣ Декларация прозрачности. Предоставление заказчику полного перечня собираемой информации и объяснение, как она используется, помогает снять недоверие. Можно предложить инструменты мониторинга и аудита для проверки процесса сбора данных. Правда, по моему опыту, последним никто не пользуется. Но знание, что такая возможность есть, снимает многие подозрения.

4️⃣ Локальное хранение и первичная обработка. Все данные сначала остаются внутри инфраструктуры заказчика, и только агрегированные метрики или триггеры угроз (например, хэши, индикаторы компрометации) передаются для обработки за ее пределы.

5️⃣ Шифрование и управление доступом. Передача и хранение данных осуществляется только в зашифрованном виде, а доступ к информации строго контролируется. Это исключает утечку данных даже в случае компрометации канала передачи информации.

6️⃣ Соответствие требованиям законодательства. Вендор может подтвердить соблюдение всех применимых стандартов и требований (например, ФСТЭК или Банка России, а также глобальных регуляторов и нормативов GDPR, CCPA, SOC2), чтобы гарантировать заказчику соответствие его ожиданиям в области приватности и конфиденциальности.

7️⃣ Возможность отказа или настройки уровней телеметрии. Заказчику предоставляется возможность отключить передачу определенных типов данных или настроить уровень детализации информации, что повышает доверие к процессу.

В общем, проводя аналогию, вопрос уже звучит не как «Передавать телеметрию или нет», а как «Как это сделать наиболее безопасным образом?» ❔

#доверие #средствазащиты

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/in/alukatsky.com/12036

6.9K viewsJan 6 at 12:28

Возвращаясь к разговору о телеметрии. Если не брать в расчет историю с личными устройствами, а посмотреть на средства ИБ, которые собирают большой объем данных для своевременной идентификации угроз, изучения их поведения и на основе этих данных обновления механизмов защиты. Без этой информации система не сможет адекватно реагировать на новые угрозы или повышать эффективность защиты от уже известных.

Иногда слышу опасения, что такую телеметрию нельзя передавать вендору, потому что... что? Иностранным производителям средств защиты эти данные раньше передавались, не задумываясь. Облачные средства защиты так вообще только так и работают. А тут вдруг опасения... В любом случае для управления ими давно уже придуманы вполне конкретные меры:

1️⃣ Анонимизация и агрегирование данных. Собираемая телеметрия может быть предварительно анонимизирована, чтобы исключить привязку данных к конкретным пользователям или системам. Например, внутренние IP-адреса могут быть хэшированы, а персональные данные удалены.

2️⃣ Сбор только релевантной информации. Вендор может собирать минимально необходимую информацию для целей безопасности, избегая данных, не относящихся к киберзащите (например, содержимого файлов, личной переписки и т. п.).

3️⃣ Декларация прозрачности. Предоставление заказчику полного перечня собираемой информации и объяснение, как она используется, помогает снять недоверие. Можно предложить инструменты мониторинга и аудита для проверки процесса сбора данных. Правда, по моему опыту, последним никто не пользуется. Но знание, что такая возможность есть, снимает многие подозрения.

4️⃣ Локальное хранение и первичная обработка. Все данные сначала остаются внутри инфраструктуры заказчика, и только агрегированные метрики или триггеры угроз (например, хэши, индикаторы компрометации) передаются для обработки за ее пределы.

5️⃣ Шифрование и управление доступом. Передача и хранение данных осуществляется только в зашифрованном виде, а доступ к информации строго контролируется. Это исключает утечку данных даже в случае компрометации канала передачи информации.

6️⃣ Соответствие требованиям законодательства. Вендор может подтвердить соблюдение всех применимых стандартов и требований (например, ФСТЭК или Банка России, а также глобальных регуляторов и нормативов GDPR, CCPA, SOC2), чтобы гарантировать заказчику соответствие его ожиданиям в области приватности и конфиденциальности.

7️⃣ Возможность отказа или настройки уровней телеметрии. Заказчику предоставляется возможность отключить передачу определенных типов данных или настроить уровень детализации информации, что повышает доверие к процессу.

В общем, проводя аналогию, вопрос уже звучит не как «Передавать телеметрию или нет», а как «Как это сделать наиболее безопасным образом?» ❔

#доверие #средствазащиты