Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

• Витрины данных безопасности. Раздел посвящен измерениям в связанных с безопасностью областях, обладающих большими наборами данных. Эта тема рассматривается в следующей главе.

• Предписывающая аналитика безопасности. Краткий разбор новой для мира безопасности темы, представляющей собой смесь науки о принятии решений и науки о данных. Эта объемная тема достойна отдельной книги в будущем.

Введение: модель зрелости метрик операционной безопасности

Прогностическая аналитика, машинное обучение, наука о данных – все эти темы популярны. Существует множество моделей зрелости и схем построения аналитики. Попробуйте поискать в Google картинки по запросу «модели зрелости в аналитике», их там предостаточно. Наш подход (рис. 10.1) отличается от других.

Рис. 10.1. Модель зрелости аналитики безопасности

Для начала работы нам не требуются большие объемы данных или особые возможности. И, по сути, изученные ранее практические методы предстают на этом этапе во всей красе: они помогают определить типы вложений, которые следует сделать, чтобы довести программу до зрелого состояния. Поэтому нет нужды торопиться с инвестициями в средства обработки больших данных и инструменты науки о данных. Не поймите неправильно – мы всячески поддерживаем их использование, когда оно оправданно. Однако за блеском всех этих аналитических концепций и технологий кроется множество факторов, отвлекающих от принятия решений, которые помогли бы защититься от злоумышленников прямо сейчас. Поэтому мы придерживаемся точки зрения, что любые стоящие модели зрелости и схемы построения аналитики всегда начинаются с принятия решения.

Анализ скудных данных

N (данных) никогда не бывает достаточно, как только начинает казаться, что их «достаточно», у вас тут же возникает следующая проблема, для решения которой требуется больше данных. Примерно как с деньгами, которых всегда не хватает, но это уже совсем другая история.

Вот теперь можно применить прогностическую аналитику. То есть использовать продвинутые методы, хотя ваша программа безопасности еще не обязательно зрелая. Все модели, представленные в главах 8 и 9, идеально подходят в данном случае. Отсутствие возможности собрать большие массивы информации, касающейся безопасности, еще не означает, что нельзя корректировать свои суждения по мере получения новых данных. В сущности, единственными доступными вам данными вполне могут оказаться суждения экспертов о вероятных будущих убытках. Иначе говоря, проведение анализа со скудными данными – зрелая функция, но она не зависит от зрелости мер обеспечения безопасности.

С точки зрения аналитики АСД – единственный подход в условиях нехватки информации. Скорее всего, вы не вкладывали средства в новую программу безопасности. Вас вообще могли недавно нанять на должность руководителя отдела информационной безопасности и поручить инвестировать в программу обеспечения безопасности, создав ее с нуля. И чтобы определить, какими должны быть вложения, вы прибегнете к АСД. Однако, как только новые инвестиции (люди, процессы, технологии) будут привлечены, необходимо проводить измерения для определения эффективности вложений и постоянного улучшения их работы. Пример АСД с большим количеством технических подробностей представлен в разделе «Пример модели АСД: R-программирование» в конце главы.

Функциональные метрики безопасности

Сделав крупные вложения в новые возможности обеспечения безопасности предприятия, как узнать, что от них действительно есть толк? Функциональные метрики безопасности направлены на оптимизацию эффективности основных составляющих операционной безопасности, для чего устанавливаются ключевые показатели эффективности (КПЭ), связанные с операционным охватом, конфигурацией систем и снижением рисков в ключевых областях. Есть несколько книг по метрикам безопасности, посвященных данному этапу измерения безопасности. Одной из первых была книга Эндрю Джеквита Security Metrics2 («Метрики безопасности»), которая вывела эту важную тему на передний план. В книге много внимания уделено тому, что мы будем называть «метриками охвата и конфигурации». К сожалению, большинство компаний все еще не в полной мере реализуют этот уровень зрелости. Они вполне могут вкладывать десятки, если не сотни миллионов в персонал и технологии безопасности. Могут оптимизировать людские ресурсы, процессы и технологии определенных обособленных функций, но маловероятно, что все области безопасности анализируются с использованием изометрических подходов к измерениям.

Большинство организаций обеспечивают некоторые из перечисленных функций (не обязательно в таком порядке):

• защиту от вредоносного ПО;

• управление уязвимостями;

• тестирование на проникновение;

• безопасность приложений;

• сетевую безопасность;

• архитектуру безопасности;

• управление идентификацией и доступом;

• соответствие требованиям безопасности;

• предотвращение потери данных;

• реагирование на инциденты и сетевую криминалистику

и многие другие.

Для каждой функции может быть несколько корпоративных и автономных решений обеспечения безопасности. По сути, все организации в идеале должны иметь сложные метрики безопасности, связанные с каждой из их функций. Такие метрики делятся на две макрообласти.

1. Метрики охвата и конфигурации. Это метрики, связанные с операционной эффективностью с точки зрения глубины и широты вовлеченности организации. Измерения в метрике включают в себя временные ряды, связанные со скоростью развертывания и эффективностью конфигурации. Работает ли (активировано ли) решение в соответствии со спецификацией и есть ли у вас доказательства этого? Вы можете приобрести файрвол и установить его как положено, но если в его правилах задано значение «any: any» (то есть фактически отсутствие ограничений доступа), а вы об этом не знаете, скорее всего, эффекта не будет. Предусмотрено ли журналирование для ключевых приложений? Ведется ли оно в действительности? Если ведется, отправляются ли лог-файлы для анализа соответствующими средствами безопасности? Настроены ли оповещения для указанных средств безопасности и соотносятся ли они между собой? Каковы показатели ложноположительных и ложноотрицательных результатов и есть