Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен
Шрифт:
Интервал:
Закладка:
2. Метрики смягчения последствий. Это показатели, связанные со скоростью появления и ликвидации риска для организации. Например, метрика может быть такой: «Для систем с выходом в интернет удаленно эксплуатируемые уязвимости необходимо устранять в течение одного рабочего дня, а эффективный встроенный мониторинг или смягчение последствий должны быть запущены в течение 1 часа».
Витрины данных безопасности
Примечание: руководство по проектированию витрины данных безопасности представлено в главе 11. В этом разделе лишь вводится понятие в контексте модели зрелости.
Для некоторых аналитиков словосочетание «витрина данных» – тревожный сигнал. Оно вызывает в памяти образы раздутых хранилищ данных и сложных ETL-систем (ETL: extraction, transformation, load – извлечение, преобразование, загрузка). Однако, говоря «витрина данных», мы дистанцируемся от любой конкретной реализации. Если формулировать идеальное определение, мы бы сказали, что это «предметно-специфическое, неизменяемое, гибкое, сильно распараллеленное и предоставляющее быстрый доступ хранилище данных, которое легко соединяется с другими предметными хранилищами данных». Непонятная формулировка? Перевод: сверхбыстрое во всех своих операциях, масштабируется с увеличением объема данных, и его необходимость легко аргументировать конечным пользователям. Еще можно добавить «находящееся в облаке». И то лишь потому, что так можно не возиться с внедрением и сосредоточиться на управлении рисками безопасности. Реальность такова, что большинство читателей этой книги могут иметь свободный доступ к традиционным реляционным системам управления базами данных (РСУБД), даже со своих ноутбуков.
Витрины данных безопасности отвечают на вопросы, связанные с кросс-программной продуктивностью. Эффективно ли взаимодействие людей, процессов и технологий для снижения риска в нескольких областях безопасности? (Примечание: под системой безопасности обычно понимается объединение людей, процессов и технологий.) Или, если говорить конкретнее, с течением времени способность вашей системы к уменьшению риска повышается или снижается? В качестве примера здесь можно привести вопросы вроде «У конечных пользователей, эксплуатирующих системы со средствами контроля безопасности XYZ, меньше шансов подвергнуться взлому? Среди решений, предлагаемых поставщиками средств безопасности, или их сочетаний есть ли те, что эффективнее остальных? Нет ли среди вложений бесполезных излишеств?». Скажем, в случае эффективности мер безопасности для конечных точек подобные типы вопросов могут опираться на данные лог-файлов, поступающих из таких источников, как:
• инструментарий Microsoft Enhanced Mitigation Experience Toolkit (EMET);
• белые списки приложений;
• система предотвращения вторжений на хост;
• мониторинг целостности файлов;
• конфигурация системы (контрольные показатели Центра интернет-безопасности (CIS) и т. д.);
• настройки безопасности и конфиденциальности браузера;
• управление уязвимостями;
• Endpoint reputation;
• антивирус
и т. п.
Могут быть и другие вопросы, например: «Как долго остаточный риск, который могут использовать злоумышленники, находится в конечных точках, до того как его обнаружат и задача по его устранению станет приоритетной? Достаточно ли быстрая наша „система“? Какой должна быть скорость и сколько нужно потратить, чтобы ее достичь?»
Витрины данных идеально подходят для ответа на вопросы о том, сколько времени может просуществовать скрытая вредоносная активность до момента обнаружения. Решения SIEM (security information and event management – управление событиями и информацией о безопасности) тут не помогут, хотя их можно использовать как источник сведений для витрин данных. В конце концов, средства поставщиков систем безопасности обнаружат злоумышленников в вашей сети, но времени может пройти немало. Возможно, потребуется несколько минут или месяцев, а то и лет. Например, объекты инвестиций, определяющие хорошую или плохую репутацию внешних систем, обновляются по ходу дела. Некоторые из этих систем могут использоваться злоумышленниками в качестве командно-контрольных серверов для управления зараженными системами в вашей сети. Такие серверы могут просуществовать несколько месяцев, прежде чем поставщик услуг безопасности подтвердит их наличие. Антивирусы обновляются регулярно по мере появления новых вредоносных программ. Однако вредоносные программы могут месяцами находиться в конечных точках, пока не выйдет обнаруживающее их обновление. Системы управления уязвимостями обновляются по мере обнаружения новых уязвимостей нулевого дня или каких-то других. Уязвимости могут существовать в течение многих лет, прежде чем о них узнают поставщики ПО или систем безопасности. Все это время злоумышленники могут использовать эти уязвимости без вашего ведома.
Тема измерения остаточного риска в сфере кибербезопасности – очень скользкая. В любой момент времени вы подвержены опасности, а решения поставщиков услуг безопасности, по сути, всегда запаздывают. Любой профессионал в области безопасности скажет вам, что это очевидный факт. А если он так очевиден, то почему остаточный риск не измеряют, чтобы попытаться исправить ситуацию? Он легко измерим и должен быть в приоритете. Измерение степени подверженности постороннему воздействию и инвестирование в ее снижение, так чтобы добиться наилучшей окупаемости инвестиций, – ключевая практика в управлении рисками кибербезопасности, осуществлению которой способствуют витрины данных безопасности, в сочетании со всем тем, что вы узнали из предыдущих глав. В главе 11 будет рассмотрен КПЭ под названием «анализ выживаемости», учитывающий необходимость измерения срока существования остаточного риска. И откроем маленький секрет: если не измерять остаточную степень незащищенности, то, скорее всего, ситуация будет только ухудшаться. Если собираетесь бороться за правое дело, нужно уметь задавать вопросы, затрагивающие разные области безопасности. Поймите, что под атаки злоумышленников попадают они все и, чтобы справиться с этой реальностью, аналитикам следует преодолеть функциональную обособленность.
Предписывающая аналитика
Как отмечалось ранее, предписывающая аналитика – тема для отдельной объемной книги. Здесь мы хотим лишь слегка ее затронуть применительно к индустрии безопасности. Прежде всего давайте определим место предписывающей аналитики среди трех категорий аналитики.
• Описательная аналитика. По большей части аналитика описательна. Это просто сводные показатели, такие как суммы и средние значения в определенных вызывающих интерес группах данных, например ежемесячное усиление и ослабевание отдельных видов риска. Такова стандартная описательная аналитика. Стандартная оперативная аналитическая обработка данных (Standard Online Analytical Processing, OLAP) хорошо сочетается с описательной аналитикой. Однако,
