Проактивный контроль ИБ

Сергей Гордейчик

Positive Technologies

Что такое «проактивность»?

Антивирус новой модели?

«Мощная» политика безопасности?

Серьезный анализ рисков?

Аудит у «солидной конторы»?

Пентест «настоящих хакеров»?

Анализ рисков?

Классическая модель:

использование статистики

ALE = SLA x ARO.

ARO – частота (в год)

Проактивность, с задержкой в год?

Ситуация

Отсутствие «революций» в технических вопросах

Все знают, что (не)возможно

Большинство защитных механизмов уже реализовано и внедрено•Время ROSI прошло?

Что остается? Эффективное использование существующих средств

•Оценка эффективности

•Корреляция эффективности с принятыми мерами

Метрики безопасности

Однозначно измеряются, без «экспертного мнения»

Доступны для расчета и анализа (предпочтительно автоматически)

Имеют количественное выражение (не "высокий", "средний", "низкий")

Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость"

Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")

Примеры метрик

Практический любой ИТ и ИБ процесс можно оценивать с помощью метрик

Межсетевое экранирование•Изменение конфигураций, небезопасные

приложения, доступные службы

Повышение осведомленности•% обученных, заходы на сайты, % нарушающих

парольную политику

Соответствие требованиям (compliance)•% соответствия стандартам, управляемость сети,

время изменения уровня соответствия

Повод для гордости

Количество «заблокированных вирусов»

Количество «отраженных сетевых атак»

Количество отфильтрованного СПАМа

ИЛИ

Процент узлов с обновляемыми антивирусными базами

Отношение количества вирусов в исходящей и входящей почте

Источники метрик

Антивирусные/антиспам системы

Системы класса SEIM/IDS

Ручной сбор (системы управления проектами, контроля трудозатрат)

Результаты аудитов

Системы управления сетью (инвентаризация)

Система контроля изменений

Системы мониторинга и управления уязвимостями

Системы контроля соответствия стандартам (Compliance management)

Чем я хуже?

Оценка динамики показателей

Сравнение с мировой практикой

Где брать метрики?•NIST Special publication•Center of Internet Security• http://www.metricscenter.org/• http://www.securitymetrics.org

Резюме

Метрики безопасности позволяют оценить практический любой процесс ИБ

Метрики позволяют общается с бизнесом в привычных терминах управления проектами

Метрики позволяют оценивать динамику процессов и проводить сравнение с общемировой практикой

Большое количество метрик может автоматизированно оцениваться с системами класса Compliance Management

Спасибо за внимание!

Сергей Гордейчик

Positive Technologies