Безопасность языком цифр #6

Для чего нужны различного рода метрики? Для того, чтобы можно было оценить текущее состояние, например, своей информационной системы со средними показателями других систем. Что это нам дает? Как минимум позволяет наметить курс действий (где мы находимся?; насколько у нас лучше или хуже, чем у других?), как максимум увидеть процент соответствия, с какими-либо промышленными стандартами или "лучшими практиками" (best practice) и отслеживать динамику состояния защищенности своей информационной системы.

Приведу пример. У нас имеется метрика, что 40% паролей можно взломать из-за простоты, а в Компании не используется каких-либо превентивных мер в отношении противодействия атакам удаленного подбора паролей и при этом имеются внешние сервисы, использующие однофакторную аутентификацию с использованием парольной фразы (Mail, Web-сервисы, SAP, VPN, etc.). Таким образом, угроза, связанная с компрометацией паролей пользователей, должна получить высокий уровень опасности в качественной модели управления рисками.


Другой пример. У нас имеется N-ое количество СУБД Oracle или систем SAP. Процесс управления обновлениями в этих системах "хромает". А как дела обстоят у других? Какая статистика эксплуатации этих уязвимостей в мире? Может не стоит "насиловать" разработчиков и администраторов для ускорения процесса накатки обновлений, попутно сталкиваясь с различного рода адаптацией функционирующей системы? Возможно, стоит использовать сегментирование сети, МСЭ/IPS?

То есть, обладая подобными данными (метриками), существует возможность максимально эффективно управлять процессом управления рисками ИБ и, следовательно, строить экономически оправданную модель СУИБ.

Примеры рассчитанных метрик на основе "живых" данных при проведении внешних тестирований на проникновение специалистами Positive Technologies:


Примеры рассчитанных метрик на основе "живых" данных при проведении внутренних аудитов ИБ специалистами Positive Technologies:


Примеры метрик по промышленным стандартам, можно найти на сайте www.metricscenter.net.


Также рекомендую к прочтению презентацию Сергея Гордейчика по теме "Метрики безопасности для PCI DSS".

1 комментарий :

  1. интересная презентация Алексея Лукацкого по той же теме: http://lukatsky.blogspot.com/2009/07/blog-post_13.html

    ОтветитьУдалить