Приведу пример. У нас имеется метрика, что 40% паролей можно взломать из-за простоты, а в Компании не используется каких-либо превентивных мер в отношении противодействия атакам удаленного подбора паролей и при этом имеются внешние сервисы, использующие однофакторную аутентификацию с использованием парольной фразы (Mail, Web-сервисы, SAP, VPN, etc.). Таким образом, угроза, связанная с компрометацией паролей пользователей, должна получить высокий уровень опасности в качественной модели управления рисками.
Другой пример. У нас имеется N-ое количество СУБД Oracle или систем SAP. Процесс управления обновлениями в этих системах "хромает". А как дела обстоят у других? Какая статистика эксплуатации этих уязвимостей в мире? Может не стоит "насиловать" разработчиков и администраторов для ускорения процесса накатки обновлений, попутно сталкиваясь с различного рода адаптацией функционирующей системы? Возможно, стоит использовать сегментирование сети, МСЭ/IPS?
То есть, обладая подобными данными (метриками), существует возможность максимально эффективно управлять процессом управления рисками ИБ и, следовательно, строить экономически оправданную модель СУИБ.
Примеры рассчитанных метрик на основе "живых" данных при проведении внешних тестирований на проникновение специалистами Positive Technologies:
Примеры рассчитанных метрик на основе "живых" данных при проведении внутренних аудитов ИБ специалистами Positive Technologies:
Примеры метрик по промышленным стандартам, можно найти на сайте www.metricscenter.net.
Также рекомендую к прочтению презентацию Сергея Гордейчика по теме "Метрики безопасности для PCI DSS".
интересная презентация Алексея Лукацкого по той же теме: http://lukatsky.blogspot.com/2009/07/blog-post_13.html
ОтветитьУдалить