Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Вот теперь можно применить прогностическую аналитику. То есть использовать продвинутые методы, хотя ваша программа безопасности еще не обязательно зрелая. Все модели, представленные в главах 8 и 9, идеально подходят в данном случае. Отсутствие возможности собрать большие массивы информации, касающейся безопасности, еще не означает, что нельзя корректировать свои суждения по мере получения новых данных. В сущности, единственными доступными вам данными вполне могут оказаться суждения экспертов о вероятных будущих убытках. Иначе говоря, проведение анализа со скудными данными – зрелая функция, но она не зависит от зрелости мер обеспечения безопасности.

С точки зрения аналитики АСД – единственный подход в условиях нехватки информации. Скорее всего, вы не вкладывали средства в новую программу безопасности. Вас вообще могли недавно нанять на должность руководителя отдела информационной безопасности и поручить инвестировать в программу обеспечения безопасности, создав ее с нуля. И чтобы определить, какими должны быть вложения, вы прибегнете к АСД. Однако, как только новые инвестиции (люди, процессы, технологии) будут привлечены, необходимо проводить измерения для определения эффективности вложений и постоянного улучшения их работы. Пример АСД с большим количеством технических подробностей представлен в разделе «Пример модели АСД: R-программирование» в конце главы.

Сделав крупные вложения в новые возможности обеспечения безопасности предприятия, как узнать, что от них действительно есть толк? Функциональные метрики безопасности направлены на оптимизацию эффективности основных составляющих операционной безопасности, для чего устанавливаются ключевые показатели эффективности (КПЭ), связанные с операционным охватом, конфигурацией систем и снижением рисков в ключевых областях. Есть несколько книг по метрикам безопасности, посвященных данному этапу измерения безопасности. Одной из первых была книга Эндрю Джеквита Security Metrics² («Метрики безопасности»), которая вывела эту важную тему на передний план. В книге много внимания уделено тому, что мы будем называть «метриками охвата и конфигурации». К сожалению, большинство компаний все еще не в полной мере реализуют этот уровень зрелости. Они вполне могут вкладывать десятки, если не сотни миллионов в персонал и технологии безопасности. Могут оптимизировать людские ресурсы, процессы и технологии определенных обособленных функций, но маловероятно, что все области безопасности анализируются с использованием изометрических подходов к измерениям.

Большинство организаций обеспечивают некоторые из перечисленных функций (не обязательно в таком порядке):

• защиту от вредоносного ПО;

• управление уязвимостями;

• тестирование на проникновение;

• безопасность приложений;

• сетевую безопасность;

• архитектуру безопасности;

• управление идентификацией и доступом;

• соответствие требованиям безопасности;

• предотвращение потери данных;

• реагирование на инциденты и сетевую криминалистику

и многие другие.

Для каждой функции может быть несколько корпоративных и автономных решений обеспечения безопасности. По сути, все организации в идеале должны иметь сложные метрики безопасности, связанные с каждой из их функций. Такие метрики делятся на две макрообласти.

1. Метрики охвата и конфигурации. Это метрики, связанные с операционной эффективностью с точки зрения глубины и широты вовлеченности организации. Измерения в метрике включают в себя временные ряды, связанные со скоростью развертывания и эффективностью конфигурации. Работает ли (активировано ли) решение в соответствии со спецификацией и есть ли у вас доказательства этого? Вы можете приобрести файрвол и установить его как положено, но если в его правилах задано значение «any: any» (то есть фактически отсутствие ограничений доступа), а вы об этом не знаете, скорее всего, эффекта не будет. Предусмотрено ли журналирование для ключевых приложений? Ведется ли оно в действительности? Если ведется, отправляются ли лог-файлы для анализа соответствующими средствами безопасности? Настроены ли оповещения для указанных средств безопасности и соотносятся ли они между собой? Каковы показатели ложноположительных и ложноотрицательных результатов и есть ли у вас метрики для снижения информационного шума и выделения фактических сведений? Измеряете ли вы также сопутствующий рабочий процесс по преодолению последствий данных событий?

2. Метрики смягчения последствий. Это показатели, связанные со скоростью появления и ликвидации риска для организации. Например, метрика может быть такой: «Для систем с выходом в интернет удаленно эксплуатируемые уязвимости необходимо устранять в течение одного рабочего дня, а эффективный встроенный мониторинг или смягчение последствий должны быть запущены в течение 1 часа».