Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Или в том же ключе: как часто белые списки приложений срабатывали там, где все другие средства контроля безопасности не справились, т. е. существует ли класс вредоносных программ, для которых белый список приложений является последней линией защиты? (Примечание: белый список приложений – средство контроля безопасности, разрешающее запускать только одобренные приложения. Таким образом, если какая-то вредоносная программа попытается установиться или запуститься, теоретически белый список приложений должен ее остановить.) И если они действительно все чаще становятся последней линией обороны, означает ли это, что эффективность работы других вложений снижается? Или появляются новые виды вредоносных программ, которые все ваши средства защиты не в состоянии обнаружить вовремя, тем самым намекая на необходимость новых вложений и/или отказ от некоторых уже имеющихся? Короче говоря, окупаются ли ваши вложения в белые списки так, как было спрогнозировано при моделировании этих инвестиций? С подобными моделями становится очевидно, какие меры защиты недостаточно эффективны, какие особенно выделяются и заслуживают дополнительных вложений, а от каких пора избавиться, предоставив возможность для новых, инновационных вложений, направленных на победу над неустранимыми растущими рисками.

Любопытно, что в размерном моделировании факты в таблицах фактов также называют мерами, поскольку они измеряют процесс на атомарном уровне. «Атомарный» означает, что измеряемое событие нельзя дальше разложить на составляющие. Типичным фактом в бизнесе может быть продажа продукта, скажем банки фасоли. Мерой в данном случае будет цена продажи. Возможно, вы захотите узнать, сколько определенного товара продали в конкретный момент времени в конкретном месте. При этом можно еще проследить за показателями продаж этого товара квартал за кварталом. Или вы захотите сравнить прибыльность двух конкретных продуктов с учетом географических рынков и/или размещения в магазинах, и т. д. Это все традиционная БА.

Что такое «факт безопасности»? Это просто наступившее событие. Возможно, правило файрвола было изменено или система предотвращения вторжений блокировала некую атаку. Или это может быть состояние конкретного элемента программного обеспечения в облачном приложении в определенный момент времени. Суть в том, что фиксируется наступление или ненаступление события (или изменения состояния). Состояние может поменяться за миллисекунды или за год. Из-за этой метрики наличия/отсутствия, отличающейся от денежной меры, про факт безопасности говорят, что в нем «нет факта». По сути, суммируется куча «1» вместо долларов и центов. Для простой витрины данных уязвимости таблица фактов в традиционном понимании могла бы тогда выглядеть примерно как табл. 11.1.

В классических витринах данных первые три столбца представляют собой идентификаторы, являющиеся ссылками на таблицы измерений. Итог (событие) подводится на основе критериев измерений. Табл. 11.2, пусть и с некоторыми, возможно, излишними техническими подробностями, показывает, как может выглядеть та же структура данных с расшифрованными идентификаторами (обратите внимание, что в столбце даты указано Unix-время).

Здесь есть различные CVE (common vulnerabilities and exposures), что буквально переводится как «общеизвестные уязвимости и риски». А в таблице измерения уязвимости будут содержаться все основные характеристики уязвимости, которые могут еще сузить запрос. Есть IP-адрес, но опять же в измерении актива может иметься еще 100 характеристик, которые можно использовать для формулирования вопросов. И, наконец, есть метка времени.

Измерение – это разложение на составляющие объекта интереса, совокупность описательных характеристик какого-либо факта, позволяющих задать множество разнообразных вопросов. Например, в нашем измерении актива могут быть такие характеристики, как операционная система или версия пакета обновления. На самом деле, если для хранилища теоретически можно отслеживать во времени полный список установленного программного обеспечения и его версий, связанных с определенной концепцией актива, этот актив, в свою очередь, может стать одной или несколькими витринами данных с фактами, которые вы отслеживаете. Главное – убедиться, что для вашего анализа требуется такой уровень разложения. Хотя БА значительно упрощается, бесполезные разложения могут привести к тому, что усилия будут потрачены впустую. Проведите мозговой штурм с заинтересованными сторонами и сначала попробуйте добиться гибких результатов. Воспользуйтесь принципом KISS (Keep It Simple, Stupid – «Будь проще!»).