18.10.2013

Как автоматизировать измерение ИБ в масштабах предприятия

В апреле на РусКрипто я делал доклад о глобальных системах обнаружения и предотвращения вторжения. Тогда, в контексте появления 31-го Указа Президента о национальной системе обнаружение, предотвращения и реагирования на атаки, эта тема была актуальна. Сейчас эта тема становится очень модной и в области корпоративной ИБ. Как собирать информацию с разрозненных источников информации, анализировать ее, коррелировать и представлять в виде, понятном бизнесу.

Для этой задачи можно использовать системы мониторинга различных событий:

Консоль управления Cisco Cyber Threat Defense
Консоль управления Cisco ISE
Но такие системы дают хоть и важную, но все-таки низкоуровневую информацию об эффективности каких-то технологических процессов (контроль доступа, неуспешные попытки аутентификации, инвентаризация подключаемых к сети узлов, число атак или утечек информации и т.п.). Это важно, но ничего не говорит о том, насколько это связано с задачами предприятия в целом и службы ИБ в частности. Тут нужна система немного иного масштаба, которая бы могла показывать информацию не только технологическую, но и о состоянии процессов ИБ, оргмерах, уровне зрелости и т.д. Как например, делается на некоторых критически важных объектах в отношении инцидентов с физической/контртеррористической защищенностью.

Система AlertEnterprise
Можно ли для этой задачи настроить  SIEM? Теоретически, при наличии мощного API для написания коннекторов... Можно. Но все-таки задача SIEM - немного иная. Она собирает и анализирует технологическую информацию. Нужны решения по бизнес-аналитике, заточенные под ИБ. Есть ли такие системы? Да, есть. Причем как отечественной разработки, так и зарубежной. Я не буду подробно рассматривать каждую из них (все-таки это сугубо индивидуальная тема и каждый вкладывает в такую систему свой взгляд, свой опыт и свое понимание эффективности ИБ). Я просто приведу список, который вы сможете проанализировать уже сами:

  • SecurityVision от компании АйТи
  • Jet InView от Инфосистемы Джет  
  • BitSight Platform от BitSightTechnologies
  • Tripwire Data Mart от Tripwire
  • Tripwire Benchmarking от Tripwire. Вот с этой системой я работал еще когда она принадлежала ClearPoint Metrics. Потом ее купила nCircle, а затем уже и Tripwire.


Правильное использование таких Security BI систем позволит собрать все данные от разнородных систем и процессов на единой платформе и работать с ними уже по своему усмотрению. После внедрения в такие решения можно даже загнать то, что сложно автоматизировать - оценку процессов повышения осведомленности, проведение регулярных встреч с руководством, сравнение разных отделов с точки зрения ИБ и т.п.

Правда, надо заметить, что внедрение таких систем - это уже из разряда высшего пилотажа. Ведь это даже не SIEM, которая требует наличие установленных везде источников данных в виде МСЭ, IPS, антивирусов, сканеров безопасности. Это система будет покруче, т.к. помимо данных от SIEM (или напрямую от сенсоров средств защиты) она получает и другие, "процессные" и "организационные" данные. А значит, что процессы должны быть выстроены или, как минимум, начато их построение.

ЗЫ. Кстати, у BitSight есть интересная услуга/продукт - BitSight SecurityRating, которая позволяет сравнивать схожие компании по уровню ИБ. В свое время такая услуга (Security Benchmarking) была у KPMG и если не вдаваться в суть идеи (она на самом деле не так уж и реализуема), то многие руководители хотят знать, как они соотносятся с другими аналогичными компаниями и конкурентами. По сути, это самая высшая метрика, когда компании сравниваются друг с другом (выше может быть только сравнение государств, но до этого пока никто не додумался).

Портал BitSight SecurityRating

7 коммент.:

doom комментирует...

Очень странно, что остался не упомянутым продукт RSA - RSA Archer. Вы ж, вроде, должны эти продукты в первую очередь двигать :)

Алексей Лукацкий комментирует...

Почему я их должен двигать?

Sergey Ovchinnikov комментирует...

Поддержу doom лишь в первой половине его реплики. Действительно странно, что Archer остался незамеченным.

Алексей Лукацкий комментирует...

Не могу же я знать всех ;-( С арчером как-то не приходилось сталкиваться

Target комментирует...

У всех упомянутых и не упомянутых систем оценки/анализа ИБ имеется существенный недостаток, который тормозит их широкое применение. Они не могут ответить на вопрос: А возможен НСД к защищащемой информации при данной политике безопасности и архитектуре системы или нет? Алгоритм такого анализа существует, но его применение эффективно только для критичных систем, поскольку требуется дорогостоящее построение первичной модели архитектуры и процессов обработки и защиты информации. Затем проверка всех возможных состояний системы с оценкой их безопасности на динамической модели. Типизация объектов анализа для данного случая сложная задача. Когда появятся библиотеки типовых сегментов архитектуры/процессов с уже проведенной локальной оценкой безопасности состояний, то возможно сдвинется с мертвой точки вопрос получения достоверной оценки безопасности архитектуры системы для какой-либо политики безопасности.

doom комментирует...

2 Target

Эти системы решают совершенно иные вопросы, а том, о чем вы пишете в зачаточном виде существует. В том числе и с какими-то наработками в части типизации систем/архитектур.

Алексей Лукацкий комментирует...

Target: посмотрите http://www.slideshare.net/lukatsky/automating-network-security-assessment