С ранжированием угроз мы разобрались вчера, но что делать с ситуацией, когда у меня для нейтрализации угрозы подходит сразу несколько защитных мер? Возьмем, к примеру, угрозу вредоносного кода для мобильного устройства. Как я могу ее нейтрализовать? Сходу я вижу несколько вариантов - установка средства защиты от вредоносного кода (читай, мобильного антивируса), создание замкнутой программной среды с помощью MDM, перенаправление всего трафика с мобильного устройства на сетевой шлюз нейтрализации вредоносного кода, мониторинг компрометации. У каждого из этих вариантов есть свои плюсы и минусы, своя стоимость владения, а также возможность нейтрализации и других угроз (всегда неплохо, если одним средством можно "убить сразу нескольких зайцев", сэкономя деньги компании). Как выбрать из них ту меру, которая будет подходить нам лучше всего?
Можно оценить любую защитную меру с трех позиций - покрытие угроз (чем больше угроз покрывает защитная мера, тем лучше), стоимость внедрения и стоимость эксплуатации. При этом второй показатель складывается из стоимости разработки (покупки) защитной меры, стоимости ее тестирования (пилотирования) и стоимости интеграции защитной меры в защищаемую среду. Стоимость эксплуатации в свою очередь также складывается из ряда параметров - стоимость обслуживающего персонала (можно иметь классную систему защиты, но не иметь персонала, умеющего с ней работать), стоимость обучения персонала (попробуйте найти в России или СНГ нормальные курсы по threat hunting или SOCам), стоимость обслуживания, поддержки, утилизации и перехода на новую или обновленную меру.
Как и в случае с ранжированием угроз, ключевым является введение шкалы значений показателей и их веса, которые позволяют получить некую усредненную картину по каждой защитной мере. Да, у разных экспертов могут отличаться взгляды на зрелость защитной меры или необходимые для ее внедрения ресурсы и возможности, но по другим показателям такие отличия будут минимальны. Да и по спорным моментам все-таки мы получаем единую шкалу измерения, которая лучше чем просто экспертная оценка.
В принципе, уже описанного метода ранжирования достаточно для того, чтобы оценивать защитные меры и выбирать между ними, опираясь на более менее точные оценки, а не банальную экспертную оценку методом "пальцем в небо". Однако можно пойти чуть дальше и еще улучшить выбор защитных мер, но об этом мы поговорим завтра.
0 коммент.:
Отправить комментарий