Калькулятор оценки технологической зрелости соответствия 239-му приказу

 Несколько лет назад, а именно пять, я писал о том, как можно было бы облегчить жизнь с реализацией приказов ФСТЭК, внедрив неку/ю модель зрелости, которая бы позволила оценивать текущий уровень реализации требований регулятора и выстраивать некую дорожную карту достижения желаемого уровня соответствия. К сожалению, описанная мной тогда идея так и осталась идеей и, в отличие от NIST, который к своему фреймворку CSF предложил как раз схожую тему, наш регулятор, видимо по причине загруженности в условиях нехватки кадров, оставил этот вопрос в стороне. И вот на днях подумал я, что неплохо бы реализовать такую идею самостоятельно, что я и сделал. Итак, представляю калькулятор оценки технологической зрелости реализации приказа №239 ФСТЭК (для значимых объектов КИИ).

Почему я особо выделяю слово "технологической" в названии? Причина этого проста - мне хотелось сделать облегченный калькулятор, в котором надо было бы себя оценивать не по каждому из полутора сотен требований (этот вариант я сейчас доделываю), а по каждому блоку целиком. Поэтому классический вариант с оценкой зрелости по CMMI сюда не подходил. Поэтому я и решил, что раз большинство защитных мер из 239-го приказа являются технологическими, то и оценивать реализацию приказа можно именно с этой точки зрения.

В итоге получилась вот такая табличка, где для каждого блока защитных мер были выделены 5 уровней зрелости, характеризующихся применением тех или иных технологий или тем или иным уровнем автоматизации. Например, на первом уровне блока ИАФ (идентификация и аутентификация) компания применяет обычные пароли для своих пользователей. Затем она переходит к многофакторной аутентификации, потом задумывается о Zero Trust или 802.1x начинает аутентифицировать не только пользователей, но и устройства. Потом компания созревает до доступа к своим активам внешних пользователей и начинает аутентифицировать их, а в финале, на пятом уровне зрелости, применяет федеративную систему аутентификации, применяемую в том числе и на внешних ресурсах - облаках и т.п.

Сложность возникла для такого, казалось бы простого, блока защитных мер, как обнаружение вторжений. Всего две меры защиты в нем и вроде бы не так все сложно, но... У ФСТЭК под понятием СОВ понимается вполне конкретный набор решений, который описывается их руководящими документами. Я же считаю, что обнаружение вторжений - это гораздо более широкий спектр технологий, которые не только делятся на уровни реализации - сетевые и хостовые, но и по используемым алгоритмам обнаружения, интеграции их в единый комплекс (XDR), а также применением в облачных средах.

Но и с обнаружением вторжений ситуация не столь сложна, как с аудитом безопасности, под которым приказ 239 понимает не только классический аудит, но и мониторинг ИБ, а также применение решений по анализу трафика, которому, на мой взгляд, место больше в обнаружении вторжении. Но такова уж карма термина "активный аудит", который в России известен уже давно и в него засовывают и обнаружение вторжений, и анализ защищенности. Но и с этим я тоже справился. В итоге получилась небольшая таблица, в которой достаточно всего лишь 20 раз выбрать нужный уровень вашей технологической зрелости, после чего будет отрисована радарная диаграмма, показывающая уровень зрелости по каждому из блоков защитных мер и насколько нам далеко до желаемого/рекомендуемого уровня. Кстати, о последнем. Я его выбирал опираясь на собственный опыт. При желании там можно поиграться с уровнем, к которому надо стремиться.

Вот такой вот легонький инструмент, который я выложил у себя в Телеграме.

Подробнее…

Об ИБ-спикерах и их мотивации выступать на мероприятиях

Вы думали, почему на конференциях по ИБ выступают Рустем Хайретдинов, Дима Мананников, Алексей Качалин, Антон Карпов, Дима Гадарь, Мона Архипова и другие достойные специалисты? Я не знаю, почему. Да и наверное неправильно додумывать за них об их причинах. Я хочу поделиться своим видением того, почему человек начинает выступать на конференциях. Будем считать это продолжением моего опуса об ИБ-блогерстве, написанном 5 лет назад. Многое из того, что было написано тогда, продолжает оставаться актуальным и в отношении спикеров ИБ-мероприятий, но отдельные моменты все-таки надо уточнить и прокомментировать. Тем более, что и повод на днях появился. 8 лет назад я уже пытался оформить свои причины участия в ИБ-мероприятиях, но за это время ситуация немного поменялась.

Итак, давайте посмотрим на мотивацию организатора мероприятия. Он, очевидно, заинтересован в том, чтобы заманить в свои ряды именитого, интересного или востребованного спикера, на которого пойдут участники, что позволит привлечь много денежных спонсоров и не только отбить, но и заработать на мероприятии (либо сразу, либо впоследствии). Для решения этой задачи в ход идут совершенно различные инструменты и подходы - давнее знакомство со спикером, запрос через друзей спикера, гонорар, запрос начальству, оплата перелета и проживания, предоставление доступа к материалам мероприятия, предоставление доступа к другим проектам организатора мероприятия и т.п.        Кто-то считает, что выступить на их мероприятии - это уже само по себе ценно и поэтому спикеры должны быть рады самому факту их приглашения на мероприятие. Кстати, это местами действительно так. Если бы меня пригласили выступить на RSA Conference, то я мог бы считать это некоей вершиной (возможно, промежуточной) для себя, как для спикера.

Кто-то из организаторов заманивает к себе спикеров тем, что они повысят свою экспертность и смогут получать больше зарплату. Последнее, конечно, вызывает только улыбку. Если человек не эксперт, то никакое выступление его экспертность не повысит (разве что он получит еще один опыт выступления, что тоже полезно, но слушателям нужно не это). Если же он признанный эксперт, то участие в большинстве отечественных мероприятий по ИБ на его экспертности никак не скажется (разве что его пригласят выступать в Госдуме или для олигархов в Барвиха Luxury Village). Если человек - неопытный спикер, но он работает на стороне заказчика, то возможность ему поделиться опытом ценна само по себе (и тоже никак не влияет на экспертность). В любом случае, бартер "выступление за рост экспертности" - это демонстрация непонимания того, что нужно спикеру.   

Попробую сформулировать причины, по которым спикер соглашается выступать на разных мероприятиях. Через многие из них я прошел за 30 лет в области ИБ, поэтому могу сказать, что они все имеют место быть (правда, на разных стадиях развития и известности спикера). Итак, я бы составил следующий перечень причин для выступлений:

• Гонорар. Это самая очевидная для спикера и самая нелюбимая для организатора причина. Правда, стоит помнить, что чем известнее спикер, тем... нет, не больше гонорар, тем выше у него доходы по его основному месту работы (есть такая корреляция) и поэтому гонорар становится не столь уж значимой причиной для выступления. Тем более, что организаторы часто оценивают выступление исходя из часовой ставки, забывая про время, затрачиваемое на подготовку. Хороший спикер, если он не мотивационный, очень редко когда читает одну и ту же презентацию из года в год. Хороший спикер для каждого нового выступления делает новую презентацию или мастер-класс, что требует в разы больше часов на подготовку, что тоже требует определенной компенсации. Но оплата выступления, как и вообще платные мероприятия, - это больная тема, про которую я писал еще 10 лет назад, но без особого результата. 
• Желание поделиться опытом. Как говорил Жванецкий, писАть, как и пИсать надо тогда, когда уже невмоготу. Также и с выступлениями. Часто хочется поделиться своим опытом, своими знаниями в аудиторией. И уже это одно может быть хорошим стимулом для того, чтобы спикер сказал "да" организаторам. 
• Возможность обкатать новую тему. У меня бывало так, что я погружался в некую тему, но у меня все не хватало времени на то, чтобы поставить в ней некоторую промежуточную точку. Я все откладывал, откладывал... Потом, организаторы мероприятия спрашивают меня, чтобы я мог рассказать и я называл незавершенную еще тему, которая, вдруг, заинтересовывала и организаторов и аудиторию. Ее вставляли в программу и это мотивировало меня довести дело до конца.
• Оттачивание навыков выступления. Для начинающего спикера это тоже может быть причиной, почему он соглашается на выступление. Опытный (во всех смыслах) обычно уже умеет говорить и правильно доносить свои мысли до аудитории. Начинающему это только предстоит. Выступление как раз и дает возможность наработать соответствующий опыт публичных выступлений. Организаторы его дают, получая взамен спикера. 
• Новый формат выступления. Зато опытному спикеру может быть интересно обкатать новый формат выступления. Я под таким соусом раньше соглашался проводить киберучения или иные форматы с геймификацией, которые позволяют попробовать что-то новое. Существует под сотню разных форматов мероприятий по ИБ, которые можно опробовать, и иногда само это является интересной возможностью для спикера (если он такое практикует).  
• Интересное место выступления. За свою жизнь я много где бывал, - и занимаясь туризмом в детстве и юности, и уже работаю и ездя в командировки. Поэтому интересное место, в которое спикер сам может быть никогда и не поедет, может стать прекрасным "гонораром" за выступление. Разумеется, это место должно быть интересным для спикера, а не для организатора. Мне вот интересно было бы посетить Камчатку и закрыть для себя "пояс гейзеров" (в Америке и в Исландии я уже их видел), Байкал или Путораны (это если рассматривать только российские места), но совсем неинтересно посетить Москву (да, иногда такое "интересное" место называют), Сочи (как говорилось в фильме "Москва слезам не верит", в Сочи хоть раз отдыхал каждый советский гражданин) и т.п. 
• Понимание целевой аудитории. Где как не на мероприятиях можно услышать все, что целевая аудитория думает о вас и о вашем взгляде на мир (если, конечно, эта аудитория готова делиться этим взглядом, что тоже бывает не всегда)? Набившее оскомину выражение, что с аудиторией надо говорить на ее языке, может стать как раз той причиной, по которой вы согласитесь выступить где-то. Допустим, вы хотите понять, как и что думают об ИБ бухгалтера или кадровики? Или вас приглашают на мероприятие директоров по безопасности нефтяной компании? Это может быть мотивом для выступления. Если же речь идет об аудитории ибшников, то тут важно, кто они и будет ли у них возможность позадавать вам или вам им вопросы.   
• Возможность встретиться с друзьями. В Фейсбуке частый комментарий по поводу того или иного мероприятия звучит так - "хочу встретиться с друзьями и коллегами". И иногда это действительно так. В обычной жизни сложно пересечься и пообщаться, а на мероприятии можно выкроить какое-то время для этого.
• Новые знакомства. Кому-то нужны не старые друзья, а новые знакомства и расширение своей "социальной сети". Может быть для будущего карьерного роста, может быть для поиска кандидатов к себе на работу, может быть для продажи своих продуктов и услуг.
• Возможность послушать коллег и узнать что-то новое. Спикеры такие же люди и также хотят получать новые знания, особенно в тех областях, в которых они не сильны. И возможность послушать других спикеров для них может являться очень интересным доводом сказать "да". Разумеется, если программа и спикеры интересные. Иногда спикеру можно предложить записи всех докладов, чтобы он смог в спокойной обстановке ознакомиться с ними.
• Моя роль как спикера. В качестве кого меня зовут? Ключевой спикер, открывающий мероприятие (мое эго скажет спасибо)? Спикер с 20-тиминутным докладом? Участник панельной дискуссии? Ведущий мастер-класса? Фасилитатор? Модератор? От этого тоже зависит принятие решения об участии в мероприятии.  
• Рост доверия и желание славы. Если я, выступив на мероприятии, получу свои толику славы, массу оваций, знакомства с нужными людьми, рост доверия к персональному бренду, то кому-то это важнее всего остального. Хотя со временем понимаешь, что просто известность, неподкрепленная иными причинами, перестает быть главным мотивом для выступлений.
• Карьерный рост. Иногда организаторы ИБ-мероприятий приводят это в качестве заманухи на свои конференции. Если честно, то я не очень понимаю этого, так как зачастую именитые и известные спикеры сами являются высокопоставленными руководителями по ИБ и сами нанимают на работу, не ища такой возможности для себя. Если спикер начинающий, то да, у него может быть такая мотивация, но если она стоит во главе угла, то ничего хорошего из этого не выйдет. Если ты выступаешь, чтобы продать себя, а не чтобы поделиться полезным с аудиторией, то это видно сразу и отношение к такому спикеру будет соответствующим. Хотя да, он может добиться своей цели, но у аудитории он доверия больше вызывать не будет.    
• Новые лица. У меня такого никогда не было, но пару раз я слышал от коллег высказывание: "Достали уже одни и те же спикеры на конференциях. Хочется новых лиц. Подамся с CFP". Да, у организаторов часто есть желание получить новые лица на мероприятие и на этот можно сыграть (правда, спикеру, а не организатору), подавшись со своим докладом и получив возможность разбавить "звезд советской эстрады", по 20 лет гастролирующих по России со своими "концертами".
• Экономия. Это другая сторона медали, связанной с предыдущей причиной. ИБшник хочет поехать на интересное ему мероприятие по ИБ, но у него на это нет денег. Тогда он подается как спикер и если его выбирают, то он сильно экономит на проезде и проживании на площадке мероприятия. 
• Репутация мероприятия. Я выше уже писал, что есть ряд мероприятий, которые можно было бы назвать некоей вершиной для спикера по ИБ (у каждого такой перечень свой). И если у мероприятия уже сложилась репутация, то приобщиться к ней само по себе может являться очень ценным для спикера.  
• Организатор. Есть организаторы, с которыми хочется работать снова и снова. У них отличная репутация и в какой-то момент времени у тебя даже дружеские отношения могут сформироваться с ними. Ты готов им помогать, зная, что тебя не кинут и не обманут. А есть организаторы токсичные, которые не выполняют своих обещаний, которые говорят одно, а делают другое. Ты можешь повестить один раз, другой, но потом уже формируешь собственный черный список и ни при каких условиях больше не соглашаешься участвовать в мероприятиях этого организатора. В свое время была такая история с компанией "Форт-Росс", которая проводила мероприятия для CISO (и для CIO), потом собрала денег на выездное мероприятие и не выполнила свои обязательства, а потом и вовсе была неприятная ситуация с акционерами. Бывали случаи, когда твои контактами организаторы торгуют или занимаются сводничеством. Бывает и так, что твой контент начинают продавать, даже не получив на это предварительного разрешения и, конечно, не выплачивая никакого роялти. Причем бывают вообще анекдотичные истории. Организаторы начинают продавать твои выступления, считая, что раз ты согласился у них выступить, то ты автоматом согласился, что твои выступления потом можно продавать, не платя тебе никакого вознаграждения. Потом оказывается, что они не смогли ничего продать и тогда тебе заявляют, что мы вам ничего не должны, так как никому ничего не продали (как связано неумение продавать с отказом от авторского вознаграждения я не знаю). А потом тебе еще и заявляют, что вы у нас в базе и мы будем продавать доступ к вашим контактам (позже оговорившись, что это будет с вашего согласия). Про законодательство о персональных данных, которое запрещает использовать персданные в целях, которые не были оговорены при их сборе, организаторы, видимо, не в курсе.
• Спонсоры. Иногда токсичными бывают не только организаторы, но и спонсоры, с которыми спикер может на захотеть связывать свое имя. Особенно если этот спонсор купил право вставить свой логотип в твой доклад/презентацию или ты должен модерировать секцию с его участием или у тебя и вовсе совместный доклад с ним. Но бывает и наоборот. Мероприятие проводится "при участии" именитой организации или даже регулятора, от которого на мероприятии будет высокопоставленный человек, доступ к которому интересен спикеру. Тоже вполне себе причина для участия в мероприятии.
• Неудобно отказать. Эту причину я комментировать не буду. Бывает, что тут сказать...

Вот такой вот набор причин, почему спикер может сказать "Да" (или "Нет") участию в мероприятии по ИБ. Но если попробовать выразить все эти мотивы более коротко, то выступление - это время, которое помогает или не помогает спикеру достигать поставленных им самому себе целей (ну или его работодателем, но спонсорские выступления - это отдельная тема для обсуждения). Зная спикера, его мысли, его планы, его желания (а это отличает хорошего организатора мероприятий от временщика), можно предложить ему ровно то, что его заинтересует и что повысит шансы на его участие в мероприятии, от чего выиграют все - и спикер, и организатор, и аудитория. А в противном случае получается какая-то инфоцыганщина :-(

Подробнее…

TARA - методология моделирования угроз и защитных мер от MITRE

В последнее время меня никак не отпускает тема моделирования угроз, что закономерно. Это один из последних документов регуляторов и по нему возникает немало вопросов. Но сегодня я буду писать не об этом. Сегодня я хотел бы подвести итог и завершить серию заметок, начатую во вторник. В них я описал подходы к ранжированию угроз/техник и мер защиты, список которых мы формируем в рамках моделирования угроз. Вчера я обещал назвать методику оценки негативных событий, в которой используются эти подходы. Речь идет о TARA - Threat Assessment & Remediation Analysis, методике, предложенной корпорацией MITRE еще в 2011-м году.

Методология TARA включает в себя три активности - анализ угроз (Cyber Threat Susceptibility Analysis), анализ защитных мер (Cyber Risk Remediation Analysis) и разработку данных и инструментов. Идеологически, методология TARA очень сильно похожа на то, что описано в методике оценки угроз ФСТЭК, но есть ряд нюансов, которые и отличают эти два подхода; причем существенно.  

Я не буду подробно расписывать всю методику - все-таки 60 страниц лучше прочитать самостоятельно. Коснусь только ключевых моментов, которые и отличают TARA от методики, предложенной ФСТЭК:

1. Методика не является обятельной к применению. Право ее выбора лежит на потребителе.
2. TARA не ссылается на матрицу техник и тактик MITRE ATT&CK (ее еще тогда просто не было), но само понятие TTP в методике TARA присутствует ровно в том же контексте, что и в ATT&CK. В последующих версиях TARA это понятие немного трансформировалось в вектора атак, то есть последовательность действий, которые злоумышленник осуществляет для достижения своей цели, но суть опять же не поменялась.
   
   
   
   
   
3. Указанные вектора атак объединяются в группы, которые могут быть классифицированы по разному. Обратите внимание, в конструкторе есть и группа техник MITRE ATT&CK и собственные варианты систематизации векторов атак. Например, у меня может быть группа векторов "аутентификация пользователя по паролю", а вектора, входящие в нее, - атаки по словарю, перебор паролей, радужные таблицы и т.п.
   
   
   
   
   
4. Методика начинается с инвентаризации и оценки защищаемых активов, которая может быть выполнена как самостоятельно, так и с помощью другой методологии MITRE - CJA (Crown Jewels Analysis). При этом TARA не требует описания активов вплоть до интерфейсов и уровней, как это описано у ФСТЭК. Все чуть проще - Web-сервер, браузер, СУБД, приложение e-mail, коммутатор, УПАТС и т.п. Но при необходимости можно и углубиться в детали, если такая задача стоит. Например, сам каталог возможных активов достаточно обширен с точки зрения описываемых атакуемых объектов.
   
   
   
   
   
5. Методика очень сильно завязана на так называемые каталоги, которые и содержат уже скрупулезно собранные и систематизированные техники и тактики угроз, вектора атак, защитные меры, активы и т.п. Эти каталоги позволяют легко автоматизировать процедуру моделирования угроз. Модель данных этих каталогов выглядит следующим образом:
   
   
   
   
   
6. Наличие в каталогах данных как из открытых, так и закрытых источников. В зависимости от оцениваемого объекта такое деление позволяет использовать более широкий круг источников данных, в том числе и грифованных, для оценки возможных векторов атак и негативных последствий от их использования. Из открытых источников TARA использует CAPEC, CWE, CVE. 
7. Скоринговая оценка угроз и защитных мер, описанных в трех предыдущих заметках. При этом рейтинг угрозы оценивается для разных типов нарушителей, коих TARA выделяет всего три - внешний, внутренний и привилегированный внутренний. Я не разделяю позицию, что нарушителей надо делать на внешних и внутренних, но в 2011-м году такой подход мог быть вполне разумным. Сейчас я бы отталкивался от другой классификации нарушителей, но идею по разному ранжировать угрозы, в зависимости от того, кто их реализует, я вполне поддерживаю. Вот как это выглядит в оригинальной методике TARA.
   
   
   
   
   
8. TARA предлагает нейтрализовывать не все актуальные угрозы, а согласно их рейтингу. Другой предлагаемой стратегией является нейтрализация угроз, в зависимости от важности актива. 
9. В первоначальной версии TARA все защитные меры оценивались не по трем типам эффекта (предотвращение, обнаружение и реагирование), которые я описал вчера, а по 4-м - нейтрализация угрозы, ее обнаружение, ее ограничение и восстановление после нее. Но после появления фреймворка NIST CSF подход немного изменили.
10. Итогом моделирования угроз по TARA было составление оптимального перечня защитных мер, которые обеспечивали бы эффективную защиту от угроз/техник с минимальными затратами на внедрение и эксплуатацию.
11. Автоматизация оценки, которая заключается в том, что все каталоги и интерфейсы для моделирования размещены в инфраструктуре MITRE, что позволяет не только обеспечить конфиденциальность проводимой оценки, но и ускорить процесс моделирования в разы по сравнению с самостоятельной разработкой инструментария для оценки.
12. Интересно, что уже в 2011-м году среди угроз, которые могли быть проанализированы TARA, предусматривались не только киберугрозы, но и угрозы воздействия по техническим каналам, а также угрозы цепочке поставок.
13. Упомянутые в начале заметки инструменты позволяют как создавать новые записи в каталогах, так и импортировать/экспортировать их их/во внешние системы в формате XML, искать в каталогах, а также генерить различные отчеты. Например, вот так выглядят интерфейсы создания новой техники реализации угроз, новой защитной меры и маппинг защищаемого актива в техники реализации угроз.
    
    

    

    Описание угрозы

    
    

    

    Описание защитной меры

    
    

    

    Маппинг актива в угрозы

    
    
14. Если первые версии TARA не фокусировались на нарушителях, то текущая версия уделяет этому вопросу немало внимания, требуя составить профиль нарушителя, который базируется на трех ключевых элментах - мотивация (зачем кому-то вас атаковать), цели (разведка, утечка, кража, удар по репутации и т.п.) и возможности для реализации угроз. Все эти параметры нарушителей могут меняться с течением времени, поэтому процесс составления "модели нарушителя" не статический и не одноразовый, а динамичный, требующий автоматизации.
15. Еще одним важным, и ранее отсутствующим элементом TARA, является определение поверхности атаки, которая определена как последовательность шагов нарушителя для достижения атакуемого объекта из точки входа. Понятно, что при одной точке входа и объекте атаки путей между ними может быть несколько. Также очевидно, что из одной точки входа можно попасть в множество целей, одну цель можно достичь из разных точек входа, а также что цель в случае ее компрометации может стать точкой входа для дальнейших атак. Точками входа по TARA могут быть запросы к полям баз данных, USB-порты, пользовательские учетные записи, вложения в e-mail и загружаемые из Интернет файлы, временные сетевые соединения, процессы обновления системы и т.п. В каталогах TARA многие из векторов атак, обеспечивающих переход из точки входа в точку назначения, уже прописаны и их надо просто выбирать из готового списка. Авторы TARA говорят, что более 25 векторов атак оценивать достаточно сложно. 
16. Опираясь на описанные выше данные, мы составляем список сценариев реализации угрозы, которые в отличие от векторов атак и их групп, дополнены контекстом для лучшего понимания актуальных угроз. В отличие от методики ФСТЭК TARA не требует перебора всех возможных сценариев, привязанных к техникам и тактикам.
    
    
    

Вот такая методика была предложена MITRE десять лет назад. Во многом она похожа на то, что предложила ФСТЭК в феврале, но все-таки есть и пара коренных отличий, а именно необязательность как самой методики, так и ее отдельных элементов, а также глубокая автоматизация работы на разных этапах моделирования, снижающих волюнтаризм экспертов и ускоряющих сам процесс. Кстати, о времени, которое требуется на моделирование угроз по методике TARA. По оценкам ее авторов - вся процедура занимает 13 недель, то есть полный квартал с небольшим. И это при полной автоматизации. Так что делаем выводы о том, сколько может занять моделирование угроз по текущему варианту методики нашего регулятора в области защиты информации.  

Подробнее…

Выбор защитных мер: финальный подсчет рейтинга

Вчера я упомянул, что выборе защитных мер мы не только оцениваем стоимость их внедрения и эксплуатации, но и эффективность, которая в самом простейшем случае определяется тем, сколько угроз можно нейтрализовать с помощью конкретной защитной технологии, средства или меры. Это можно легко изобразить в виде матрицы.

Мы видим, что мера 1 "закрывает" 5 угроз, 6-я и последняя мера - по 3, а остальные по 2 угрозы. Выбор в пользу первой меры не вызывает вопросов - с ее помощью мы сможем нейтрализовать большее число угроз. Но у данного подхода, несмотря на его очевидные преимущества, есть и один недостаток. Он не учитывает эффект, которого достигает защитная мера. Если вспомнить NIST Cybersecurity Framework, то все защитные меры там разделены на 5 блоков - идентификация, предотвращение, обнаружение, реагирование и восстановление. Это и есть эффекты защиты, которые, для упрощения (если функцию восстановления отдать в ИТ, а функцию идентификацию реализовывать по любому), можно свести к трем:

• Предотвращение. Защитные меры этого типа делают атаку невозможной. Например, межсетевой экран или средство установки патчей.
• Обнаружение. Защитные меры этого типа позволяют определить, что атака/угроза произошла, происходит или может произойти. Сюда можно отнести антиспам, обнаружение вторжений и т.п.
• Реагирование. Защитные меры этого типа позволяют снизить негативнвй эффект в случае реализации угрозы.

Понятно, что одна и та же защитная мера может иметь разный эффект на разные угрозы, а также несколько разных эффектов на одну и ту же угрозу. 

Поэтому в матрице выше стоит ставить не просто крестик, а указывать конкретный эффект от защитной меры. Зачем нам защитная мера, которая позволяет только обнаруживать угрозы, но никак на них не реагирует? Вспоминая вчерашнюю таблицу показателей защитной меры, мы понимаем, что их зрелость может быть разной. Туже самую идею можно применить и к эффекту от защитной меры и выделить для них три уровня:

• Высокий. Эффект защитной меры подтвержден демонстрацией, сертификацией, тестами, пилотом и т.п.
• Средний. Оценка эффекта защитной меры базируется на предположении эксперта.
• Низкий. Эффект имеет правдоподобную картину, но еще никак не подтвержден.

В итоге, если мы объединим эффект защитной меры с его уровнем и поместим в матрицу, то мы получим следующий вариант (P, D и R означают эффект - prevention, detection и response, а H, M и L - уровень - High, Medium и Low):

Обратите внимание - результат поменялся, так как первая мера защиты много обнаруживает, но ничего не предотвращает и не снижает негативный эффект от обнаруженных угроз. В итоге рейтинг защитных мер у нас поменялся, но стал выглядеть более адекватным. К нему можно также добавить еще и веса, но это уже опционально.

Если сложить А и Б, вчерашний рейтинг защитный меры и сегодняшний, то поделив сегодняшний рейтинг на вчерашний и умножив результат на 100, мы и получим итоговый рейтинг защитной меры, проранжировав которые мы получим список того, с чего стоит начинать построение системы защиты. Можно использовать и иные стратегии выбора. Например, выбирать наименее затратные (по вчерашнему рейтингу) технологии ИБ или самые эффективные (по сегодняшнему).

Последние три дня я уделил внимание тому, как ранжировать угрозы и нейтрализующие их защитные меры. Завтра мы соберем все эти кусочки пазла вместе и я покажу, что за методика моделирования угроз работает по этому принципу.

Подробнее…