Вчера я упомянул, что выборе защитных мер мы не только оцениваем стоимость их внедрения и эксплуатации, но и эффективность, которая в самом простейшем случае определяется тем, сколько угроз можно нейтрализовать с помощью конкретной защитной технологии, средства или меры. Это можно легко изобразить в виде матрицы.
- Предотвращение. Защитные меры этого типа делают атаку невозможной. Например, межсетевой экран или средство установки патчей.
- Обнаружение. Защитные меры этого типа позволяют определить, что атака/угроза произошла, происходит или может произойти. Сюда можно отнести антиспам, обнаружение вторжений и т.п.
- Реагирование. Защитные меры этого типа позволяют снизить негативнвй эффект в случае реализации угрозы.
Поэтому в матрице выше стоит ставить не просто крестик, а указывать конкретный эффект от защитной меры. Зачем нам защитная мера, которая позволяет только обнаруживать угрозы, но никак на них не реагирует? Вспоминая вчерашнюю таблицу показателей защитной меры, мы понимаем, что их зрелость может быть разной. Туже самую идею можно применить и к эффекту от защитной меры и выделить для них три уровня:
- Высокий. Эффект защитной меры подтвержден демонстрацией, сертификацией, тестами, пилотом и т.п.
- Средний. Оценка эффекта защитной меры базируется на предположении эксперта.
- Низкий. Эффект имеет правдоподобную картину, но еще никак не подтвержден.
В итоге, если мы объединим эффект защитной меры с его уровнем и поместим в матрицу, то мы получим следующий вариант (P, D и R означают эффект - prevention, detection и response, а H, M и L - уровень - High, Medium и Low):
Если сложить А и Б, вчерашний рейтинг защитный меры и сегодняшний, то поделив сегодняшний рейтинг на вчерашний и умножив результат на 100, мы и получим итоговый рейтинг защитной меры, проранжировав которые мы получим список того, с чего стоит начинать построение системы защиты. Можно использовать и иные стратегии выбора. Например, выбирать наименее затратные (по вчерашнему рейтингу) технологии ИБ или самые эффективные (по сегодняшнему).
Последние три дня я уделил внимание тому, как ранжировать угрозы и нейтрализующие их защитные меры. Завтра мы соберем все эти кусочки пазла вместе и я покажу, что за методика моделирования угроз работает по этому принципу.
0 коммент.:
Отправить комментарий