Выбор защитных мер: финальный подсчет рейтинга

Вчера я упомянул, что выборе защитных мер мы не только оцениваем стоимость их внедрения и эксплуатации, но и эффективность, которая в самом простейшем случае определяется тем, сколько угроз можно нейтрализовать с помощью конкретной защитной технологии, средства или меры. Это можно легко изобразить в виде матрицы.

Мы видим, что мера 1 "закрывает" 5 угроз, 6-я и последняя мера - по 3, а остальные по 2 угрозы. Выбор в пользу первой меры не вызывает вопросов - с ее помощью мы сможем нейтрализовать большее число угроз. Но у данного подхода, несмотря на его очевидные преимущества, есть и один недостаток. Он не учитывает эффект, которого достигает защитная мера. Если вспомнить NIST Cybersecurity Framework, то все защитные меры там разделены на 5 блоков - идентификация, предотвращение, обнаружение, реагирование и восстановление. Это и есть эффекты защиты, которые, для упрощения (если функцию восстановления отдать в ИТ, а функцию идентификацию реализовывать по любому), можно свести к трем:

• Предотвращение. Защитные меры этого типа делают атаку невозможной. Например, межсетевой экран или средство установки патчей.
• Обнаружение. Защитные меры этого типа позволяют определить, что атака/угроза произошла, происходит или может произойти. Сюда можно отнести антиспам, обнаружение вторжений и т.п.
• Реагирование. Защитные меры этого типа позволяют снизить негативнвй эффект в случае реализации угрозы.

Понятно, что одна и та же защитная мера может иметь разный эффект на разные угрозы, а также несколько разных эффектов на одну и ту же угрозу. 

Поэтому в матрице выше стоит ставить не просто крестик, а указывать конкретный эффект от защитной меры. Зачем нам защитная мера, которая позволяет только обнаруживать угрозы, но никак на них не реагирует? Вспоминая вчерашнюю таблицу показателей защитной меры, мы понимаем, что их зрелость может быть разной. Туже самую идею можно применить и к эффекту от защитной меры и выделить для них три уровня:

• Высокий. Эффект защитной меры подтвержден демонстрацией, сертификацией, тестами, пилотом и т.п.
• Средний. Оценка эффекта защитной меры базируется на предположении эксперта.
• Низкий. Эффект имеет правдоподобную картину, но еще никак не подтвержден.

В итоге, если мы объединим эффект защитной меры с его уровнем и поместим в матрицу, то мы получим следующий вариант (P, D и R означают эффект - prevention, detection и response, а H, M и L - уровень - High, Medium и Low):

Обратите внимание - результат поменялся, так как первая мера защиты много обнаруживает, но ничего не предотвращает и не снижает негативный эффект от обнаруженных угроз. В итоге рейтинг защитных мер у нас поменялся, но стал выглядеть более адекватным. К нему можно также добавить еще и веса, но это уже опционально.

Если сложить А и Б, вчерашний рейтинг защитный меры и сегодняшний, то поделив сегодняшний рейтинг на вчерашний и умножив результат на 100, мы и получим итоговый рейтинг защитной меры, проранжировав которые мы получим список того, с чего стоит начинать построение системы защиты. Можно использовать и иные стратегии выбора. Например, выбирать наименее затратные (по вчерашнему рейтингу) технологии ИБ или самые эффективные (по сегодняшнему).

Последние три дня я уделил внимание тому, как ранжировать угрозы и нейтрализующие их защитные меры. Завтра мы соберем все эти кусочки пазла вместе и я покажу, что за методика моделирования угроз работает по этому принципу.