SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
12.07.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   



Руслан Рахметов, Security Vision


Перед руководителями подразделений информационной безопасности зачастую стоят вопросы не столько организации выполнения непосредственных функций по защите информации и реагированию на инциденты, сколько необходимость демонстрации эффективности кибербезопасности и защиты годовых бюджетов, которые компания готова выделить на ИБ.


Не секрет, что для многих топ-менеджеров все непрофильные функции, такие как ИТ и/или ИБ, представляются не «зарабатывающими», а «расходными». И если измерение business value и экономической эффективности ИТ-процессов можно относительно легко перевести в плоскость показателей автоматизации, снижения затрат, повышения удобства и продуктивности работы, то в случае ИБ-процессов аналогичные параметры будут неочевидны. Как доказать руководству, что инцидент ИБ не случился именно благодаря длительной и планомерной работе ИБ-подразделения по созданию внутренних нормативных документов, обучению сотрудников, настройке СЗИ? В случае, когда киберинцидент все же произошел, но не привел к существенному ущербу, как дать понять, что этому способствовала выстроенная эффективная система оперативного выявления и реагирования на киберинциденты?


Если же в компании нет сомнений в важности и полезности ИБ подразделения, то в такой зрелой среде будут уже другие вопросы: как измерить эффективность работы ИБ-департамента в целом и определенных сотрудников в частности, какие KPI следует применять, как понять целесообразность и продуктивность применения тех или иных мер и средств защиты информации? И на все эти вопросы ответить, разумеется, лучше не качественно и с использованием экспертного метода, а с помощью количественных метрик и проверяемого алгоритма расчета. В этой и последующей статьях мы покажем, как можно оценить экономическую эффективность используемых систем защиты, как измерять показатели снижения ущерба от инцидентов, а также обратимся к лучшим международным практикам и стандартам, посвященным расчету эффективности систем управления ИБ.


В экономике существует такое понятие, как ROI - Return on Investment, или возврат (окупаемость) инвестиций, который характеризует эффективность инвестиционных вложений в бизнес. В разрезе ИБ можно применять параметр ROSI - Return on Security Investment, т.е. возврат инвестиций в безопасность, который характеризует экономическую эффективность систем защиты информации. Считается, что если показатель ROSI больше единицы, то вложение в СЗИ оправдано, при этом чем больше значение параметра ROSI, тем выше будет экономическая эффективность использования того или иного СЗИ.


Для оценки экономической эффективности СЗИ мы будем использовать параметр TCO, т.е. Total Cost of Ownership, т.е. совокупная стоимость владения СЗИ. Данный параметр может включать в себя стоимость самого СЗИ, затрат на его внедрение, техподдержку от вендора, регулярные обновления, зарплату администрирующего СЗИ персонала. Средства защиты, также как и программное и аппаратное обеспечение, можно приобретать по двум принципиально разным моделям, характеризующимися расходами типа CAPEX или OPEX. CAPEX (CAPital EXpenditure) - это капитальные расходы, которые предполагают, что компания приобретает ПО или «железо» в постоянное пользование, например, путем покупки постоянной лицензии на СЗИ, приобретения аппаратного обеспечения, «коробочного» ПО. OPEX (OPerational EXpenditure) - это операционные расходы на сервисы или продукты, работающие по модели «подписки», например, облачные инфраструктуры, арендуемые мощности ЦОД, использование СЗИ по подписке. При расчете параметра TCO (Total Cost of Ownership) в случае CAPEX потребуется учесть не только единовременные затраты на первичное приобретение СЗИ, но и на его обновление, администрирование, настройку платформы, на которой данное СЗИ будет работать (могут потребоваться ОС, СУБД, системы виртуализации, мощное аппаратное обеспечение).


Для расчета параметра ROSI можно воспользоваться формулой

ROSI = (ARO*SLE*MF – TCO) / TCO

где:

ARO - annualized rate of occurrence, среднее количество инцидентов в год в соответствии со статистическими данными

SLE - single loss expectancy, ожидаемые разовые потери, т.е.  «стоимость» одного инцидента

MF - mitigation factor, фактор снижения угрозы с помощью СЗИ (в %).


Значение ARO можно получить, анализируя исторические данные по произошедшим инцидентам, а также путем оценки данных, предоставляемых в аналитических отчетах вендоров и компаний одного сектора экономики. Значение SLE можно получить из системы управления рисками, в которой могут быть учтены ИТ-активы, их стоимость и разовый ущерб от реализации того или иного киберриска. Параметр MF может быть предоставлен как вендором, так и получен самостоятельно на основе анализа и пилотирования тех или иных СЗИ.


Рассмотрим пример:

Стоит задача выбора нового DLP-решения для защиты от утечек данных в компании. На основании данных ретроспективного анализа старой DLP-системы, за последние 10 лет в компании выявлялось в среднем 10 утечек данных в год (ARO=10), при этом средний ущерб от одной утечки составляет 5000000 рублей (SLE=5000000). Значение параметра MF, полученное в результате трехмесячного пилотирования системы DLP в реальной инфраструктуре компании и в «боевых» сценариях использования, составляет 50% (MF=0.5). Значение TCO складывается из стоимости новой DLP-системы (3000000 рублей), годовой компенсации администратора DLP-системы (2000000 рублей), стоимости внедрения силами ИТ-интегратора (500000 рублей), т.е. TCO=3000000 + 2000000 + 500000 = 5500000.

Расчет параметра ROSI будет таковым:

ROSI = (10*5000000*0.5 - 5500000) / 5500000 = 3,54


Таким образом, финансовые вложения в новую DLP-систему видятся экономически оправданными, поскольку значение параметра ROSI больше единицы.


Рассмотрим теперь метрики эффективности ИБ с точки зрения минимизации ущерба от реализации кибератаки. Ни одна компания не может быть на 100% защищена от тщательно спланированной кибератаки, даже добросовестно выстроив эшелонированную систему защиты. Современное вредоносное ПО может вести себя весьма скрытно при первоначальном заражении, однако, чем дольше вредонос находится в атакованной инфраструктуре, тем больше будет ущерб от атаки - в итоге, будут украдены данные, повреждены (зашифрованы) накопители, похищены деньги со счета фирмы.


Таким образом, специалистам по ИБ рано или поздно предстоит иметь дело с реализовавшейся угрозой, и для этого потребуется выполнить действия по обработке киберинцидента. Потребуется выполнить подготовку к отражению инцидента, затем своевременно обнаружить и проанализировать его, затем осуществить операции по сдерживанию, устранению и восстановлению после киберинцидента. Наконец, нужно будет выполнить post-incident действия, провести анализ, откорректировать планы реагирования, возможно, перенастроить системы защиты. Логично будет связать прогнозируемый ущерб от инцидента с временем выполнения некоторых перечисленных активных этапов реагирования: обнаружение, анализ, сдерживание, устранение, восстановление. Рассмотрим такой KPI реагирования на киберинциденты, как MTTD  (Mean Time To Detect), т.е. среднее время детектирования (обнаружения) инцидента - чем данный временной параметр будет меньше при обработке киберинцидента, тем быстрее будут предприняты дальнейшие действия, и угроза не сможет развиться до действительно разрушительных масштабов. Еще одна метрика - MTTR (Mean Time To Respond), т.е. среднее время реагирования на инцидент - характеризует уже временной норматив выполнения действий по непосредственному активному противодействию угрозе: сетевой изоляции зараженных устройств, удалению вредоносных объектов, восстановление инфраструктуры и атакованных устройств в состояние «до атаки».


Рассмотрим пример:

Невнимательный пользователь открыл фишинговое письмо и перешел по ссылке, скачав и запустив на своем ПК вредоносный файл. Данное вредоносное ПО оказалось модульным, и первый компонент (dropper) не предпринимал разрушительных действий в инфраструктуре компании, осуществляя «разведку» путем сбора данных о зараженном ПК, имени учетной записи пользователя, имени домена. Аналитики SOC-Центра в течение 1 минуты получили сообщение от SIEM-системы о том, что в почтовую систему компании было доставлено подозрительное письмо, содержащее ссылку на ресурс, каталогизированный системой киберразведки как фишинговый. В течение следующих 5 минут аналитики SOC с использованием SOAR-системы запросили список пользователей-получателей данного сообщения, получили данные с корпоративного прокси-сервера и том, кто из сотрудников все же перешел по ссылке, и связались с пользователем, который подтвердил их догадки. В течение следующих 10 минут устройство пользователя было изолировано от сети, очищено от вредоносного dropper-модуля, пароль к учетной записи пользователя был изменен, а на сетевом экране было создано правило блокирования подключений к инфраструктуре вредоноса. Как видим, в течение 16 минут было осуществлено реагирование на данный киберинцидент, и ущерб от данной атаки можно считать ничтожным. Если же данные действия не были осуществлены в течение, скажем, 1-2 часов, то атакующие, поняв, что их dropper-модуль оказался в крупной компании, дали бы команду на загрузку дополнительных вредоносных компонент, которые бы запустили процесс шифрования устройства пользователя и подключенных к ПК сетевых дисков с целью получения выкупа за дешифрование, сумма которого может доходить до нескольких миллионов рублей.


Кроме описанного принципа измерения временных метрик реагирования, некоторые компании применяют также и неординарные оценки трудоемкости реализации успешных атак на них, например, сопоставляя стоимость «пробива» данных клиентов компании в Даркнете по сравнению со стоимостью аналогичной нелегальной услуги для компаний этого же сегмента. Некоторые организации также могут оценить эффективность выстроенной системы работы с персоналом путем анализа наличия предложений от инсайдеров по предоставлению внутренней информации компании на нелегальных досках объявлений. Данные об эффективности выстроенной системы защиты могут дать и тесты на проникновение, и результаты тестирований Red Team (эмуляция действий настоящих атакующих с длительной подготовкой и планомерной реализацией), и данные от подразделений киберразведки в части привлекательности и сложности взлома компании среди киберпреступников.

Практика ИБ Метрики ИБ Подкасты ИБ СЗИ IRP SOAR SOC SIEM

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют