Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1


  |  Слушать на Spotify  |  Слушать на Яндекс Музыке  |   Слушать на Anchor.fm  |   Слушать на Breaker  |   Слушать на Google Podcast  |   Слушать на Pocket cast  |  

Руслан Рахметов, Security Vision

Перед руководителями подразделений информационной безопасности зачастую стоят вопросы не столько организации выполнения непосредственных функций по защите информации и реагированию на инциденты, сколько необходимость демонстрации эффективности кибербезопасности и защиты годовых бюджетов, которые компания готова выделить на ИБ.

Не секрет, что для многих топ-менеджеров все непрофильные функции, такие как ИТ и/или ИБ, представляются не «зарабатывающими», а «расходными». И если измерение business value и экономической эффективности ИТ-процессов можно относительно легко перевести в плоскость показателей автоматизации, снижения затрат, повышения удобства и продуктивности работы, то в случае ИБ-процессов аналогичные параметры будут неочевидны. Как доказать руководству, что инцидент ИБ не случился именно благодаря длительной и планомерной работе ИБ-подразделения по созданию внутренних нормативных документов, обучению сотрудников, настройке СЗИ? В случае, когда киберинцидент все же произошел, но не привел к существенному ущербу, как дать понять, что этому способствовала выстроенная эффективная система оперативного выявления и реагирования на киберинциденты?

Если же в компании нет сомнений в важности и полезности ИБ подразделения, то в такой зрелой среде будут уже другие вопросы: как измерить эффективность работы ИБ-департамента в целом и определенных сотрудников в частности, какие KPI следует применять, как понять целесообразность и продуктивность применения тех или иных мер и средств защиты информации? И на все эти вопросы ответить, разумеется, лучше не качественно и с использованием экспертного метода, а с помощью количественных метрик и проверяемого алгоритма расчета. В этой и последующей статьях мы покажем, как можно оценить экономическую эффективность используемых систем защиты, как измерять показатели снижения ущерба от инцидентов, а также обратимся к лучшим международным практикам и стандартам, посвященным расчету эффективности систем управления ИБ.

В экономике существует такое понятие, как ROI - Return on Investment, или возврат (окупаемость) инвестиций, который характеризует эффективность инвестиционных вложений в бизнес. В разрезе ИБ можно применять параметр ROSI - Return on Security Investment, т.е. возврат инвестиций в безопасность, который характеризует экономическую эффективность систем защиты информации. Считается, что если показатель ROSI больше единицы, то вложение в СЗИ оправдано, при этом чем больше значение параметра ROSI, тем выше будет экономическая эффективность использования того или иного СЗИ.

Для оценки экономической эффективности СЗИ мы будем использовать параметр TCO, т.е. Total Cost of Ownership, т.е. совокупная стоимость владения СЗИ. Данный параметр может включать в себя стоимость самого СЗИ, затрат на его внедрение, техподдержку от вендора, регулярные обновления, зарплату администрирующего СЗИ персонала. Средства защиты, также как и программное и аппаратное обеспечение, можно приобретать по двум принципиально разным моделям, характеризующимися расходами типа CAPEX или OPEX. CAPEX (CAPital EXpenditure) - это капитальные расходы, которые предполагают, что компания приобретает ПО или «железо» в постоянное пользование, например, путем покупки постоянной лицензии на СЗИ, приобретения аппаратного обеспечения, «коробочного» ПО. OPEX (OPerational EXpenditure) - это операционные расходы на сервисы или продукты, работающие по модели «подписки», например, облачные инфраструктуры, арендуемые мощности ЦОД, использование СЗИ по подписке. При расчете параметра TCO (Total Cost of Ownership) в случае CAPEX потребуется учесть не только единовременные затраты на первичное приобретение СЗИ, но и на его обновление, администрирование, настройку платформы, на которой данное СЗИ будет работать (могут потребоваться ОС, СУБД, системы виртуализации, мощное аппаратное обеспечение).

Для расчета параметра ROSI можно воспользоваться формулой

ROSI = (ARO*SLE*MF – TCO) / TCO

где:

ARO - annualized rate of occurrence, среднее количество инцидентов в год в соответствии со статистическими данными

SLE - single loss expectancy, ожидаемые разовые потери, т.е.  «стоимость» одного инцидента

MF - mitigation factor, фактор снижения угрозы с помощью СЗИ (в %).

Значение ARO можно получить, анализируя исторические данные по произошедшим инцидентам, а также путем оценки данных, предоставляемых в аналитических отчетах вендоров и компаний одного сектора экономики. Значение SLE можно получить из системы управления рисками, в которой могут быть учтены ИТ-активы, их стоимость и разовый ущерб от реализации того или иного киберриска. Параметр MF может быть предоставлен как вендором, так и получен самостоятельно на основе анализа и пилотирования тех или иных СЗИ.

Рассмотрим пример:

Стоит задача выбора нового DLP-решения для защиты от утечек данных в компании. На основании данных ретроспективного анализа старой DLP-системы, за последние 10 лет в компании выявлялось в среднем 10 утечек данных в год (ARO=10), при этом средний ущерб от одной утечки составляет 5000000 рублей (SLE=5000000). Значение параметра MF, полученное в результате трехмесячного пилотирования системы DLP в реальной инфраструктуре компании и в «боевых» сценариях использования, составляет 50% (MF=0.5). Значение TCO складывается из стоимости новой DLP-системы (3000000 рублей), годовой компенсации администратора DLP-системы (2000000 рублей), стоимости внедрения силами ИТ-интегратора (500000 рублей), т.е. TCO=3000000 + 2000000 + 500000 = 5500000.

Расчет параметра ROSI будет таковым:

ROSI = (10*5000000*0.5 - 5500000) / 5500000 = 3,54

Таким образом, финансовые вложения в новую DLP-систему видятся экономически оправданными, поскольку значение параметра ROSI больше единицы.

Рассмотрим теперь метрики эффективности ИБ с точки зрения минимизации ущерба от реализации кибератаки. Ни одна компания не может быть на 100% защищена от тщательно спланированной кибератаки, даже добросовестно выстроив эшелонированную систему защиты. Современное вредоносное ПО может вести себя весьма скрытно при первоначальном заражении, однако, чем дольше вредонос находится в атакованной инфраструктуре, тем больше будет ущерб от атаки - в итоге, будут украдены данные, повреждены (зашифрованы) накопители, похищены деньги со счета фирмы.

Таким образом, специалистам по ИБ рано или поздно предстоит иметь дело с реализовавшейся угрозой, и для этого потребуется выполнить действия по обработке киберинцидента. Потребуется выполнить подготовку к отражению инцидента, затем своевременно обнаружить и проанализировать его, затем осуществить операции по сдерживанию, устранению и восстановлению после киберинцидента. Наконец, нужно будет выполнить post-incident действия, провести анализ, откорректировать планы реагирования, возможно, перенастроить системы защиты. Логично будет связать прогнозируемый ущерб от инцидента с временем выполнения некоторых перечисленных активных этапов реагирования: обнаружение, анализ, сдерживание, устранение, восстановление. Рассмотрим такой KPI реагирования на киберинциденты, как MTTD  (Mean Time To Detect), т.е. среднее время детектирования (обнаружения) инцидента - чем данный временной параметр будет меньше при обработке киберинцидента, тем быстрее будут предприняты дальнейшие действия, и угроза не сможет развиться до действительно разрушительных масштабов. Еще одна метрика - MTTR (Mean Time To Respond), т.е. среднее время реагирования на инцидент - характеризует уже временной норматив выполнения действий по непосредственному активному противодействию угрозе: сетевой изоляции зараженных устройств, удалению вредоносных объектов, восстановление инфраструктуры и атакованных устройств в состояние «до атаки».

Рассмотрим пример:

Невнимательный пользователь открыл фишинговое письмо и перешел по ссылке, скачав и запустив на своем ПК вредоносный файл. Данное вредоносное ПО оказалось модульным, и первый компонент (dropper) не предпринимал разрушительных действий в инфраструктуре компании, осуществляя «разведку» путем сбора данных о зараженном ПК, имени учетной записи пользователя, имени домена. Аналитики SOC-Центра в течение 1 минуты получили сообщение от SIEM-системы о том, что в почтовую систему компании было доставлено подозрительное письмо, содержащее ссылку на ресурс, каталогизированный системой киберразведки как фишинговый. В течение следующих 5 минут аналитики SOC с использованием SOAR-системы запросили список пользователей-получателей данного сообщения, получили данные с корпоративного прокси-сервера и том, кто из сотрудников все же перешел по ссылке, и связались с пользователем, который подтвердил их догадки. В течение следующих 10 минут устройство пользователя было изолировано от сети, очищено от вредоносного dropper-модуля, пароль к учетной записи пользователя был изменен, а на сетевом экране было создано правило блокирования подключений к инфраструктуре вредоноса. Как видим, в течение 16 минут было осуществлено реагирование на данный киберинцидент, и ущерб от данной атаки можно считать ничтожным. Если же данные действия не были осуществлены в течение, скажем, 1-2 часов, то атакующие, поняв, что их dropper-модуль оказался в крупной компании, дали бы команду на загрузку дополнительных вредоносных компонент, которые бы запустили процесс шифрования устройства пользователя и подключенных к ПК сетевых дисков с целью получения выкупа за дешифрование, сумма которого может доходить до нескольких миллионов рублей.

Кроме описанного принципа измерения временных метрик реагирования, некоторые компании применяют также и неординарные оценки трудоемкости реализации успешных атак на них, например, сопоставляя стоимость «пробива» данных клиентов компании в Даркнете по сравнению со стоимостью аналогичной нелегальной услуги для компаний этого же сегмента. Некоторые организации также могут оценить эффективность выстроенной системы работы с персоналом путем анализа наличия предложений от инсайдеров по предоставлению внутренней информации компании на нелегальных досках объявлений. Данные об эффективности выстроенной системы защиты могут дать и тесты на проникновение, и результаты тестирований Red Team (эмуляция действий настоящих атакующих с длительной подготовкой и планомерной реализацией), и данные от подразделений киберразведки в части привлекательности и сложности взлома компании среди киберпреступников.

Интересные публикации