27.08.2002

Обоснование расходов на системы обнаружения вторжений.

Положительный возврат инвестиций (ROI - return on investment) в системы обнаружения вторжения (IDS - intrusion detection systems) зависит от стратегии организации и от того, насколько хорошо применение и управление этой технологией помогает организации в достижении поставленных тактических и стратегических целей. Инвестиции организаций, желающих рассчитать пользу от IDS до ее установки, напрямую зависят от их возможности продемонстрировать положительный ROI. Как правило, трудно рассчитать ROI для устройств сетевой безопасности, в частности потому, что сложно точно рассчитать риск вследствие субъективности его измерения. Кроме того, не всегда для учета доступна статистика риска, связанного с бизнесом.

 Михаил Разумов, по материалам SecurityFocus

Введение

Положительный возврат инвестиций (ROI - return on investment) в системы обнаружения вторжения (IDS - intrusion detection systems) зависит от стратегии организации и от того, насколько хорошо применение и управление этой технологией помогает организации в достижении поставленных тактических и стратегических целей. Инвестиции организаций, желающих рассчитать пользу от IDS до ее установки, напрямую зависят от их возможности продемонстрировать положительный ROI. Как правило, трудно рассчитать ROI для устройств сетевой безопасности, в частности потому, что сложно точно рассчитать риск вследствие субъективности его измерения. Кроме того, не всегда для учета доступна статистика риска, связанного с бизнесом.

При рассмотрении внедрения IDS технологий, возврат инвестиций можно оценить, анализируя разницу между ожидаемыми ежегодными потерями (ALE - annual loss expectancy) без IDS и ALE с установленной IDS, с учетом технологических затрат и затрат на управление. В итоге, начальной целью является доказательство того, что выгода от уменьшения ALE при установке и эффективном управлении IDS технологии выше, чем стоимость установки и управления IDS. Мы проанализируем, как методы реализации, управления и политика IDS влияют на ROI. Эта статья продемонстрирует значение хорошо продуманной реализации и эффективного управления IDS технологией и закончится (во 2й части) несколькими упражнениями для расчета ROI.

Преимущества HIDS и NIDS

Система обнаружения вторжения подразделяется на две разные технологии: сетевые (NIDS - Network IDS) и хостовые (HIDS - Host-based IDS). Главное достоинство NIDS в том, что она может контролировать с одного места всю сеть или любую подсеть. Таким образом, NIDS может обнаруживать зондирование, сканирование, злонамеренную и аномальную активность в пределах всей сети. Эти системы также могут служить для создания картины трафика в сети, а также для поиска сетевых неисправностей. При использовании механизмов автоответа, NIDS могут защитить независимые хосты или всю сеть от злоумышленников. Однако, есть у NIDS и свои слабости. Это – его подверженность к ложным тревогам и неспособность к обнаружению некоторых атак, называемых ложными отрицаниями (false negatives). NIDS также не способны понимать хост-специфичные процессы и защищать от неавторизованного физического доступа. Технология HIDS закрывает многие из этих проблем. Однако, она не способна контролировать всю сеть, как это делает NIDS. Лучшим способом для минимизации риска является комбинация этих двух систем, где NIDS установлена на границе сетей, а HIDS – на критичных серверах, таких как сервер баз данных, Web-сервер, или важный файл-сервер.

Вообще говоря, большинство из хостовых IDS имеют стандартную архитектуру, в которой хост-системы работают как хост-агенты, передавая данные на центральную консоль. Общая их стоимость может колебаться в зависимости от производителя и программного обеспечения. Цена на агенты колеблется от $500 до $2000 за каждый, а консоли могут стоить в диапазоне $3000-$5000. Это не включая ОС, оборудования и обслуживания. Сетевые IDS могут работать как одиночные хосты с возможным интерфейсом управления, или консолью. Ориентировочная стоимость на них - $5000-$20000 в зависимости от производителя, полосы пропускания и функциональных возможностей. Консоли управления могут бесплатны или стоить несколько тысяч долларов, в зависимости от производителя. При этом в цену не обязательно входят оборудование и необходимые базы данных.

Сколько стоит управление IDS?

Общая стоимость работы IDS зависит от цены реализации в сочетании с ценой управления. Предоставить управление IDS человеку, неопытному в этой технологии – плохая идея, о чем будет еще сказано позже. Некоторые стандартные реализации и методы управления IDS включают в себя использование MSSP (Managed Security Services Provider), использование одного инженера и круглосуточное посменное обслуживание (24x7x365) квалифицированным персоналом. Безусловно, все зависит от размера организации и соответствующего IT бюджета. Для маленьких реализаций IDS поддержка MSSP гораздо предпочтительнее, чем круглосуточное управление штатом специалистов. В больших реализациях IDS различие цены между управлением высококвалифицированным собственным штатом и MSSP значительно уменьшается. Поддержка одним инженером представляется нереальной для управления 30 устройствами безопасности. Также, эта модель не учитывает разработку частных инструментов для эффективного управления несколькими различными технологиями.

Механика риска

Чтобы подготовиться к следующей части, где мы создадим свою гипотетическую компанию и рассчитаем ROI, основанный на эффективной установке и управлении технологиями HIDS и NIDS, мы должны будем сформулировать целостный подход для анализа риска, и заодно представить несколько новых концепций. В нашем аналитическом подходе для расчета ROI, мы будем использовать обычные формулы и определения, связанные с оценкой активов, подверженности воздействиям, угрозой, уязвимостью и ожидаемых потерь. Добавленный нами фактор, называемый каскадным коэффициентом угрозы (CTM - Cascading Threat Multiplier), позволяет нам расширить широко используемую формулу для вычисления ожидания единичной потери (SLE - Single Loss Expectancy): SLE = Exposure Factor (EF) x Asset Value (AV). (Exposure Factor – фактор подверженности воздействиям, Asset Value – ценность актива.)

Чтобы подчеркнуть важность неочевидных соображений, которые помогут нам применить наш целостный подход для количественного измерения риска и расчета ROI, при расчете активов компании необходимо учитывать престиж фирмы и скрытые издержки. Хотя неочевидные факторы добавляют субъективность в анализы риска и возврата, тем не менее их важно учитывать. Стоит отметить, что обычно организации недооценивают ценность некоторых данных, не осознавая, какую роль они играют в «общей картине». Такова человеческая природа – когда есть выбор, идти по пути наименьшего сопротивления. Но это очень опасный путь для тех, кто намерен дать верную оценку активов данных, находящихся в их сети. Понимание материальных затрат и пользы от актива гораздо проще, чем понимание неочевидных затрат и пользы от того же актива. Разъяснение этого вопроса – одна из наших задач, и мы постоянно будем обращаться к ней в этой статье при вычислении ROI.

Следующие формулы, применяемые обычно для анализа риска и возврата, получены из различных источников в Интернет и в печати.

  • Asset Value (AV) = hardware + comm. software + proprietary software + data

Можно измерять информационное значение активов, оценивая стоимости разработки, приобретения, лицензирования, поддержки и замены ресурса. (Из StrongBox Security™ Web site)

  • Exposure Factor (EF)

Фактор подверженности воздействию (Exposure Factor) представляет собой процент потери, который могла бы принести реализованная угроза на определенном активе [когда определенная угроза совпадает с определенной уязвимостью]. (Из StrongBox Security™ Web site)

Угроза – единичное событие, которое имеет возможность причинить вред активу. Угроза обычно проявляется через уязвимость в информационной системе. (Из StrongBox Security™ Web site)

Уязвимость – это известный или неизвестный недостаток, который может быть взломан некоторым количеством известных или неизвестных угроз.

  • Single Loss Expectancy (SLE) = EF x AV

В итоге, риск рассчитывается в денежных единицах. Для любой определенной угрозы, мы берем ценность подверженного ей актива и умножаем ее на фактор подверженности. В итоге получается ожидаемая при исполнении угрозы потеря, которая и называется ожиданием единичной потери. (Из Network Intrusion Detection; An Analyst's Handbook, 2nd Edition by Stephen Northcutt and Judy Novak)

  • Annual Loss Expectancy (ALE) = SLE x ARO

Ожидание ежегодной потери (ALE - Annual Loss Expectancy) – это ожидаемые за год финансовые потери актива от одной определенной угрозы (Из StrongBox Security™ Web site)

Ежегодная частота проявления (ARO - The Annual Rate of Occurrence) – это ожидаемое количество проявлений угрозы по отношению к определенному активу. Чем больше риск (относящийся к угрозе), тем выше значение ARO. (Из StrongBox Security™ Web site)

Теперь добавим новую концепцию, Cascading Threat Multiplier (CTM). Она значительно поможет нам в нашем анализе и продвинет нас ближе к получению более точного расчета ROI, что, в свою очередь, сможет помочь нам в определении эффективности или неэффективности установки IDS на заданную сеть.

CTM – это несколько субъективный множитель, который будет добавлен в наше расширенное определение SLE. CTM фактор учитывает важность других критических активов, связанных с тем, который анализируется в расчете SLE. Это также заставляет нас рассматривать более полную картину при анализе рисков, связанных с данным активом. Формула для CTM выглядит следующим образом:

  • Cascading Threat Multiplier (CTM) = 1 + ((UEA x EFS) / AV)

В этой формуле, нижележащие уязвленные активы (UEA - Underlying Exposed Assets) измеряются в долларах. Это активы, которым нанесен ущерб вследствие реализованной угрозы определенному активу. Asset Value (AV) соответствует представленным выше вычислениям. Secondary Exposure Factor (EFS) представляет собой вторичный фактор подверженности воздействию и относится к проценту потери UEA. EFS очень похож на EF, с некоторыми небольшими различиями. Главная причина введения EFS – это учет важности логического расположения актива внутри сети. Например, если актив – это Web-сервер, не имеющий доступа внутрь сети или к какому-либо корпоративному серверу, EFS должен быть низким, поскольку маловероятно, чтобы хакер смог использовать этот актив для дальнейшего взлома сети. Но если актив находится в том же домене, что и остальные серверы (такие как e-mail, DNS, FTP), или нет контроля доступа между активом и другими серверами, тогда EFS будет выше. Примерами являются сервера, предлагающие некоторые публичные сервисы, но заключенные в пределах внутренней сети, или сервера, имеющие SSH ключи на все остальные сервера.

Важно знать, какие активы легко (и не очень) доступны с определенного сетевого актива, после того как последний будет взломан. Когда этот актив взломан и используется как стартовая точка для атак на другие активы внутри и вне сети компании, компания может понести огромные потери. Если атака от взломанного актива направлена на другой актив вне организации, даже если сам владелец не участвовал в злонамеренной деятельности, ему наверняка придется за это отвечать. Можно предположить значение UEA фактора в выражении для SLE, представляющего часть доверенных активов бизнес-партнеров. Легко себе представить удар по бизнесу, с которым бы столкнулась исходная организация, если бы один из их взломанных активов использовался как стартовая точка для взлома активов бизнес-партнеров. Каков риск, выраженный в долларах, в нерассмотрении активов бизнес-партнеров при вычислении активов вашей компании, когда они, будучи взломаны, могут дать доступ к более чувствительным данным и системам? Концепция CTM напоминает нам тщательно изучать активы, находящиеся под нашим контролем, проводить более полные оценки этих активов, и точнее измерять ущерб, который может нанести организации взлом этих активов. Давайте предположим, что взломан Web-сервер, и затем использован злонамеренным лицом как стартовая точка для атак на другие сетевые активы ценностью в десять раз большей (в долларах), чем данные, содержащиеся на Web-сервере. Поскольку злоумышленник скачет от актива к активу, проникая все глубже в сеть, он, в конце концов, может получить доступ к критичным данным на уязвимом активе глубоко внутри сети компании. CTM для Web-сервера должен рассчитываться следующим образом, если мы предполагаем, что EFS равен 70%, а UEA = 10: CTM = 1+((10 * .7) /1) = 8. То есть CTM увеличивает SLE для взломанного сервера в 8 раз. Для наглядности проследите за белой стрелкой на рисунке, идущей от взломанного Web-сервера:

Применяя концепцию CTM к расчету SLE, получаем новое выражение:

  • SLE = EF x AV x CTM

Хорошие профессионалы безопасности, возможно, уже учли концепцию CTM путем включения в свои расчеты методологии, которая содержит более субъективные, неочевидные факторы в определении величины AV. Как замечено выше, престиж фирмы (т.е. доверие партнеров и потребителей) и скрытые издержки (например, если не рассматривать эффект влияния взломанного актива на другие) представляют собой нечто аналогичное нашей CTM концепции, где эти неочевидные факторы учтены в величине AV, используемой для расчета SLE. Важность учета неочевидных ценностей, и понимание риска, связанного с ними, есть один из необходимых факторов анализа риска и возврата. Добавляя концепцию CTM в традиционный расчет SLE, мы пытаемся включить неочевидные аспекты оценки активов, чуть ближе подходя к истине.

И, наконец, подведем общую формулу для расчета ROI:

  • Return on Investment (ROI) = Recovery Cost (R) - ALE, где ALE = (R-E) + T, где E равняется $, сохраненным от предотвращения атаки и T равняется цене продукта по обеспечению безопасности. ("Security still a 'Net lifestyle issue" by site M.H. (Mac) McMillan, April 8th, 2002, Reprinted from tech.first, a special publication of Business First.)       
или введите имя

CAPTCHA