Демонстрация окупаемости испытаний на проникновение, часть вторая

Марсия Уилсон, перевод SecurityLab.ru (c)

Когда разговор заходит о демонстрации окупаемости (ROI) мероприятий по обеспечению безопасности, специалисты разделяются на два лагеря. Одни утверждают, что это абсолютно невозможно, и даже не стоит пытаться. Другие верят, что это не только возможно, но также очень важно и абсолютно необходимо. Где-то между этими крайними точками зрения лежит правдоподобная методика демонстрации ROI для большинства мероприятий, связанных с безопасностью, включая испытания на проникновение.

В первой части этой серии статей мы обсуждали необходимость понимания финансовых терминов по отношению к обоснованию расходов на безопасность. Мы также обсудили идею связи мероприятий по обеспечению безопасности с повышением производительности и прибыли. В частности мы использовали примеры организации VPN и испытаний на проникновение, как части веб-проекта. В этой серии статей мы сконцентрируем наше внимание на демонстрации ROI для испытаний на проникновение, тем не менее, важно понимать, что обсуждение ROSI (возврат от инвестиций в безопасность) может быть применено к более широкому кругу услуг и продуктов безопасности.

Риски безопасности против бизнес-рисков

Скептики уверены, что риски безопасности и бизнес-риски не имеют ничего общего. ROI применим к бизнес рискам, когда бизнес совершает добровольный выбор конкретной инициативы и ожидает от нее отдачи, как в примере с ERP системой на веб, описанной в предыдущей статье. В свою очередь, риски безопасности это неизвестная величина, и бизнес не может сделать добровольный выбор, но надеется уменьшить риск и защитить себя от потенциальных потерь, при помощи реализации различных мер безопасности и следуя общепринятым практикам. Отношения между рисками и мерами безопасности представляют собой набор большого числа отношений типа один ко многим и многие к одному, поэтому довольно трудно посчитать настоящие риски и стоимость соответствующих мер безопасности. Дополнительными факторами, усложняющими нашу задачу, являются изменения технологий, усложнение методик и инструментов атак, используемых хакерами, и непрерывно увеличивающаяся сложность сетей по мере того, как мы все больше и больше нуждаемся в постоянном соединении с другими людьми. Люди всегда пытаются сознательно или бессознательно обойти используемые системы безопасности. Короче говоря, существует множество переменных и неизвестных при подсчетах рисков.

Не идем ли мы по ложному пути?

Представим себе, что попытка доказать окупаемость инвестиций в безопасность является некорректной задачей. Можем ли мы тогда предоставить доводы для обоснования этих затрат в рамках проекта, который обеспечивает возврат инвестиций? Конечно. Тем не менее, для доказательства положим, что мы наша задача корректна. Можем ли мы рассматривать ценность бизнеса как сумму его частей, одной из которых является информационное имущество? Можем ли мы выяснить ценность каждой части, продемонстрировав значение конкретного блока информации для поддержки одного клиента, приносящего прибыль?

В случае поддержки клиента, который доверяет вам и хочет заниматься бизнесом с вами, прибыль обеспечивается инжинирингом, маркетингом, отделом по продажам, отделом по научно-исследовательским и опытно-конструкторским работам, отделом информационных технологий, главным управлением, профессиональными службами, и да, безопасностью. Рассмотрим вопрос доверия немного подробней. Клиенты пользуются вашими услугами не потому, что они должны это делать, а потому, что они доверяют вам по ряду причин. Одной из этих причин является их вера в то, что компания уделяет достаточно внимания вопросам безопасности. Безопасность начинает выглядеть как часть маркетинга, улучшения репутации, путь к новому бизнесу?… может быть связана с прибылью? Конечно все слишком натянуто, но это возможно! Вы можете анализировать это как хотите, но если вы это сделаете, то поймете, что некоторые отделы, требующие вложений (информационный отдел, отдел безопасности, администрация) могут быть напрямую связаны с получением прибыли, сокращением расходов и повышением производительности.

Популярность испытаний на проникновение

Испытания на проникновение становятся общепринятой практикой для тестирования безопасности ERP решений, основанных на веб. Методы безопасного кодирования становятся стандартизованными. Обеспечение безопасности во время всего жизненного цикла проекта становится более продуманным. Развертывание систем безопасности становится одной из задач проекта, так же как и требования к производительности или к используемым технологиям. Например, организация несет бизнес-риски, основанные на подсчетах окупаемости инвестиций в разработку веб-проекта, описанного в первой статье этой серии. Испытания на проникновение должны быть одним из этапов разработки проекта, так же как, например, испытания на производительность. Если у вас есть такая возможность, захватите часть средств на проведение испытаний на проникновение.

Но что если вы специалист по безопасности и пытаетесь доказать управлению, что испытания на проникновение должны быть частью уже готового проекта? Это белее сложно, но возможно. Вы должны использовать язык бизнеса и размышлять так же, как менеджмент компании.

В любом из примеров, инициативы касающиеся безопасности должны соответствовать задачам бизнеса и прибыльности для того, чтобы стать частью сценария окупаемости инвестиций. Если инициатива безопасности может быть понята в терминах производительности пользователей, прибыли на сотрудника, уменьшении стоимости бизнеса, улучшений времени цикла, а также уменьшении риска, мы можем идти дальше в обосновании затрат. Для начала мы должны определить и понять испытания на проникновение и их задачи, как они связаны с обеспечением общей безопасности и основные методики испытаний. Будет также полезно определить и понять концепции управления рисками и их связь с оценкой значения информационного имущества.

Информационные активы

Испытания на проникновение являются подмножеством мер по обеспечению безопасности. Их целью является получить доступ к системе, требующей авторизации. Может быть получен доступ к операционной системе, приложению или серверу баз данных, которые могут быть определены, как информационный активы. В случае успеха испытания на проникновение, вы получаете неавторизованный доступ к информации. Как вы поступите с полученной информацией, зависит от цели испытаний на проникновение. Может быть вы собираетесь украсть её, повредить или сделать бесполезной, использовать её, как основу для получения более важной информации или сделать информацию недоступной для использования в бизнесе? Целю испытаний является проникновение в защищенную систему, поиск и использование уязвимости, документирование уязвимости, заметание следов и отход. Испытание на проникновение должно включать в себя описание информации, к которой вы пытаетесь получить доступ, оценку значимости этой информации для организации, описание используемых методов, определение критериев успеха, что вы собираетесь делать с полученной информацией, как вы собираетесь избежать повреждения информации и как предоставить результаты работы.

Вы должны понимать значение информации для организации для того, чтобы продать результат теста. Вы также должны быть готовы объяснить, что за одной атакой могут последовать и другие.

Техника испытаний на проникновение

Уже написано большое количество отличных статей и книг о том, как проводить испытания на проникновение, поэтому я не буду тратить здесь место, повторяя эту информацию. Достаточно сказать, что консалтинговые компании делают это по-разному. В некоторых компаниях это высоко организованный процесс и имеется вполне определенный набор используемых инструментов. Другие используют консультантов, имеющих хакерский склад ума и использующих инструменты в зависимости от типа теста, типа атакуемого окружения, уровня сложности и их собственного опыта. Существует несколько основных шагов: определение цели, сбор информации, выявление уязвимости, планирование теста, использование найденной уязвимости (атака и проникновение), получение результатов, заметание следов.

Испытания на проникновение не являются: поиском уязвимостей, полной оценкой безопасности, этическим взломом или вторжением. Испытание на проникновение это хорошо определенное испытание со своими специфическими параметрами, целью которого является получение неавторизованного доступа к информации. Испытания на проникновение могут быть частью полной оценки безопасности, но чаще фигурируют отдельно. Для получения более подробной информации по этому вопросу, можно почитать следующие книги: Web Applications, написанную Joel Scambray и Mike Shema (McGraw Hill), книги John Chirillo's, и конечно же серию Hacking Exposed, включающую в себя Web Hacking Attacks and Defense авторов McClure и Shah (Addison Wesley). Прочитав эти книги можно понять, что определения, методы и инструменты могут значительно варьироваться. Более важно определить цели испытания, понять значение информации и связать ваши результаты с управлением рисками, а также целями бизнеса.

Оценка информационных активов

Оценка информационных активов является частью оценки влияния бизнеса. Существуют количественные и качественные показатели, позволяющие организации оценить стоимость активов. Как мы и обсуждали, до проведения испытания на проникновение, чтобы оценить расходы на проведение испытания, должна быть известна стоимость целевых активов. Оценка актива, выполненная в течение анализа затрат и результатов, часто необходима для обеспечения безопасности, она определенно влияет на выбор средств защиты и по юридическим причинам является важной для демонстрации «должной заботы».

Организации, завершившие оценку влияния бизнеса, облегчили работу Пен тестерам. Для организаций, которые не провели такую оценку есть смысл сделать это. Основными компонентами для определения ценности актива являются: понимание начальной и последующей цены покупки, лицензирования, разработки и поддержки актива; понимание значения продукции, исследования и диагностики, стойкость модели бизнеса; утвержденная ценность актива на внешнем рынке включая интеллектуальную собственность, патенты или копирайт. Если организация является единственным продавцом товара xyz по Интернету, то это определенно приглашение для хакеров. Скажем по другому: Если ваша модель бизнеса заключается в предоставлении информации и услуг таких, как выплата платежей, пособий или страховки по Интернету способом, который никогда ранее не применялся, то вам лучше предоставлять эти услуги безопасным образом, иначе вы можете оказаться в очень сложной ситуации. Большинство компаний не выставляют на показ свои средства защиты, не обращают большое внимание на безопасность и надеяться на удачу. Принцип страуса. Как бы ни было, делая вклады во всевозможную безопасность, вы защищаете именно свое будущие.

Концепции риск менеджмента

Концепция демонстрации ROI заставляет отказаться от концепции риск менеджмента, однако важно понять, от чего вы пытаетесь отказаться. Риск менеджмент состоит из понимания самих рисков путем проведения анализов риска, внедрения, просмотра и поддержки соответствующих методов защиты, основанных на оценке активов. Одной из главных причин недовольства попыткой демонстрации ROSI является то, что целью безопасности есть уменьшение риска, а не увеличение доходов, экономия средств или увеличение продуктивности. Если будет обнаружена брешь в системе безопасности, то это чревато потерей некоторых информационных активов или крахом бизнеса, возможностью уменьшения доходов, повышением издержек и потерей продуктивности. Риск менеджмент требует предотвращения подобных потерь. Далее, в следующих статьях, мы более подробно опишем стандартные формулы и примеры риск менеджмента, а сейчас мы ищем путь изменить наше мышление, сфокусированное на издержках. Как методы испытания безопасности, такие как pen тест, могут сделать позитивный вклад в увеличение доходов, рост продуктивности и уменьшению издержек?

Риск менеджмент против ROSI

Это основной вопрос нашей проблемы. Собираемся ли мы рассматривать пен тест только в пределах риск менеджмента, или так же ожидаем от него отдачу? Давайте рассмотрим такой случай: Организация достигла успехов в определении информационных активов, установив высокую цену, а затем проанализировала затраты и результаты на каждый информационный актив. Далее, следует определиться со средствами, которые будут использоваться для защиты активов и посчитать издержки на покупку, установку, эксплуатацию и поддержку. В нашем примере Интернет - проекта, pen тест является частью процесса определения требуемых средств защиты. Результаты теста, отчеты могут помочь получить данные об уровне риска, который может быть ассоциирован с обычной незащищенностью, и как часто эта незащищенность может привести к краху бизнеса. И, наконец, вычтем средства, затраченные на защиту согласно ROSI. Скептики скажут, что недостаточно информации, нет точных и надежных данных для создания прогноза на год. Однако, возникают ситуации, доказывающие, что все больше организаций готовы извещать об инцидентах безопасности, и что изменение законодательства для обязательного отчета таких инцидентов необходимо.

Анализ рисков необходим для доказательства ROSI

В следующей статье мы более углубимся в методы риск анализа и формулы на примере нашего Интернет – проекта. Мы, также, будем брать во внимание, что многие организации не знают, как оценить свои информационные активы, и вкратце опишем процесс аналитической иерархии. Мы также обсудим доступные данные, и приведем пример использования их в вашей организации.