Демонстрация окупаемости испытаний на проникновение (Часть третья)

Краткое обозрение

В первой части этого цикла статей мы вели общую дискуссию на тему демонстрации окупаемости испытаний на проникновение сравнивая pen-тест с медоcмотром. Основной идеей было научить профессионалов в сфере безопасности думать как бизнес менеджеры в плане оправданности затрат на защитные инициативы и вложения в безопасность. Во второй части мы останавливались на определении испытаний на проникновение как подраздела оценки безопасности путем введения оценки информационных активов и концепций риск менеджмента. Основной целью было признать, что демонстрация возврата инвестиций в безопасность на примере Pen-теста является довольно сложной попыткой. Было предложено, что оправдать затраты можно путем объединения проекта окупаемости испытаний и теста. Мы использовали пример, основанный на Web-поректе ERP. Профессионалы в области безопасности должны были понимать и изучать язык бизнеса вместо того, чтобы полагаться на фактор СНС (Страх, неуверенность, сомнение). Затруднение состоит в понимании ценности информационных активов, которые в нашем примере были представлены как комбинация технического программного обеспечения, сетевых служб и приложений, вовлеченных в Web-проект. Окупаемость испытаний и ССВ (Совокупная стоимость владений) были рассчитаны еще до того, как проект начал развиваться и реализовываться. Мы предложили, что Pen-тест и его результаты станут важной вехой для проекта и решат, будет ли проект запущен, или нет.

Идем далее – риск анализы

В этой части мы сфокусируемся на определении терминов относящихся к процессу риск анализа и методам оценки информационных активов. Эти концепции очень важны для понимания, анализируя необходимость и расходы на Pen-тест. Компаниям нужны стойкость и способность выживать. Опыт с червями Blaster и Sobig показал, что один единственный червь может привести всю сеть в нерабочее состояние, переполнить MTA, перегрузить сервера, вывести из строя рабочие станции, и принести разрушения в среду информационных систем. Утрата производительности сотрудников, лишние издержки на системных администраторов, потеря данных, уменьшение прибыли еще не скоро будут забыты. Эти события сделали более приемлемыми инициативы по безопасности. Эти черви напомнили, что мы владеем информационными активами, требующими защиты в ее различных формах. Должно быть несколько уровней защиты: на сетевом уровне, на уровне операционной системы, на уровне приложений, а также в наших политиках, процедурах и поведении. Pen-тест пытается пройти сквозь уровни, используя слабинки и уязвимости на каждом из них. Для компаний, не сделавших оценку влияния бизнеса и риск анализ, во время эпидемии червя, автоматически выделились информационные активы, требующие защиты.

Закон Уилсона

По закону Меткальфа – компания, подключившая некоторое количество (N) цифровых устройств к своей сети, получит N² в плане производительности. По закону Мерфи - если что-то должно случиться не так, то так и будет. Давайте сольем эти высказывания и получим закон Уилсона: Компания, подключившая некоторое количество (N) цифровых устройств к своей сети, производительность не только не будет равна N², но и компания потерпит убытки.

Термины и обозначения

Риск менеджмент состоит из проведения риск анализа, включая анализ денежных средств на защиту, требуемую для информационных активов, многократные процессы внедрения, наблюдения и управления средствами защиты. Цель риск анализа – подсчет ущерба от различных угроз и уязвимостей, а также от потери функциональности бизнеса в случае реализации угрозы. Под активами мы понимаем ресурсы, компьютерную инфраструктуру (оборудование, ПО, сети), процессы или продукты. Все, что угрожает конфиденциальности, целостности или доступности актива зависит от материального и нематериального определения риска. При оценивании актива важно определить совокупную стоимость владения для каждого актива. Угроза – это нежелаемое влияние, удар. Уязвимость – недостаток или слабинка в защите или мерах безопасности. Меры безопасности – механизм, используемый для уменьшения возможности возникновения угрозы или уязвимости. Наряду с вышеперечисленными обозначениями следует также понимать:

Понимание того, что следует защищать

Давайте рассмотрим эти формулы на примере нашего ERP Web-проекта, ООО «Придуманное предприятие» планирует увеличить объем электронных транзакций со своими поставщиками с 30% до 80% на протяжении 2 лет. На данный момент они используют пакет ERP (SAP) для операций с поставщиками, но из-за проблем с безопасностью доступ обеспечен только трем самым крупным поставщикам. Поставщики должны использовать VPN для доступа в безопасную часть сеть нашего предприятия, а основанной на веб внешней сети не существует. Для предоставления возможности большему количеству не таких крупных поставщиков производить операции с компанией, начал разрабатываться крупный проект, связывающий пакет ERP с веб. Тем не менее, при таком подходе имеет место серьезный бизнес риск и возникают вопросы, касающиеся безопасности, так как этот подход значительно видоизменяет процесс ведение бизнеса и способы взаимодействия с поставщиками. Подсчеты ROI уже сделаны для оправдания «инициативы ERP поставщик-экстранет». ССВ (Совокупная стоимость владений) требует включение Pen-теста, и перед специалистом по безопасности стоит задача убедить правление в том, что успешное завершение проекта зависит от результатов Pen-теста. Для того, чтобы правление компании поняло значение Pen-теста, требуется дальнейшая работа.

Актив, или активы, требующие защиты должны быть определены и оценены. В нашем проекте, составляющие уже были составлены и в данном случае различные компоненты для системы определены. Такими компонентами могут быть:

Описание актива и классификация предшествуют его оцениванию, и если клиент не представляет себе четкую картину значения каждого актива, то ему следует задать некоторые вопросы по мере развития проекта. Военные и федеральное правление имеют четко отлаженный процесс классификации информационных активов, хотя в нашем случае вполне хватит общей теории. Значение актива должно базироваться не только на материальных ценностях (ССВ, издержки на переоборудование, сверхурочные), но и на нематериальных, которые труднее всего оценить (специальные знания сотрудников). На примере Web-проекта, если один из важных компонентов системы выходит из строя, это означает, с точки зрения конечного пользователя, что вся система вышла из строя. Так же, если один из уровней безопасности выходит из строя, то вся система подвергается риску. В зависимости от уровня комфорта, встроенного в систему, выход из строя одного из компонентов может затронуть всю систему. Полный комфорт – очень хорошая вещь, которая повышает требования к безопасности на всех уровнях.

Мы живем в мире знаний и информации, и понимание нематериального для нас является очень важным. Далее следую вопросы, которые должен задать специалист по безопасности своим клиентам, чтобы помочь понять значение Pen-теста, целью которого является обнаружение возможных слабинок в построении все системы.

Значение тестирования

Базы данных – часто самый важный актив из всех, поскольку содержит конфиденциальную, чувствительную и ценную информацию для организации. Целью Pen-теста будет обойти все уровни безопасности, получить доступ к базе данных и поставить ее под угрозу каким-либо способом. По мере того, как тестирующий проходит уровни безопасности одни за другим, все слабинки документируются. Снова же, с точки зрения конечного пользователя, если система работает без сбоев, насколько это хорошо? Например, инцидент безопасности может состоять в том, что хакер вывел web-сервера из строя посредством DoS атаки. Это повредило самый важный актив – базу данных? – Нет. Сделало ли это систему недоступной для пользователя? – Да. Даже если БД является самым важным активом, каждый компонент системы является также важным для успешной работы системы. Значение Pen-теста – понять, где находятся слабинки во всей системе, и помочь клиенту определить, что есть средства защиты, комфорт и меры безопасности, и на каком месте они должны находиться. Обозначение актива и его значимость важны, но боле важным является понимание зависимостей между компонентами и системой как следующий шаг в процессе риск анализа.

Риск анализ требует количественную и качественную информацию. Множество коммерческих продуктов автоматизируют процесс риск анализа, хотя, как ранее говорилось, качественные данные очень сложно получить. Часто требуется персональная беседа с персоналом, занимающимся разработкой, внедрением, реализацией, поддержкой и управлением всей системы. Оценка значения актива определена (более о методах мы расскажем позже), потенциальные угрозы могут быть проанализированы (слабинки и уязвимости задокументированы в процессе Pen-теста) и потенциальные потери могут быть рассчитаны на год на основе знаний о том, как часто может существовать угроза (основываясь на существующей информации: CERT, Symantec, @Stake и собственном опыте).

Вернемся к инциденту. Если Web сервер поставщика будет в оффлайн на протяжении одного дня, то издержки и убытки обойдутся компании в $1M за день (SLE) - переустановка аппаратной/программной части, нарушений сроков производства, потеря производительности, потеря доходов, задержка оплаты и т.д. Основываясь на существующих данных, предполагаемое ежегодное количеств потерь (скажем 50%) умноженное на издержки одного инцидента равно ожидаемой ежегодной потере в $500 000. Организация оценивала базу данных поставщика как самый важный актив, хотя и инцидент безопасности даже не нарушил БД. Инцидент только закрыл доступ к БД, что принесло вред цепочке поставки. Оценка активов заключается не в составлении ССВ, затраченных ресурсов и т.д., а в понимании того, какие потери понесет организации в случае выведения из строя одно из активов. Вот почему, Pen-тест так важен для ведения бизнеса он-лайн. Информационные системы комплексны и соединены между собой. Пониманием зависимостей между активами и эффектом бреши в сетевом компоненте и занимается Pen-тест.

Потребность в осознанных оценок.

Существует огромная потребность в осознанных оценках, когда речь идет о оценивании информационных активов и выборе подходящих мер безопасности. Уровневая безопасность может требовать огромных вложений. На следующие вопросы компании должны дать конкретный ответ:

Что именно мы стараемся защитить?
Почему именно мы это пытаемся защитить?
Как лучше всего это защитить?
Что именно случится, если мы это не защитим?
Сколь это будет стоить?

Pen-тест пройдет большой путь отвечая на эти вопросы. Хорошо продуманный и задокументированный Pen-тест может обнаружить активы, которые были забыты или не учтены, обнаружить потенциальные слабинки и уязвимости, продемонстрировать зависимости и зависимые слабинки в системе.

Существуют сложные методы оценивания информационных активов, понимание зависимостей и крушение сложных информационных систем. Существуют также простые методы. Например: простой подход может начаться с отчета инвентаризации информационных систем. Добавьте несколько колонок, описывающих цель каждого актива, колонку для зависимостей и колонку для оценки значения актива для организации (низкий, средний, высокий). Как оценить значение? Спросите, какое влияние на организацию будет иметь потеря, кража или выведение из строя этого актива. Это первый шаг, с которого следует начать. Непросто также выбрать меры безопасности, основываясь на значении актива для бизнеса. Именно зависимости систем позволяют выбрать нужные меры безопасности.

Существует метод для принятия комплексных решений, который может использоваться для выбора правильных мер безопасности и защиты для комплексных информационных систем – Аналитический Иерархический процесс – (AHP), разработанный Томасом Саати (Thomas Saaty) предоставляет возможность делать комплексные решения посредством субъективных и объективных временных оценок, предоставляя возможность проверки последовательности этих оценок и альтернатив. Полезно делать комплексные решения с помощью множественных критериев. Организация может разбить компоненты всей системы на отдельный активы, используя метод, включающий цель, критерии и альтернативы и позволяющий дать соответствующую оценку каждому компоненту. (Оценка определяется путем определения влияния потери актива на бизнес). Сравнительные выборы можно сделать с помощью оценивания.

Заключение

Для специалиста по безопасности достаточно понимать, что комплексные методы существуют и должны быть рассмотрены. Хорошо, что многие организации собирают информацию о возможных угрозах и уязвимостях и публикуют ее, так что частоту и типы атак можно понять. Хорошо также, что многие общества по безопасности работают вместе, если дело касается угроз по Интернет. Оценивание не являются большой проблемой будущего. Проблема будущего – это комплексность и взаимозависимость соединенных между собой глобальных систем.

В четвертой и последней части мы будет обсуждать процесс Pen-теста и типы мер безопасности, которые сможет использовать наша виртуальная компания, и сделаем финальное утверждение о том, как ROSI может себя оправдать.