Документ обсуждает концепцию проактивного контроля информационной безопасности, подчеркивая важность использования метрик для оценки эффективности существующих защитных мер. Автор, Сергей Гордейчик из Positive Technologies, указывает на необходимость количественных показателей, которые могут быть автоматически измерены и проанализированы. В заключение, акцентируется внимание на том, что метрики безопасности помогают оценивать процессы и общаться с бизнесом на понятном языке управления проектами.

1. Проактивный контроль ИБ Сергей Гордейчик Positive Technologies

2. Что такое «проактивность»? Антивирус новой модели? «Мощная» политика безопасности? Серьезный анализ рисков? Аудит у «солидной конторы»? Пентест «настоящих хакеров»?

3. Анализ рисков? Классическая модель: использование статистики ALE = SLA x ARO . ARO – частота (в год) Проактивность, с задержкой в год?

4. Ситуация Отсутствие «революций» в технических вопросах Все знают, что (не)возможно Большинство защитных механизмов уже реализовано и внедрено Время ROSI прошло? Что остается? Эффективное использование существующих средств Оценка эффективности Корреляция эффективности с принятыми мерами

5. Метрики безопасности Однозначно измеряются, без «экспертного мнения» Доступны для расчета и анализа (предпочтительно автоматически) Имеют количественное выражение (не "высокий", "средний", "низкий") Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость" Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")

6. Примеры метрик Практический любой ИТ и ИБ процесс можно оценивать с помощью метрик Межсетевое экранирование Изменение конфигураций, небезопасные приложения, доступные службы Повышение осведомленности % обученных, заходы на сайты, % нарушающих парольную политику Соответствие требованиям ( compliance ) % соответствия стандартам, управляемость сети, время изменения уровня соответствия

7. Повод для гордости Количество «заблокированных вирусов» Количество «отраженных сетевых атак» Количество отфильтрованного СПАМа ИЛИ Процент узлов с обновляемыми антивирусными базами Отношение количества вирусов в исходящей и входящей почте

8. Источники метрик Антивирусные / антиспам системы Системы класса SEIM/IDS Ручной сбор (системы управления проектами, контроля трудозатрат) Результаты аудитов Системы управления сетью (инвентаризация) Система контроля изменений Системы мониторинга и управления уязвимостями Системы контроля соответствия стандартам ( Compliance management )

9. Чем я хуже? Оценка динамики показателей Сравнение с мировой практикой Где брать метрики? NIST Special publication Center of Internet Security http://www.metricscenter.org/ http://www.securitymetrics.org

10. Резюме Метрики безопасности позволяют оценить практический любой процесс ИБ Метрики позволяют общается с бизнесом в привычных терминах управления проектами Метрики позволяют оценивать динамику процессов и проводить сравнение с общемировой практикой Большое количество метрик может автоматизированно оцениваться с системами класса Compliance Management

11. Спасибо за внимание! Сергей Гордейчик Positive Technologies