Документ рассматривает способы оценки полезности информ безопасности (ИБ) и связывания инвестиций в нее с выгодой для бизнеса. Автор делится своим опытом, описывает роли и структуру служб ИБ, а также предлагает методы оценки киберрисков и повышения продуктивности через оптимизацию процессов. Также обсуждается необходимость адаптации и автоматизации правил доступа, чтобы улучшить результативность службы ИБ.

1. Как оценить пользу от ИБ
и увязать с нею инвестиции?

2. Кратко обо мне: ненастоящий безопасник
Программист: 1985 - 1996
Сетевой инженер: 1992 - 2004
Руководитель проектов: 1999 - …
Генеральный директор: 2000 – 2017
Архитектор вычислительных комплексов: 2012 - 2018
CIO: 2018 - 2020
CISO (кибербезопасность, противодействие мошенничеству): 2021
www.linkedin.com/in/vshabad - много леденящих душу подробностей

3. Особенности «больших продаж» по Н. Рекхэму:
• продолжительность жизненного цикла
• объем обязательств покупателя
• продолжительные отношения
• риск совершения ошибок
Похожая ситуация и с ИБ:
• серьезные инвестиции в ИБ = «большая продажа»
«Большие продажи» применительно к ИБ

4. Выгода и стоимость инф. безопасности
• ФОТ персонала службы ИБ
• Стоимость СЗИ
• Потери производительности
персонала компании
Потери от реализации киберугроз
• прямые убытки
• штрафы, пени,
уголовные и адм. дела
• недополученные доходы

5. Оргструктура зрелой службы ИБ
• CISO
• SOC (Blue Team):
• L1 – 12 ПШЕ*
• L2 – 6 ПШЕ
• разработчики – 4 ПШЕ
• Red Team:
• пентестеры – 2 ПШЕ
• аналитики киберрисков – 2 ПШЕ
• бизнес-аналитики – 2 ПШЕ
• Поддержка СЗИ (в ИТ):
• инженеры – 4 ПШЕ
• Архитекторы ИБ:
• 5 ПШЕ
• Антифрод:
• L1 – 20 ПШЕ (фрод-операторы)
• L2 – 10 ПШЕ (фрод-офицеры)
• L3 – 5 ПШЕ (фрод-аналитики)
• техподдержка антифрод-системы – 2 ПШЕ
• Методологи ИБ:
• 10 ПШЕ
* ПШЕ – полная штатная единица

6. Результативность службы ИБ?
• SOC:
• сколько времени решаются инциденты ИБ?
• какая доля ложных срабатываний?
• на какой стадии пресекается атака?
• какой «средний чек» ущерба?
проникновение
злоумышленника
хищение средств
на карте
хищение
онлайн-кредита
получение
онлайн-кредита
t0 t4
t1 t2 t3

7. Результативность службы ИБ?
• Методология ИБ
• насколько
результативны
ВНД?
• насколько
результативно
обучение
сотрудников?
Источник: отчет Antifishing.ru за 2020 год

8. Типичный набор СЗИ
• Межсетевые экраны
• WAF (Web Application Firewall)
• DLP-система
• Антивирусы
• SIEM-система
• «Песочница» для malware
• Anti-DDoS
• Сканеры уязвимостей
• …

9. Типичный набор СЗИ
• Межсетевые экраны
• WAF (Web Application Firewall)
• DLP-система
• Антивирусы
• SIEM-система
• «Песочница» для malware
• Anti-DDoS
• Сканеры уязвимостей
• …

10. И еще про ИБ и продуктивность работы
Типичное согласование доступа сотрудника к ИС – 4 рабочих дня
• руководитель сотрудника:
• 5 мин + 1 день на ожидание
• владелец ИС:
• 5 мин + 1 день на ожидание
• менеджер ИБ
• 5 мин + 2 дня на ожидание
Итого простой сотрудника
составляет 4 рабочих дня:
• минус 20% продуктивности!

11. Что можно сделать?
• Оценить ИТ-активы и сервисы
• выбрать критичные,
• сфокусироваться на них
• оценить стоимость потери
конфиденциальности, целостности,
доступности
• Построить модели угроз
• группы злоумышленников
• самые вероятные векторы атаки
• приемлемые остаточные риски
• меры митигации угроз
• Настроить СЗИ на реализацию выбранных мер митигации
• мониторинг срабатываний
• аналитика результативности и корректировка моделей угроз
• Упростить правила ИБ и автоматизировать их
• Построить и мониторить SLA для процессов безопасности

12. Пример оценки киберрисков (FAIR)
В банке XXX транзакционная активность клиента в течение полугода после фрод-инцидента падает почти до нуля.
Комиссионные доходы банка в расчете на клиента в год падают на YYY – хорошая оценка Secondary Loss Magnitude!

13. Пример: как оценивать Contact Frequency?

14. Пример: как оценивать Vulnerability?

15. Настройка СЗИ: вопросы к результативности
• На примере Next-Generation Firewall:
• какие вредоносные действия заблокированы правомерно?
• какие вредоносные действия заблокированы ошибочно? почему?
• какие вредоносные действия пропущены? почему?
• насколько оперативно обновляются сигнатуры?
• что происходит при перегрузке устройства трафиком?
• как долго идет обновление конфигураций/настроек?
• как идет сигнализация в SIEM, что NGFW работает? не работает?
• …
• Механизмы проверки:
• мониторинг потока событий, мониторинг обновлений сигнатур
• тестирование на проникновение (симуляция атаки)

16. Настройка СЗИ: оперативность реакции?

17. Настройка СЗИ: вопросы (вторая порция)
• На примере Next-Generation Firewall:
• насколько оперативно вендор выпускает новые сигнатуры?
• насколько оперативно мы обновляем сигнатуры в устройстве?
• какова динамика попыток использования новых уязвимостей?
• если мы не видим всплеска попыток – какова причина?
• есть ли возможность использовать уязвимость изнутри сети? (мимо NGFW)
• как мы можем выявить такие попытки?
• если попыток не было – действительно не было или плохо искали?
• …

18. Упрощение и автоматизация правил ИБ
Пример правил согласования сетевых доступов для непромышленных контуров (DEV, TEST, LOAD)
• Доступ к инфраструктурным сервисам (DNS, SYSLOG, NTP, системе мониторинга) – открыт
• Доступ со сканеров уязвимостей службы ИБ – открыт по всем IP-протоколам, адресам и портам
• Доступ сотрудникам подразделения-владельца ВМ – открыт
• Доступ к Интернету – открыт через прокси-сервер
• Доступ к другим ВМ, принадлежащим тому же подразделению и расположенных в этом же контуре – открыт
• Доступ из Интернета – открыт по запросу любого сотрудника того подразделения,
которому принадлежит ВМ, после согласования службы ИБ
• Доступ с других ВМ – открыт по запросу любого сотрудника после согласования любым сотрудником
подразделения-владельца машины-получателя (аудит службы ИБ постфактум)
• Доступ к Интернету через прокси-сервер – закрыт по запросу любого сотрудника того подразделения,
которому принадлежит ВМ (аудит службы ИБ постфактум)
• Доступ к Интернету напрямую – открыт по запросу любого сотрудника того подразделения,
которому принадлежит ВМ, после согласования службы ИБ
• Доступ к другим ВМ – закрыт по запросу любого сотрудника подразделения-владельца
машины-отправителя (аудит службы ИБ постфактум)
• Доступ прочим сотрудникам – открыт по запросу любого сотрудника того подразделения
после авторизации согласующим (аудит службы ИБ постфактум)
• Остальное запрещено
согласований
не нужно вовсе
минимум
согласований,
решение за час

19. SLA для службы ИБ
• SOC:
• сколько времени решаются инциденты ИБ?
• какая доля ложных срабатываний?
• на какой стадии пресекается атака?
• какой «средний чек» ущерба?
20
27
29 30
28
14
0
5
10
15
20
25
30
35
янв.21 фев.21 мар.21 апр.21 май.21 июн.21
Сроки решения 90% ИИБ, дней
8
3
9
3
10
4 4
1
7
1
0
2
4
6
8
10
12
Сроки решения 90% ИИБ, дней

20. SLA для службы ИБ
• SOC:
• сколько времени решаются инциденты ИБ?
• какая доля ложных срабатываний?
• на какой стадии пресекается атака?
• какой «средний чек» ущерба?
17.июн 24.июн 01.июл 08.июл 15.июл 22.июл 29.июл 05.авг 12.авг 19.авг 26.авг 02.сен
Еженедельная динамика «среднего чека» ущерба клиентам
по фрод-инцидентам
Предотвращенный ущерб Подтвержденный ущерб

21. Краткое резюме: измеримая польза от ИБ
IDENTIFY
Отказ от затрат на защиту низкоприоритетных
активов и сервисов и защиту от мифических угроз
PROTECT
Повышение продуктивности из-за смягчения запретов
Отказ от неэффективных СЗИ
DETECT
Выявление скрытых утечек данных
и проникновения злоумышленников
RESPOND
Пресечение потерь конфиденциальности,
целостности, доступности
RECOVER
Минимизация потерь от реализации инцидентов
Защита от шантажа «шифровальщиков»
NIST Cybersecurity Framework Functions

22. Буду рад оказаться полезным!
Всеволод Шабад,
независимый консультант
+7 777 726 47 90
Vsevolod.Shabad@gmail.com
https://linkedin.com/in/vshabad