СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Статьи
Awillix
05.05.2023
#Dev#ИБ#Инфра

Оценка уровня информационной безопасности: методологии и подходы для профессионалов кибербезопасности

Оценка уровня информационной безопасности: методологии и подходы для профессионалов кибербезопасности

Поскольку от технологий зависит вся кровеносная система бизнеса, кибер-инциденты приводят к настоящим катастрофам внутри компаний. Растущий тренд наблюдался и до 2022 года: по мере увеличения участия IT в бизнесе, росла и поверхность возможной атаки. Согласно исследованию ESG, 82% организаций считают, что за последние два года киберриски для них увеличились. А по данным Deloitte — интерес к киберрискам со стороны советов директоров и потребность в разработке ИБ-стратегии растет ежегодно.

Как руководители оценивают эффективность мер защиты?

Из-за того, что кибер-риски становятся значимым фактором для бизнеса, это вынуждает топ-менеджмент погружаться в вопросы безопасности. Киберпреступники могут уничтожить бизнес, нажав на кнопку: убить скот на всех фермах, остановить производство без шансов на возобновление, вывести деньги со счетов.

Проблемы информационной безопасности уже вышли на уровень совета директоров крупных компаний. Но в создании стратегии защиты возникают сложности — отдел безопасности рассказывает о своей работе, предлагая в качестве отчета тепловую карту рисков. Если бюджет возрастет на условные 12%, то часть рисков перейдет из красной зоны в желтую, а значит какие-то части инфраструктуры станут безопаснее. Уровень неопределенности таких данных стремится к бесконечности. Руководители не понимают много ли тратят на безопасность или мало.

Куда направить прибыль — оборудовать складское помещение или купить новый фаервол? Что окажется лучше для компании — дополнительный бухгалтер или ИБ-специалист? Что выгоднее — сделать новый сайт или потратиться на исправление багов в текущем?

Дилемма, постоянно возникающая перед бизнесом: инвестировать в снижение риска потери денег, или в увеличение прибыли, но с возможной опасностью.

Оценить абсолютно все возможные риски невозможно даже теоретически. Злоумышленники находятся в постоянном поиске новых способов атаки, и то, что вчера считалось безопасным, — завтра может оказаться угрозой.

Чтобы принять правильные решения, следует сосредоточится только на тех рисках, из-за которых компания понесет максимальные потери. И оценить, сколько ресурсов требуется, чтобы нейтрализовать каждую из этих угроз. Это позволит рассчитать плечо инвестирования — соотношение рисков к затратам.

Как учесть все киберриски?

Бизнес – это точная наука. Устойчивое развитие в цифровую эпоху больше невозможно без понятных и прозрачных методов оценки киберрисков. Недостаточно внедрить средства защиты и антивирусы, а также соблюдать выполнение стандартов ИБ, чтобы думать, что компания защищена от кибератак. Необходимо всегда задавать себе два основных вопроса:

— Какова вероятность того, что ваша компания будет интересна для злоумышленника?

— Какова вероятность того, что при атаке будут достигнуты критичные для бизнеса цели?

Существует множество методологий риск-менеджмента, которые помогают внедрять консалтинговые компании большой четверки. Самые популярные: FRAP (Facilitated Risk Analysis Process), FMEA (Failure Modes and Effect Analysis), FAIR (Factor Analysis of Information Risk).

Вне зависимости от методологии, для анализа киберрисков нужно их декомпозировать и сопоставлять с наиболее важными бизнес-рисками. Для этого нужно собрать бизнес-инициативы, определить степень их зависимости от технологий и спрогнозировать сценарии возможных атак, а также перспективу их влияния на компанию.

Например, бизнес может сформулировать перед собой цель — автоматизировать производство. Возможный кибер-риск — полная остановка производственного процесса и требование выкупа злоумышленниками. Последствия такого сценария — потеря доли рынка, финансовые и репутационные потери.

Описанные последствия совет директоров уже может оценить в финансовых показателях. Также можно рассчитать вероятность остановки производства до того, как угроза будет обнаружена и нейтрализована. Это позволяет построить график зависимости финансовых потерь от вероятности киберриска. Сравнение этих графиков поможет ответить довольно точно — в какие инструменты ИБ и какую сумму следует инвестировать.

Как проверить, что внедренные меры контроля и защиты работают эффективно?

Хакер-одиночка, студент, взламывающий систему для развлечения или сложившаяся группировка — это разные ресурсы, возможности и частота атаки. Необходимо смоделировать и оценить разные сценарии атак. Понять, что принесет наиболее вероятный ущерб.

Чтобы удостоверится в том, что при реальной кибератаке существующие меры контроля и защиты действительно сработают, нужно на практике проверить, что злоумышленники не достигнут критичных для компании целей. Единственный способ выяснить это — провести имитацию таргетированной атаки, где в качестве целей будут указаны наиболее важные для компании активы. Говоря языком IT — необходимо регулярно проводить пентесты (тесты на проникновение) инфраструктуры компании, которые позволяют получить реальную картину защищенности бизнеса от кибератак.

Взлом любой системы это всего лишь вопрос времени и затраченных ресурсов. Цель пентеста — не обнаружить конкретные уязвимости, а получить ответы на два вопроса:

— Каков уровень злоумышленника, способного достигнуть критических целей. Сможет ли обычный «школьник» это сделать или это получится только у профессиональных группировок?

— Насколько сделанные инвестиции в ИБ действительно эффективны с учетом реального ландшафта угроз?

Благодаря пентестам, топ-менеджеры получают необходимые данные для принятия дальнейших управленческих решений и корректировки стратегии ИБ.

Что мешает компаниям добиться защищенности?

Цели и задачи, которые обсуждает совет директоров, «спускаются» ниже по иерархии к исполнителям, и ИБ-специалисты тут не исключение. При этом возникает ряд сложностей, связанных с тем, как именно проконтролировать расходы на кибербезопасность.

  1. Во многих компаниях у CISO нет полномочий на своевременное и правильное принятие решений.

Крупные компании понимают, что нужно расширять полномочия CISO и поднимать их уровень ответственности. Это привело к тому, что сегодня наблюдается общемировой тренд включения представителей ИБ в состав совета директоров или делегирования ответственности за это направление кому-то из его действующих членов. Исследование ESG показало что, когда члены совета директоров более вовлечены в функцию кибербезопасности, они задают сложные вопросы, глубже разбираются в проблемах и с большей вероятностью перейдут от технических к бизнес-вопросам. Deloitte также отмечает, что в США число директоров по информационной безопасности, которые отчитываются перед советом директоров, увеличилось с 32% в 2019 году до 42% в 2021 году, а по всему миру достигло 33%. Сегодня бизнесу нужно еще более напряженно работать, чтобы поддерживать конкурентоспособность на фоне стремительных технологических изменений, которые существенно повышают уязвимость компаний для кибератак.

  1. Бизнес и безопасники нередко говорят на разных языках, что приводит к сложностям «перевода».

Опыт команды Awillix показывает, что наиболее полные и объективные результаты удается получить, когда цели для пентеста формулируют топ-менеджеры и главы компаний. Давайте для примера сравним постановку целей на языке бизнеса и ИБ.

Руководители ставят задачи для имитации атаки:

  1. Получить доступ к управлению расчетными счетами
  2. Получить контроль над производством
  3. Вывести чувствительные данные
  4. Получить контроль над системами безопасности (СКУД, видеонаблюдение, пропуска)
  5. Физически проникнуть в офис
  6. Оценить работу внутренней службы ИБ

ИБ-специалисты формулируют задание для имитации атаки:

  1. Выявить все уязвимости в системе
  2. Найти все уязвимости в исходном коде приложений
  3. Выполнить DDOS тестирование сервера
  4. Выполнить попытки обхода средств защиты
  5. Идентифицировать возможность фрода или мошенничества в конкретной системе

Постановка задачи со стороны ИБ, нередко оказывается сфокусированной на локальной задаче и требует дополнительной «расшифровки» для членов совета директоров, а значит и дополнительной аргументации. Аналогичная ситуация и с условиями, в которых проводится пентест — ИБ-специалисты чаще всего предоставляют список IP адресов, исходные коды, добавляют в белые списки адресов, подключают к общению с внутренними командами ИБ, а руководители могут указать только название компании в качестве исходных данных. Тест на проникновение сформулированный на языке бизнеса обычно получается более объемным и менее сложным в запуске для компании-заказчика.

По данным крупнейшей исследовательской компании MarketsandMarkets объем мирового рынка тестирования на проникновение вырастет с 1,6 млрд долларов в 2021 году до 3,0 млрд долларов к 2026 году при совокупном годовом темпе роста на уровне 13,8%.

Необходимость Red Team осознают только зрелые с точки зрения ИБ компании, которые уже научились управлять кибер-рисками и выстроили подход к их грамотной оценке. Проблемы российского бизнеса связаны с тем, что большинство руководителей не вовлечены в управление киберрисками самостоятельно, но при этом ограничивают своих CISO в полноценном управлении киберрисками.

Что в итоге?

— Оценивать киберугрозы в финансовых показателях единственный жизнеспособный метод построения защиты без растраты бюджета.

— Для оценки инвестиций в ИБ нужно выделять критические для бизнеса задачи и просчитать стоимость их защиты в отдельности.

— Формулировать задачи для ИБ-специалистов могут и должны руководители бизнеса.

— Для эффективной работы, CISO должен быть погружен в бизнес-задачи и иметь достаточно полномочий для принятия оперативных решений.

— Интересы бизнеса и задачи ИБ-отдела должны быть синхронизированы.

— Тесты на проникновения — практический способ проверки работоспособности защитных мер.

Awillix
Автор: Awillix
Awillix — одна из лучших и востребованных offensive-компаний на рынке кибербезопасности.
Комментарии: