
ит-без-ть10.ppt
- Количество слайдов: 25
Демонстрация окупаемости испытаний на проникновение Испытания на проникновение, также как и оценка уязвимостей, очень похожи на физическое здоровье. Вы можете не знать, что-то не так, до тех пор, пока не обследуетесь у доктора. Хорошо если вы имеете страховой полис для минимизации стоимости обследования. Вы надеетесь, что доктор никаких болезней у вас не найдет, но именно поэтому вы к нему и идете. Если с вашим здоровьем что-то не так и вам требуются какие-то процедуры или лечение, тогда вы действительно осознаете окупаемость вашей медицинской страховки. Если же вы абсолютно здоровы, то вы можете задуматься, зачем же платить за медицинскую страховку, но здравое мышление все-таки перевесит беспокойство о деньгах.
Демонстрация окупаемости испытаний на проникновение В жестких условиях рынка компании готовы тратить деньги лишь на те вещи, окупаемость которых может быть доказана в терминах периода окупаемости, чистой приведенной стоимости и нормы внутренней прибыли. Демонстрация окупаемости инвестиций очень важна для успеха продажи продуктов или услуг безопасности, в том числе и испытаний на проникновение. Специалисты по безопасности и отделы по безопасности в больших организациях понимают, что демонстрация возврата средств, вложенных в безопасность, является довольно сложной задачей. Вы не можете подойти к человеку, принимающему решения и сказать: «Нам нужно потратить столько-то денег на испытания по проникновению или кто-то взломает нас!» . Вам необходимо обосновать трату денег, и это обоснование должно продемонстрировать самое главное – рентабельность вложения средств.
Демонстрация окупаемости испытаний на проникновение Процесс составления бюджета любой компании может быть политическим. Предполагается, что процесс составления бюджета является довольно прямолинейным процессом, основанным на важнейших задачах бизнеса, задачах программы по развитию и фундаментальной задаче рентабельности. Тем не менее, этот процесс определяют люди, а люди имеют свои цели и задачи. Как эти цели и задачи выполняются, зависит от того, кто имеет власть. Обычно власть имеют люди, которые делают деньги – генераторы дохода. Инициатива в рамках информационной безопасности не должна быть основана на тактике испуга. Выход из бизнеса пугает этих людей гораздо больше, чем дыра в безопасности
Демонстрация окупаемости испытаний на проникновение Допустим критическим фактором успеха для компании Widget Manufacturing Ltd. является увеличение количества электронных транзакций со своими поставщиками за два года с 30% до 80%. На данный момент они используют пакет ERP (SAP) для операций с поставщиками, но из-за проблем с безопасностью доступ обеспечен только трем самым крупным поставщикам. Поставщики должны использовать VPN для доступа в безопасную часть сети Widget Manufacturing, а основанной на веб внешней сети не существует. Для предоставления возможности большему количеству не таких крупных поставщиков производить операции с компанией, начал разрабатываться крупный проект, связывающий пакет ERP с веб. Тем не менее, при таком подходе имеет место серьезный бизнес риск и возникают вопросы касающиеся безопасности, так как этот подход значительно видоизменяет процесс ведение бизнеса и способы взаимодействия с поставщиками.
Демонстрация окупаемости испытаний на проникновение Специалист по безопасности должен обладать не малой долей сообразительности, чтобы, приняв участие в этом проекте, захватить часть бюджета на свои нужды. Анализ риска организации будет ключевым фактором при обосновании необходимости испытаний на проникновение и при расчете возврата инвестиций. Специалист по безопасности при расчете возврата инвестиций для этого веб-проекта должен включить в общую стоимость владения стоимость испытаний на проникновение. В таком правильно представленном проекте компания будет рассматривать испытания на проникновение как неотъемлемую часть экономически выгодного решения, и проведение испытаний будет необходимым шагом для снижения общего риска. Успех проекта не возможен без положительных результатов испытаний на проникновение.
Демонстрация окупаемости испытаний на проникновение Небольшое предостережение В основном, выяснение уровня безопасности рассматривается как зло необходимое для предотвращения неизвестных пагубных событий. Организации становятся все более образованными и понимают ответственность в охране своего окружения, в результате законодательства и хорошо известных событий, они также становятся более находчивыми в процессе принятия решений. Когда организации задумываются о безопасности и выделении средств на продукты и услуги информационной безопасности, им требуются методы для оценки и обоснования расходов. Персонал безопасности внутри компании борется с теми же проблемами, что и внешние поставщики решений информационной безопасности. Как продемонстрировать окупаемость безопасности? Не важно пытаетесь ли вы обосновать покупку нового файрвола, IDS, оплатить консультации по безопасности или провести испытания на проникновение. Все это одна и та же проблема, и вот почему.
Демонстрация окупаемости испытаний на проникновение Исторически, информационные технологии больше ассоциируются с расходами, а не с прибылью. Вот почему возникают проблемы с расчетом окупаемости. Если вы смотрите только на стоимость, то со стороны отдела информационных технологий организации прибыли вы не увидите. Большинство из нас знакомо с термином общая стоимость владения (TCO). Компании заинтересованы в понижении общей стоимости владения в пользу улучшения инфраструктуры. В то время как контроль средств является важной вещью, гораздо более важно понимание бизнес значения. Значение для бизнеса информационных технологий может быть понято в терминах производительности пользователей, доходе на сотрудника, уменьшении стоимости бизнеса, цикличности улучшений и уменьшении риска. Безопасность рассматривается так же, как и информационные технологии и связана с управлением рисками. Управление рисками, это процесс, задачей которого является предоставить наилучшую из возможных защиту информационных систем и хранилищ, а также передачу важной информации, затрачивая при этом средства, соответствующие значимости этой информации
Демонстрация окупаемости испытаний на проникновение Как процесс, такой, как управление рисками, может обеспечивать возврат инвестиций? Управление рисками может быть ассоциировано с ценностью бизнеса. Если значимость информации высока, то нужда в управлении рисками также высока, и наоборот, если информация не имеет большой ценности, то большой потребности в управлении рисками тоже нет. Специалист по безопасности должен знать и понимать методы оценки важности информации. Проблема не просто в том, чтобы понять все формулы, методы и модели. Проблема в том, что пока вы не свяжете продукт или услугу безопасности (например, испытание на проникновение) с ценностью бизнеса, вы не сможете продемонстрировать окупаемость инвестиций. Компании хотят видеть четкие цифры. В наше тяжелое время фактор страха, неуверенности и сомнений больше не является достаточным основанием для проведения измерений безопасности. Новый подход называется «Покажите мне деньги!» .
Демонстрация окупаемости испытаний на проникновение Что такое окупаемость инвестиций? Окупаемость инвестиций, попросту говоря, означает следующее: если я трачу 100000$, я хочу быть уверенным, что за определенный период времени потраченные деньги вернутся ко мне. Для того, чтобы сделать бизнес решение, я хочу знать, сколько времени это займет, и какой процент вложенных средств ко мне вернется для того. Существуют финансовые термины, которые необходимо понимать для произведения расчетов окупаемости инвестиций. • Окупаемость инвестиций - это отношение чистой прибыли от предложенного проекта к общей стоимости проекта. • Период окупаемости – это временной интервал, за который проект начинает приносить доход. • Чистая приведенная стоимость – отражает чистый эффект от вложенных на несколько лет финансовых средств, выраженный в «сегодняшних» денежных единицах. • Норма внутренней прибыли – ставка дисконта, необходимая для приведения чистой приведенной стоимости к нулю; значение, которое другие инвестиции должны иметь для того, чтобы быть эквивалентными потокам средств задуманной инвестиции.
Демонстрация окупаемости испытаний на проникновение Обычные расчеты окупаемости инвестиций нельзя легко применить к проектам по безопасности, например испытаниям на проникновение. Технически говоря, для предупреждающих методов не существует возврата инвестиций, кроме тех, которые можно выразить словами «унция предотвращения стоит фунта лечения» . Тем не менее, если вы позиционируете испытания на проникновение как часть прибыльного проекта, то эти испытания станут необходимыми для достижения задач проекта. Назначение испытаний на проникновение – выяснить уязвимости в системе безопасности организации. Для расчета общей стоимости владения вам необходимо сравнить инвестиции в безопасность со стоимостью потенциального ущерба. Для этого вам необходимо четко понимать, какой информацией обладает компания, и какую ценность для бизнеса она представляет. Вы должны приготовиться к трате времени на понимание бизнеса организации и на демонстрацию исполнителям бизнес ценности информации. Вы должны быть готовы к сравнению цены потери информации с ценой предотвращения этой потери.
Демонстрация окупаемости испытаний на проникновение Результатом испытаний на проникновение являются знания о потенциальном риске, уязвимостях или угрозах информационному имуществу, а также информация необходимая для уменьшения этих рисков. Организациям, которые уже проанализировали ценность своей информации, гораздо проще указать на конкретную информацию (например, базу данных клиентов), для этого надо выяснить финансовую стоимость информации, и затем помочь понять, что будет значить потеря этой информации. Взяв для примера базу данных клиентов, полезно обсудить с управлением бизнес-значение этой базы в финансовых терминах (окупаемость инвестиций, период окупаемости, чистая приведенная стоимость, норма внутренней прибыли). Например, если организация уже вложила большие средства в переход от мэйнфрэйма к ERP системе (SAP/Oracle/Peoplesoft), она уже производила расчет окупаемости инвестиций, оценивала период окупаемости и знает чистую приведенную стоимость/норму внутренней прибыли для такого решения. Ваша работа заключается в том, чтобы понять последствия нарушения безопасности и объяснить их управлению компании. Если будет совершена атака на базу данных, и она выйдет из строя, что случится с периодом окупаемости? Это если не брать в расчет ущерб репутации компании, который трудно посчитать, пока это не произошло.
Демонстрация окупаемости испытаний на проникновение Риски безопасности против бизнес-рисков Скептики уверены, что риски безопасности и бизнес-риски не имеют ничего общего. ROI применим к бизнес рискам, когда бизнес совершает добровольный выбор конкретной инициативы и ожидает от нее отдачи, как в примере с ERP системой на веб, описанной в предыдущей статье. В свою очередь, риски безопасности это неизвестная величина, и бизнес не может сделать добровольный выбор, но надеется уменьшить риск и защитить себя от потенциальных потерь, при помощи реализации различных мер безопасности и следуя общепринятым практикам. Отношения между рисками и мерами безопасности представляют собой набор большого числа отношений типа один ко многим и многие к одному, поэтому довольно трудно посчитать настоящие риски и стоимость соответствующих мер безопасности. Дополнительными факторами, усложняющими нашу задачу, являются изменения технологий, усложнение методик и инструментов атак, используемых хакерами, и непрерывно увеличивающаяся сложность сетей по мере того, как мы все больше и больше нуждаемся в постоянном соединении с другими людьми. Люди всегда пытаются сознательно или бессознательно обойти используемые системы безопасности. Короче говоря, существует множество переменных и неизвестных при подсчетах рисков.
Демонстрация окупаемости испытаний на проникновение Не идем ли мы по ложному пути? Представим себе, что попытка доказать окупаемость инвестиций в безопасность является некорректной задачей. Можем ли мы тогда предоставить доводы для обоснования этих затрат в рамках проекта, который обеспечивает возврат инвестиций? Конечно. Тем не менее, для доказательства положим, что мы наша задача корректна. Можем ли мы рассматривать ценность бизнеса как сумму его частей, одной из которых является информационное имущество? Можем ли мы выяснить ценность каждой части, продемонстрировав значение конкретного блока информации для поддержки одного клиента, приносящего прибыль?
Демонстрация окупаемости испытаний на проникновение Популярность испытаний на проникновение Испытания на проникновение становятся общепринятой практикой для тестирования безопасности ERP решений, основанных на веб. Методы безопасного кодирования становятся стандартизованными. Обеспечение безопасности во время всего жизненного цикла проекта становится более продуманным. Развертывание систем безопасности становится одной из задач проекта, так же как и требования к производительности или к используемым технологиям. Например, организация несет бизнес-риски, основанные на подсчетах окупаемости инвестиций в разработку веб-проекта. Испытания на проникновение должны быть одним из этапов разработки проекта, так же как, например, испытания на производительность. Если у вас есть такая возможность, захватите часть средств на проведение испытаний на проникновение. Но что если вы специалист по безопасности и пытаетесь доказать управлению, что испытания на проникновение должны быть частью уже готового проекта? Это более сложно, но возможно. Вы должны использовать язык бизнеса и размышлять так же, как менеджмент компании.
Демонстрация окупаемости испытаний на проникновение Информационные активы Испытания на проникновение являются подмножеством мер по обеспечению безопасности. Их целью является получить доступ к системе, требующей авторизации. Может быть получен доступ к операционной системе, приложению или серверу баз данных, которые могут быть определены, как информационный активы. В случае успеха испытания на проникновение, вы получаете неавторизованный доступ к информации. Как вы поступите с полученной информацией, зависит от цели испытаний на проникновение. Может быть вы собираетесь украсть её, повредить или сделать бесполезной, использовать её, как основу для получения более важной информации или сделать информацию недоступной для использования в бизнесе? Целью испытаний является проникновение в защищенную систему, поиск и использование уязвимости, документирование уязвимости, заметание следов и отход. Испытание на проникновение должно включать в себя описание информации, к которой вы пытаетесь получить доступ, оценку значимости этой информации для организации, описание используемых методов, определение критериев успеха, что вы собираетесь делать с полученной информацией, как вы собираетесь избежать повреждения информации и как предоставить результаты работы. с
Демонстрация окупаемости испытаний на проникновение Техника испытаний на проникновение Уже написано большое количество отличных статей и книг о том, как проводить испытания на проникновение, поэтому я не буду тратить здесь место, повторяя эту информацию. Достаточно сказать, что консалтинговые компании делают это по-разному. В некоторых компаниях это высоко организованный процесс и имеется вполне определенный набор используемых инструментов. Другие используют консультантов, имеющих хакерский склад ума и использующих инструменты в зависимости от типа теста, типа атакуемого окружения, уровня сложности и их собственного опыта. Существует несколько основных шагов: определение цели, сбор информации, выявление уязвимости, планирование теста, использование найденной уязвимости (атака и проникновение), получение результатов, заметание следов.
Демонстрация окупаемости испытаний на проникновение Испытания на проникновение не являются: поиском уязвимостей, полной оценкой безопасности, этическим взломом или вторжением. Испытание на проникновение это хорошо определенное испытание со своими специфическими параметрами, целью которого является получение неавторизованного доступа к информации. Испытания на проникновение могут быть частью полной оценки безопасности, но чаще фигурируют отдельно. Есть много публикаций про испытание на проникновение и прочитав эти книги можно понять, что определения, методы и инструменты могут значительно варьироваться. Более важно определить цели испытания, понять значение информации и связать ваши результаты с управлением рисками, а также целями бизнеса.
Демонстрация окупаемости испытаний на проникновение Оценка информационных активов является частью оценки влияния бизнеса. Существуют количественные и качественные показатели, позволяющие организации оценить стоимость активов. Как мы и обсуждали, до проведения испытания на проникновение, чтобы оценить расходы на проведение испытания, должна быть известна стоимость целевых активов. Оценка актива, выполненная в течение анализа затрат и результатов, часто необходима для обеспечения безопасности, она определенно влияет на выбор средств защиты и по юридическим причинам является важной для демонстрации «должной заботы» . Основными компонентами для определения ценности актива являются: понимание начальной и последующей цены покупки, лицензирования, разработки и поддержки актива; понимание значения продукции, исследования и диагностики, стойкость модели бизнеса; утвержденная ценность актива на внешнем рынке включая интеллектуальную собственность, патенты или копирайт.
Демонстрация окупаемости испытаний на проникновение Термины и обозначения Риск менеджмент состоит из проведения риск анализа, включая анализ денежных средств на защиту, требуемую для информационных активов, многократные процессы внедрения, наблюдения и управления средствами защиты. Цель риск анализа – подсчет ущерба от различных угроз и уязвимостей, а также от потери функциональности бизнеса в случае реализации угрозы. Под активами мы понимаем ресурсы, компьютерную инфраструктуру (оборудование, ПО, сети), процессы или продукты. Все, что угрожает конфиденциальности, целостности или доступности актива зависит от материального и нематериального определения риска. При оценивании актива важно определить совокупную стоимость владения для каждого актива. Угроза – это нежелаемое влияние, удар. Уязвимость – недостаток или слабости в защите или мерах безопасности. Меры безопасности – механизм, используемый для уменьшения возможности возникновения угрозы или уязвимости.
Демонстрация окупаемости испытаний на проникновение Наряду с вышеперечисленными обозначениями следует также понимать: • Фактор подверженности воздействиям (EF) - процент потерь, которые возникнут вследствие реализации характерной угрозы для определенного актива. • Ожидаемая единичная потеря (SLE) - денежные средства, предназначены на случай реализации определенной угрозы: SLE = Ценность актива($)*фактор подверженности воздействиям. • Коэффициент ежегодной потери (ARO) - ожидаемое количество реализаций угрозы по отношению к активу. • Ожидаемые ежегодные потери (ALE) - цена единичной потери умножена на коэффициент ежегодной потери. ALE = SLE *ARO
Демонстрация окупаемости испытаний на проникновение Давайте рассмотрим эти формулы на примере нашего ERP Web-проекта Актив, или активы, требующие защиты должны быть определены и оценены. В нашем проекте, составляющие уже были составлены и в данном случае различные компоненты для системы определены. Такими компонентами могут быть: • База(ы) данных поставщика • сервер(а) баз данных (аппаратное обеспечение и операционная система) программное обеспечение (для БД) • Web-сервер(а) (аппаратное обеспечение и операционная система) • Web-приложение (ПО) • Сетевые службы (маршрутизатор, межсетевой экран, свитчи, системы обнаружения вторжения, Интернет подключения) Описание актива и классификация предшествуют его оцениванию, и если клиент не представляет себе четкую картину значения каждого актива, то ему следует задать некоторые вопросы по мере развития проекта. Значение актива должно базироваться не только на материальных ценностях (ССВ, издержки на переоборудование, сверхурочные), но и на нематериальных, которые труднее всего оценить (специальные знания сотрудников).
Демонстрация окупаемости испытаний на проникновение Мы живем в мире знаний и информации, и понимание нематериального для нас является очень важным. Далее следую вопросы, которые должен задать специалист по безопасности своим клиентам, чтобы помочь понять значение Pen-теста, целью которого является обнаружение возможных слабинок в построении все системы. • Какой из активов является самым важным для достижения успеха в проекте? • Какой актив принесет самый большой доход? • Какой актив является самым полезным? • Какой из активов будет дороже всего заменить? • Какой из активов будет дороже всего защищать? • Какой из активов является самым конфиденциальным?
Демонстрация окупаемости испытаний на проникновение Базы данных – часто самый важный актив из всех, поскольку содержит конфиденциальную, чувствительную и ценную информацию для организации. Целью Pen-теста будет обойти все уровни безопасности, получить доступ к базе данных и поставить ее под угрозу каким-либо способом. По мере того, как тестирующий проходит уровни безопасности одни за другим, все слабые месиа документируются. Снова же, с точки зрения конечного пользователя, если система работает без сбоев, насколько это хорошо? Например, инцидент безопасности может состоять в том, что хакер вывел web-сервера из строя. Это повредило самый важный актив – базу данных? – Нет. Сделало ли это систему недоступной для пользователя? – Да. Даже если БД является самым важным активом, каждый компонент системы является также важным для успешной работы системы. Значение Pen-теста – понять, где находятся слабости во всей системе, и помочь клиенту определить, что есть средства защиты, комфорт и меры безопасности, и на каком месте они должны находиться. Самым важным является понимание зависимостей между
Демонстрация окупаемости испытаний на проникновение Вернемся к инциденту. Если Web сервер поставщика будет в оффлайн на протяжении одного дня, то издержки и убытки обойдутся компании в $1000 за день (SLE) - переустановка аппаратной/программной части, нарушений сроков производства, потеря производительности, потеря доходов, задержка оплаты и т. д. Основываясь на существующих данных, предполагаемое ежегодное количеств потерь (скажем 50%) умноженное на издержки одного инцидента равно ожидаемой ежегодной потере в $500 000. Организация оценивала базу данных поставщика как самый важный актив, хотя и инцидент безопасности даже не нарушил БД. Инцидент только закрыл доступ к БД, что принесло вред цепочке поставки. Оценка активов заключается не в составлении ССВ, затраченных ресурсов и т. д. , а в понимании того, какие потери понесет организации в случае выведения из строя одно из активов. Вот почему, Pen-тест так важен для ведения бизнеса он-лайн. Информационные системы комплексны и соединены между собой. Пониманием зависимостей между активами и эффектом бреши в сетевом компоненте и занимается Pen-тест.
Демонстрация окупаемости испытаний на проникновение Потребность в осознанных оценок. Существует огромная потребность в осознанных оценках, когда речь идет о оценивании информационных активов и выборе подходящих мер безопасности. Уровневая безопасность может требовать огромных вложений. На следующие вопросы компании должны дать конкретный ответ: • Что именно мы стараемся защитить? • Почему именно мы это пытаемся защитить? • Как лучше всего это защитить? • Что именно случится, если мы это не защитим? • Сколько это будет стоить? Pen-тест пройдет большой путь отвечая на эти вопросы. Хорошо продуманный и задокументированный Pen-тест может обнаружить активы, которые были забыты или не учтены, обнаружить потенциальные слабости и уязвимости, продемонстрировать зависимости и зависимые слабости в системе