Визуализация необходимости обеспечения киберустойчивости

15 марта 2017

Согласно исследованиям Cisco большинство компаний в мире (от небольших до очень крупных) строят свою систему защиты в пропорции 80-15-5, где 80% ресурсов (временных, финансовых, людских и иных) уходит на предотвращение угроз (МСЭ, контроль доступа, поиск и устранение уязвимостей, VPN и т.п.), 15% - на обнаружение (IDS/IPS, антивирусы, сисемы контентной фильтрации, DLP и т.п.) и оставшиес 5% - на реагирование на уже произошедшие инциденты (расследование, мониторинг аномалий и т.п.). До сих пор многие компании тратят львиную долю своих усилий именно на первый блок защитных мероприятий, забывая или не уделяя должного внимания оставшимся двум.

Если у меня хорошая система предотвращения угроз (что обычно и бывает), но слабое обнаружение и реагирование, то график потерь будет выглядеть следующим образом. При понимании конкретных показателей продуктивности атакованного ресурса или системы мы можем даже посчитать все в количественном выражении.

Если с обнаружением и реагированием у меня все в порядке, но слаба системе предотвращения, то у нас будет затяжное пике с последующим быстром возвратом из него.

Худший сценарий - это когда у меня слабы все три составляющие - предотвращение, обнаружение и реагирование. Тогда после очень затяжного пике наступает длительный период нанесения ущерба и не менее длительное восстановление, которое (в зависимости от реализованных мер) может затянуться очень надолго.

Очевидно, что правильным было сбалансировать все механизмы между собой, быстро предотвращая, обнаруживая и реагируя на атаки/инциденты. Зеленым показан возврат от новых функций/преимуществ, которые получает предприятие, правильно инвестировавшее ресурсы в систему защиты. В зависимости от отношения к ИБ (центр затрат или бизнес-функция) зеленой области может и не быть (точнее ее сложно будет подсчитать), но как минимум, будет достигнут эффект у снижение красной зоны по сравнению с предыдущими тремя графиками.

Вывод простой - необходимо балансировать меры защиты, равномерно распределяя их по жизненному циклу атаки "ДО - ВО ВРЕМЯ - ПОСЛЕ ". А для того, чтобы понять, каких защитных мер вам не хватает, можно воспользоваться матрицами NIST или МинОбороны США, о которых я уже писал . Матрица NIST, кстати, хорошо ложится на перечень защитных мер в приказах 17 /21/31 ФСТЭК и даже на проект нового ГОСТа ЦБ по ИБ .

ЗЫ. Я надыбал эти картинки из курса по киберустойчивости (cyber resilience), который в прошлом году проходил у нас в компании, и которые мне настолько понравились своей простотой и понятностью, что я их даже отрисовал для своих презентаций по измерению ИБ.

Источник

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.

Телеком	ТВ и медиа	Облака	ПО	Кадры
ИТ	Информационная безопасность	IP-сервисы	Аналитика	Регулирование
Интернет	ЦОД	Оборудование	Аутсорсинг	M&A
ИТ в образовании	ИТ в медицине	Big Data	E-commerce	Спутниковая связь
Блокчейн