Визуализация необходимости обеспечения киберустойчивости

Бизнес
Согласно исследованиям Cisco большинство компаний в мире (от небольших до очень крупных) строят свою систему защиты в пропорции 80-15-5, где 80% ресурсов (временных, финансовых, людских и иных) уходит на предотвращение угроз (МСЭ, контроль доступа, поиск и устранение уязвимостей, VPN и т.п.), 15% — на обнаружение (IDS/IPS, антивирусы, сисемы контентной фильтрации, DLP и т.п.) и оставшиес 5% — на реагирование на уже произошедшие инциденты (расследование, мониторинг аномалий и т.п.). До сих пор многие компании тратят львиную долю своих усилий именно на первый блок защитных мероприятий, забывая или не уделяя должного внимания оставшимся двум.

К чему приводит такое пренебрежение? Попробуем визуализировать. В момент реализации атаки или наступления инцидента (спорить о терминах сейчас не будет) у нас наступает определенная деградация системы и чем серьезнее атака и чем слабее система защиты, тем дольше эта деградация по времени и по масштабу у нас длится. Если посмотреть на график, то это отрезок А, отражающий способность системы деградировать под атакой и, возможно, смягчать/ослаблять эффект от атаки при наличии защитных мер. В какой-то момент времени мы останавливаем негативный эффект от атаки (точка В) и он начинает либо выправляться (значение Вт равно нулю), либо длится какое-то время до момента принятия нами мер реагирования, задача которых вернуть систему в предатакованное состояние (отрезок С).

Если у меня хорошая система предотвращения угроз (что обычно и бывает), но слабое обнаружение и реагирование, то график потерь будет выглядеть следующим образом. При понимании конкретных показателей продуктивности атакованного ресурса или системы мы можем даже посчитать все в количественном выражении.

Если с обнаружением и реагированием у меня все в порядке, но слаба системе предотвращения, то у нас будет затяжное пике с последующим быстром возвратом из него.

Худший сценарий — это когда у меня слабы все три составляющие — предотвращение, обнаружение и реагирование. Тогда после очень затяжного пике наступает длительный период нанесения ущерба и не менее длительное восстановление, которое (в зависимости от реализованных мер) может затянуться очень надолго.

Очевидно, что правильным было сбалансировать все механизмы между собой, быстро предотвращая, обнаруживая и реагируя на атаки/инциденты. Зеленым показан возврат от новых функций/преимуществ, которые получает предприятие, правильно инвестировавшее ресурсы в систему защиты. В зависимости от отношения к ИБ (центр затрат или бизнес-функция) зеленой области может и не быть (точнее ее сложно будет подсчитать), но как минимум, будет достигнут эффект у снижение красной зоны по сравнению с предыдущими тремя графиками.

Вывод простой — необходимо балансировать меры защиты, равномерно распределяя их по жизненному циклу атаки «ДО — ВО ВРЕМЯ — ПОСЛЕ«. А для того, чтобы понять, каких защитных мер вам не хватает, можно воспользоваться матрицами NIST или МинОбороны США, о которых я уже писал. Матрица NIST, кстати, хорошо ложится на перечень защитных мер в приказах 17/21/31 ФСТЭК и даже на проект нового ГОСТа ЦБ по ИБ
ЗЫ. Я надыбал эти картинки из курса по киберустойчивости (cyber resilience), который в прошлом году проходил у нас в компании, и которые мне настолько понравились своей простотой и понятностью, что я их даже отрисовал для своих презентаций по измерению ИБ.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.