Bezpečnostní metriky – 2. díl

bezpečnostní metrikyPři tvorbě bezpečnostních metrik je vhodné nahlédnout do mezinárodních standardů, norem a frameworků, které jasně uvádí, jaké požadavky by bezpečnostní metriky měly splňovat.

I když i tady je třeba si dávat pozor, protože i v nich lze narazit na příklady bezpečnostních metrik, které také nejsou úplně ideální.

Performance Measurement Guide for Information Security NIST 800-55r1, který je momentálně revidován, uvádí 3 typy metrik: implementation, effectiveness/efficiency a impact measures. Obdobné dělení uvádí i norma ISO/IEC 27004, která ovšem implementation measures nazývá performance measures a impact measures nezmiňuje vůbec.

  • Implementation/performance measures vyhodnocují stav zavedení příslušných procesů a opatření a odpovídají na otázku kolik procent je pokryto. Cílem je pochopitelně dosáhnout 100 %. A v okamžiku, kdy je tohoto cíle dosaženo, měla by se organizace zaměřit na effectiveness measures.
  • Effectiveness/Efficiency measures vyhodnocují účinnost zavedených opatření a vyhodnocují, kolik procent sledovaných objektů není v souladu, nebo jak dlouho něco trvá.
  • Impact measures lze označit za strategické a jsou závislé na plánovacím cyklu a lze je vyhodnocovat až v delším časovém období nebo vůči ostatním tržním subjektům (např. rozpočet na bezpečnost).

Je nasnadě, že organizace, která s řízením bezpečnosti teprve začíná bude mít spíše více performance measures, protože nejprve musí vybraná bezpečnostní opatření všude zavést. Organizace, která již nějaké úrovně vyzrálosti dosáhla, bude naopak sledovat výhradně effectiveness measures.

Bezpečnostní metriky se běžně vytváří z bezpečnostních opatření, kterých je jen v ISO a NIST několik set. A protože lze stav zavedení a účinnost každého bezpečnostního opatření vyhodnocovat prostřednictvím různých metrik, tak to ve výsledku vede k enormnímu počtu metrik.

Z výše uvedeného důvodu je vhodné si ke sledování zvolit jen několik málo bezpečnostních metrik a v gesci každého stakeholdera by se měly dle NIST nacházet jen 2 až 3 bezpečnostní metriky, aby to bylo ještě zvládnutelné. Stakeholder by pak měl u každé metriky stanovit tresholdy, jejichž překročení bude souviset se zvýšením rizika. A pokud toho nebude schopen, tak nezvolil nejspíš tu správnou metriku, kterou by měl sledovat.

Mezinárodní norma ISO/IEC 27004 v příloze B uvádí 36 konkrétních bezpečnostních metrik, které by organizace měla vzít v úvahu. NIST pak uvádí 19 metrik a dá se říci, že jsou podmnožinou. Pokud byste si z těchto metrik nevybrali, tak vám doporučuji sáhnout po CIS v7, který uvádí 171 metrik anebo MITRE, který jich uvádí téměř 500. Nicméně i tady můžete narazit.

Volbu každé bezpečnostní metriky pečlivě zvažte. Ideální jsou ty metriky, které jsou svázány s nějakým rizikem, takže lze snadno vysvětlit jejich účel a jsou vyjádřeny v procentech. O něco méně vhodné jsou pak metriky, jejichž jednotkou je čas a klademe si otázku, jak dlouho něco trvá. A nejméně vhodné jsou pak metriky, kde si klademe otázku, kolik něčeho je a odpověď je v kusech.

U performance i effectiveness measures se budete většinou ptát: „Kolik procent systémů, aplikací, účtů, uživatelů z celkového počtu…“. Dejte si ale pozor, abyste se na jednu metriku neptali „kolik je“ a na jinou zase „kolik není“. Protože pokud se zeptáte kolik systémů je v souladu s politikou, chcete se přiblížit 100 procentům. Zatímco, když se zeptáte, kolik systémů není v souladu, chcete se naopak přiblížit 0.

Je asi jedno, jak budete otázky pokládat, ale je žádoucí, aby v sestavě bezpečnostních metrik, které budete sledovat, reportovat a zobrazovat někde na dashboardu, jste se ptali stejně, protože pak vzniká zmatek, když u jedné metriky cílíte na stovku a u jiné zase na nulu. U většiny metrik s tím asi nebudete mít problém, ale někde tu otázku budete muset otočit anebo odečítat od 100.

U metrik, kde se ptáme, jak dlouho něco trvá, zpravidla usilujeme o to, aby to trvalo co nejkratší dobu. Ovšem vzhledem k tomu, že zde nemáme jasně definovány žádné intervaly, v jakých by se měla výsledná hodnota pohybovat, je tato metrika méně vhodná. Pro stanovení hodnoty, na kterou budete cílit, již musíte mít určité zkušenosti. Protože pokud bude vaším cílem jen zkrátit čas, může to být i značně neefektivní investice, která ve výsledku i přes veškeré vynaložené úsilí ke snížení rizika nepovede.

A konečně metrika, kde se ptáme, kolik něčeho je, a odpověď je pak v počtu kusů, je nejproblematičtější. Často totiž máme tendenci měřit něco, co není vůbec pod naší kontrolou a nemůžeme to dost dobře ovlivnit. To ještě neznamená, že je taková metrika úplně k ničemu. Tyhle metriky jen neodráží úroveň naší bezpečnosti, a už vůbec nemohou být indikátorem toho, zda se v dané oblasti zlepšujeme. Maximálně mohou ukazovat, že se v kyberprostoru něco děje. A budou obdobně užitečné jako předpovědi počasí.

To, že třeba detekujeme více útoků, je obvykle jen proto, že těch útoků je více, anebo že jsme se na jejich detekci více zaměřili. A naopak to, že jich později detekujeme méně, nemusí vůbec znamenat, že těch útoků je skutečně méně. Může jich být méně, ale také jich může být stejně anebo dokonce i více.

Asi už tušíte, že bez znalosti cílů organizace a souvisejících rizik nelze jednoduše stanovit, jaké metriky jsou pro vás ty nejlepší. Ovšem dají se uvést bezpečnostní metriky, které budou pro většinu organizací zcela nevhodné, např.:

  • počet zachycených útoků na infrastrukturu z internetu;
  • počet zachyceného phishingu a SPAMu;
  • počet škodlivých souborů detekovaných antivirem;
  • počet uzamčených účtů v důsledku snahy uhádnout heslo;
  • počet uživatelů, kteří se pokusili o exfiltraci dat a byli zachyceni DLP řešením;
  • počet souborů, které měly být v souladu s politikou šifrovány a nebyly;
  • počet bezpečnostních incidentů nahlášených uživateli;
  • počet neautorizovaných změn;
  • počet neschválených instalací SW;
  • počet neautorizovaných zařízení připojených do sítě;
  • počet osob pohybujících se neoprávněně v prostorách organizace;
  • počet privilegovaných účtů;
  • počet zaměstnanců využívajících sdílený účet;
  • počet zaměstnanců s privilegovaným přístupem do více systémů;
  • počet nezabezpečených/neaktualizovaných zařízení v síti;
  • počet zranitelností;
  • počet zranitelných hostů vystavených do internetu.

A dalo by se samozřejmě pokračovat dále. V dalším dílu si povíme, proč jsou všechny výše uvedené metriky zavrženíhodné. Ale zkuste se nad tím zatím zamyslet sami.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Bezpečnostní metriky – 2. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: