Bezpečnostní metriky – 3. díl

bezpečnostní metrikyNyní si vysvětleme, proč jsou příklady metrik, které jsme si uvedli minulém dílu, naprosto nevhodné.

Množství zachycených síťových skenů, pokusů o zneužití zranitelností, e-mailů se škodlivým kódem, bezpečnostních incidentů nebo zranitelných systémů poukazuje na jediné. Že jste schopni to detekovat, ale naprosto nic to nevypovídá o úrovni vaší bezpečnosti.

Dokonce ani když množství detekcí v čase poroste, to nutně nemusí znamenat, že je o vaší organizaci větší zájem nebo že se v detekcích zlepšujete. Počet útoků se totiž mohl zvýšit v celém sektoru. A platí to samozřejmě i naopak, a může to i znamenat, že útočníci již zjistili, co potřebovali. Rovněž nižší počet zachyceného malware, neznamená, že zafungovala bezpečnostní osvěta, ve skutečnosti ho mohlo projít mnohem více.

Problém, je že dané číslo nemáte kromě předchozího období s čím porovnat. Je možné, že některé metriky budou v čase jen růst, některé naopak klesat, některé oscilovat kolem nějaké hodnoty, a některé budou značně stochastické. Měli byste se proto vždy zamyslet nad tím, o čem daná metrika vůbec vypovídá a jak ji chcete interpretovat.

Vždy musíte definovat rozpětí, ve kterém by se zjištěné hodnoty měly pohybovat. A pokud toto nedokážete u dané metriky stanovit, tak to asi nebude ta pravá metrika pro vás. Můžete jí však využít jako argument k navýšení rozpočtu na bezpečnost, ovšem i to má své úskalí. Tušíte jaké otázky může dostat, když budete takto argumentovat a jak na ně odpovědět?

Pokud dokážete stanovit základ, můžete z mnohých metrik udělat velice snadno poměrový ukazatel. Např. počet zařízení, které jsou v souladu či nesouladu s bezpečnostní politikou můžete dělit celkovým počtem zařízení, a výsledek vynásobit 100. A je na nás, zda budete reportovat podíl zařízení, které jsou v souladu (pak se budete chtít přiblížit ku 100 %) anebo v nesouladu (a pak se budete chtít přiblížit 0 %.)

Je nasnadě, že každá organizace je na tom trochu jinak a musí proto volit trochu jinou sadu metrik. Pro organizaci, co ještě nemá zavedenu inventarizaci aktiv, může být pro začátek dobrou metrikou samotný podíl informačních aktiv bez uvedeného vlastníka ku celkovému počtu aktiv. Ovšem pro organizaci, kde je již vlastník stanoven u všech aktiv, nemá smysl tuto metriku vůbec reportovat. Pozor, reportovat neznamená sledovat.

Scestná je rovněž myšlenka začít měřit úroveň bezpečnosti jako první tam, kde by mohlo dle provedené analýzy rizik dojít k největším ztrátám. Je třeba si uvědomit, že útoky jsou primárně vedeny na špatně zabezpečené systémy a to zpravidla bývají ty nejméně významné, které se vůbec nepodílejí na zisku společnosti, ale jsou rovněž připojeny do sítě.

Metriky je třeba konstruovat tak, aby jejich sledování dávalo dlouhodobě smysl a byla do nich nějakým způsobem zahrnuta veškerá aktiva, která tvoří onen pověstný attack surface, nikoliv jen vybraná.

V dalším dílu si povíme, co by u každé metriky mělo být uvedeno.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Bezpečnostní metriky – 3. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: