Положительный возврат инвестиций (ROI – return on investment) в системы обнаружения вторжения (IDS – intrusion detection systems) зависит от стратегии организации и от того, насколько хорошо применение и управление этой технологией помогает организации в достижении поставленных тактических и стратегических целей. Инвестиции организаций, желающих рассчитать пользу от IDS до ее установки, напрямую зависят от их возможности продемонстрировать положительный ROI. Как правило, трудно рассчитать ROI для устройств сетевой безопасности, в частности потому, что сложно точно рассчитать риск вследствие субъективности его измерения. Кроме того, не всегда для учета доступна статистика риска, связанного с бизнесом.
Михаил
Разумов , по материалам SecurityFocus
Положительный возврат инвестиций (ROI – return on
investment) в системы обнаружения вторжения (IDS – intrusion detection systems)
зависит от стратегии организации и от того, насколько хорошо применение и
управление этой технологией помогает организации в достижении поставленных
тактических и стратегических целей. Инвестиции организаций, желающих рассчитать
пользу от IDS до ее установки, напрямую зависят от их
возможности продемонстрировать положительный ROI. Как
правило, трудно рассчитать ROI для устройств сетевой
безопасности, в частности потому, что сложно точно рассчитать риск вследствие
субъективности его измерения. Кроме того, не всегда для учета доступна
статистика риска, связанного с бизнесом.
При рассмотрении внедрения IDS
технологий, возврат инвестиций можно оценить, анализируя разницу между
ожидаемыми ежегодными потерями (ALE – annual loss
expectancy) без IDS и ALE с
установленной IDS, с учетом технологических затрат и
затрат на управление. В итоге, начальной целью является доказательство того, что
выгода от уменьшения ALE при установке и эффективном
управлении IDS технологии выше, чем стоимость
установки и управления IDS. Мы проанализируем, как
методы реализации, управления и политика IDS влияют на
ROI. Эта статья продемонстрирует значение хорошо
продуманной реализации и эффективного управления IDS
технологией и закончится (во 2й части) несколькими упражнениями для расчета
ROI.
Система обнаружения вторжения подразделяется на две разные
технологии: сетевые (NIDS – Network IDS) и хостовые (HIDS
– Host-based IDS). Главное достоинство NIDS в
том, что она может контролировать с одного места всю сеть или любую подсеть.
Таким образом, NIDS может обнаруживать зондирование,
сканирование, злонамеренную и аномальную активность в пределах всей сети. Эти
системы также могут служить для создания картины трафика в сети, а также для
поиска сетевых неисправностей. При использовании механизмов автоответа,
NIDS могут защитить независимые хосты или всю сеть от
злоумышленников. Однако, есть у NIDS и свои слабости.
Это – его подверженность к ложным тревогам и неспособность к обнаружению
некоторых атак, называемых ложными отрицаниями (false negatives).
NIDS также не способны понимать хост-специфичные
процессы и защищать от неавторизованного физического доступа. Технология
HIDS закрывает многие из этих проблем. Однако, она не
способна контролировать всю сеть, как это делает NIDS.
Лучшим способом для минимизации риска является комбинация этих двух систем, где
NIDS установлена на границе сетей, а
HIDS – на критичных серверах, таких как сервер баз
данных, Web-сервер, или важный файл-сервер.
Вообще говоря, большинство из хостовых
IDS имеют стандартную архитектуру, в которой хост-системы работают как
хост-агенты, передавая данные на центральную консоль. Общая их стоимость может
колебаться в зависимости от производителя и программного обеспечения. Цена на
агенты колеблется от $500 до $2000 за каждый, а консоли могут стоить в диапазоне
$3000-$5000. Это не включая ОС, оборудования и обслуживания. Сетевые
IDS могут работать как одиночные хосты с возможным
интерфейсом управления, или консолью. Ориентировочная стоимость на них –
$5000-$20000 в зависимости от производителя, полосы пропускания и функциональных
возможностей. Консоли управления могут бесплатны или стоить несколько тысяч
долларов, в зависимости от производителя. При этом в цену не обязательно входят
оборудование и необходимые базы данных.
Общая стоимость работы IDS
зависит от цены реализации в сочетании с ценой управления. Предоставить
управление IDS человеку, неопытному в этой технологии
– плохая идея, о чем будет еще сказано позже. Некоторые стандартные реализации и
методы управления IDS включают в себя использование
MSSP (Managed Security Services Provider),
использование одного инженера и круглосуточное посменное обслуживание (24x7x365)
квалифицированным персоналом. Безусловно, все зависит от размера организации и
соответствующего IT бюджета. Для маленьких
реализаций IDS поддержка MSSP
гораздо предпочтительнее, чем круглосуточное управление штатом специалистов. В
больших реализациях IDS различие цены между
управлением высококвалифицированным собственным штатом и MSSP
значительно уменьшается. Поддержка одним инженером представляется нереальной для
управления 30 устройствами безопасности. Также, эта модель не учитывает
разработку частных инструментов для эффективного управления несколькими
различными технологиями.
Чтобы подготовиться к следующей части, где мы создадим свою
гипотетическую компанию и рассчитаем ROI, основанный
на эффективной установке и управлении технологиями HIDS
и NIDS, мы должны будем сформулировать
целостный подход для анализа риска, и заодно представить несколько новых
концепций. В нашем аналитическом подходе для расчета ROI,
мы будем использовать обычные формулы и определения, связанные с оценкой
активов, подверженности воздействиям, угрозой, уязвимостью и ожидаемых потерь.
Добавленный нами фактор, называемый каскадным коэффициентом угрозы (CTM
– Cascading Threat Multiplier), позволяет нам
расширить широко используемую формулу для вычисления ожидания единичной потери (SLE
– Single Loss Expectancy): SLE = Exposure Factor (EF) x Asset Value (AV). (Exposure
Factor – фактор подверженности воздействиям, Asset Value – ценность актива.)
Чтобы подчеркнуть важность неочевидных соображений, которые
помогут нам применить наш целостный подход для количественного измерения риска и
расчета ROI, при расчете активов компании необходимо
учитывать престиж фирмы и скрытые издержки. Хотя неочевидные факторы добавляют
субъективность в анализы риска и возврата, тем не менее их важно учитывать.
Стоит отметить, что обычно организации недооценивают ценность некоторых данных,
не осознавая, какую роль они играют в «общей картине». Такова человеческая
природа – когда есть выбор, идти по пути наименьшего сопротивления. Но это очень
опасный путь для тех, кто намерен дать верную оценку активов данных, находящихся
в их сети. Понимание материальных затрат и пользы от актива гораздо проще, чем
понимание неочевидных затрат и пользы от того же актива. Разъяснение этого
вопроса – одна из наших задач, и мы постоянно будем обращаться к ней в этой
статье при вычислении ROI.
Следующие формулы, применяемые обычно для анализа риска и
возврата, получены из различных источников в Интернет и в печати.
Можно измерять информационное значение активов, оценивая
стоимости разработки, приобретения, лицензирования, поддержки и замены ресурса.
(Из
StrongBox Security™ Web site )
Фактор подверженности воздействию (Exposure Factor)
представляет собой процент потери, который могла бы принести реализованная
угроза на определенном активе [когда определенная угроза совпадает с
определенной уязвимостью]. (Из
StrongBox Security™ Web site )
Угроза – единичное событие, которое имеет возможность
причинить вред активу. Угроза обычно проявляется через уязвимость в
информационной системе. (Из
StrongBox Security™ Web site )
Уязвимость – это известный или неизвестный недостаток,
который может быть взломан некоторым количеством известных или неизвестных
угроз.
В итоге, риск рассчитывается в денежных единицах. Для любой
определенной угрозы, мы берем ценность подверженного ей актива и умножаем ее на
фактор подверженности. В итоге получается ожидаемая при исполнении угрозы
потеря, которая и называется ожиданием единичной потери. (Из
Network Intrusion Detection; An Analyst’s Handbook,
2nd Edition by Stephen Northcutt and Judy Novak)
Ожидание ежегодной потери (ALE –
Annual Loss Expectancy) – это ожидаемые за год
финансовые потери актива от одной определенной угрозы (Из
StrongBox Security™ Web site )
Ежегодная частота проявления (ARO
– The Annual Rate of Occurrence) – это ожидаемое
количество проявлений угрозы по отношению к определенному активу. Чем больше
риск (относящийся к угрозе), тем выше значение ARO.
(Из
StrongBox Security™ Web site )
Теперь добавим новую концепцию,
Cascading Threat Multiplier (CTM). Она значительно поможет нам в нашем
анализе и продвинет нас ближе к получению более точного расчета
ROI, что, в свою очередь, сможет помочь нам в
определении эффективности или неэффективности установки IDS
на заданную сеть.
CTM – это несколько субъективный
множитель, который будет добавлен в наше расширенное определение
SLE. CTM фактор учитывает
важность других критических активов, связанных с тем, который анализируется в
расчете SLE. Это также заставляет нас рассматривать
более полную картину при анализе рисков, связанных с данным активом. Формула для
CTM выглядит следующим образом:
В этой формуле, нижележащие уязвленные активы (UEA –
Underlying Exposed Assets) измеряются в долларах. Это активы, которым нанесен
ущерб вследствие реализованной угрозы определенному активу. Asset Value (AV)
соответствует представленным выше вычислениям. Secondary
Exposure Factor (EFS) представляет собой вторичный фактор подверженности
воздействию и относится к проценту потери UEA. EFS
очень похож на EF, с некоторыми небольшими различиями.
Главная причина введения EFS – это учет важности
логического расположения актива внутри сети. Например, если актив – это
Web-сервер, не имеющий доступа внутрь сети или к
какому-либо корпоративному серверу, EFS должен быть
низким, поскольку маловероятно, чтобы хакер смог использовать этот актив для
дальнейшего взлома сети. Но если актив находится в том же домене, что и
остальные серверы (такие как e-mail, DNS, FTP), или нет контроля доступа между
активом и другими серверами, тогда EFS будет выше.
Примерами являются сервера, предлагающие некоторые публичные сервисы, но
заключенные в пределах внутренней сети, или сервера, имеющие
SSH ключи на все остальные сервера.
Важно знать, какие активы легко (и не очень) доступны с
определенного сетевого актива, после того как последний будет взломан. Когда
этот актив взломан и используется как стартовая точка для атак на другие активы
внутри и вне сети компании, компания может понести огромные потери. Если атака
от взломанного актива направлена на другой актив вне организации, даже если сам
владелец не участвовал в злонамеренной деятельности, ему наверняка придется за
это отвечать. Можно предположить значение UEA фактора
в выражении для SLE, представляющего часть доверенных
активов бизнес-партнеров. Легко себе представить удар по бизнесу, с которым бы
столкнулась исходная организация, если бы один из их взломанных активов
использовался как стартовая точка для взлома активов бизнес-партнеров. Каков
риск, выраженный в долларах, в нерассмотрении активов бизнес-партнеров при
вычислении активов вашей компании, когда они, будучи взломаны, могут дать доступ
к более чувствительным данным и системам? Концепция CTM
напоминает нам тщательно изучать активы, находящиеся под нашим контролем,
проводить более полные оценки этих активов, и точнее измерять ущерб, который
может нанести организации взлом этих активов. Давайте предположим, что взломан
Web-сервер, и затем использован злонамеренным лицом
как стартовая точка для атак на другие сетевые активы ценностью в десять раз
большей (в долларах), чем данные, содержащиеся на Web-сервере.
Поскольку злоумышленник скачет от актива к активу, проникая все глубже в сеть,
он, в конце концов, может получить доступ к критичным данным на уязвимом активе
глубоко внутри сети компании. CTM для
Web-сервера должен рассчитываться следующим образом,
если мы предполагаем, что EFS равен 70%, а
UEA = 10: CTM = 1+((10 * .7)
/1) = 8. То есть CTM увеличивает
SLE для взломанного сервера в 8 раз. Для наглядности проследите за белой
стрелкой на рисунке, идущей от взломанного Web-сервера:
Применяя концепцию CTM к расчету
SLE, получаем новое выражение:
Хорошие профессионалы безопасности, возможно, уже учли
концепцию CTM путем включения в свои расчеты
методологии, которая содержит более субъективные, неочевидные факторы в
определении величины AV. Как замечено выше, престиж
фирмы (т.е. доверие партнеров и потребителей) и скрытые издержки (например, если
не рассматривать эффект влияния взломанного актива на другие) представляют собой
нечто аналогичное нашей CTM концепции, где эти
неочевидные факторы учтены в величине AV, используемой
для расчета SLE. Важность учета неочевидных ценностей,
и понимание риска, связанного с ними, есть один из необходимых факторов анализа
риска и возврата. Добавляя концепцию CTM в
традиционный расчет SLE, мы пытаемся включить
неочевидные аспекты оценки активов, чуть ближе подходя к истине.
И, наконец, подведем общую формулу для расчета
ROI:
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
ltdcc shop sell cvv2 dump