Ниже мы привводим выдержки из перевода статьи "Демонстрация окупаемости испытаний на проникновение" Марсии Уилсон, по материалам SecurityFocus (перевод www.securitylab.ru). Полный перевод вы можете найти по следующим ссылкам, а ниже  - только самая суть.

http://www.securitylab.ru/analytics/216309.php
http://www.securitylab.ru/analytics/216319.php
http://www.securitylab.ru/analytics/216327.php

Эта статья посвящена демонстрации окупаемости испытаний на проникновение. Возможно, что в своих объяснениях я пойду по не совсем обычному пути, но моей главной целью является научить специалистов по безопасности, как доказать окупаемость тестов на проникновение. Эта серия статей поможет вам понять точку зрения компаний, когда дело касается вложений денег в безопасность. Я предлагаю вам размышлять в терминах традиционного обоснования проекта, а не только в терминах избежания риска, и таким образом вы сможете сочетать две точки зрения при обосновании необходимости испытаний на проникновение.

Вам придется вступить в мир составления бюджета, обоснования стоимости, выделения ресурсов и изучить некоторые другие термины. Но умение говорить на языке менеджмента в дальнейшем сослужит вам хорошую службу.

Термины и обозначения

Риск менеджмент состоит из проведения риск анализа, включая анализ денежных средств на защиту, требуемую для информационных активов, многократные процессы внедрения, наблюдения и управления средствами защиты. Цель риск анализа – подсчет ущерба от различных угроз и уязвимостей, а также от потери функциональности бизнеса в случае реализации угрозы. Под активами мы понимаем ресурсы, компьютерную инфраструктуру (оборудование, ПО, сети), процессы или продукты. Все, что угрожает конфиденциальности, целостности или доступности актива зависит от материального и нематериального определения риска. При оценивании актива важно определить совокупную стоимость владения для каждого актива. Угроза – это нежелаемое влияние, удар. Уязвимость – недостаток или слабинка в защите или мерах безопасности. Меры безопасности – механизм, используемый для уменьшения возможности возникновения угрозы или уязвимости. Наряду с вышеперечисленными обозначениями следует также понимать:

Понимание того, что следует защищать.

Давайте рассмотрим эти формулы на примере нашего ERP Web-проекта, ООО «Придуманное предприятие» планирует увеличить объем электронных транзакций со своими поставщиками с 30% до 80% на протяжении 2 лет. На данный момент они используют пакет ERP (SAP) для операций с поставщиками, но из-за проблем с безопасностью доступ обеспечен только трем самым крупным поставщикам. Поставщики должны использовать VPN для доступа в безопасную часть сеть нашего предприятия, а основанной на веб внешней сети не существует. Для предоставления возможности большему количеству не таких крупных поставщиков производить операции с компанией, начал разрабатываться крупный проект, связывающий пакет ERP с веб. Тем не менее, при таком подходе имеет место серьезный бизнес риск и возникают вопросы, касающиеся безопасности, так как этот подход значительно видоизменяет процесс ведение бизнеса и способы взаимодействия с поставщиками. Подсчеты ROI уже сделаны для оправдания «инициативы ERP поставщик-экстранет». ССВ (Совокупная стоимость владений) требует включение Pen-теста, и перед специалистом по безопасности стоит задача убедить правление в том, что успешное завершение проекта зависит от результатов Pen-теста. Для того, чтобы правление компании поняло значение Pen-теста, требуется дальнейшая работа.

Актив, или активы, требующие защиты должны быть определены и оценены. В нашем проекте, составляющие уже были составлены и в данном случае различные компоненты для системы определены. Такими компонентами могут быть:

 - База(ы) данных поставщика
 - сервер(а) баз данных (аппаратное обеспечение и операционная система)
 - программное обеспечение (для БД)
 - Web-сервер(а) (аппаратное обеспечение и операционная система)
 - Web-приложение (ПО)
 - Сетевые службы (маршрутизатор, межсетевой экран, свитчи, системы обнаружения вторжения, Интернет подключения)

Описание актива и классификация предшествуют его оцениванию, и если клиент не представляет себе четкую картину значения каждого актива, то ему следует задать некоторые вопросы по мере развития проекта. Военные и федеральное правление имеют четко отлаженный процесс классификации информационных активов, хотя в нашем случае вполне хватит общей теории. Значение актива должно базироваться не только на материальных ценностях (ССВ, издержки на переоборудование, сверхурочные), но и на нематериальных, которые труднее всего оценить (специальные знания сотрудников). На примере Web-проекта, если один из важных компонентов системы выходит из строя, это означает, с точки зрения конечного пользователя, что вся система вышла из строя. Так же, если один из уровней безопасности выходит из строя, то вся система подвергается риску. В зависимости от уровня комфорта, встроенного в систему, выход из строя одного из компонентов может затронуть всю систему. Полный комфорт – очень хорошая вещь, которая повышает требования к безопасности на всех уровнях.

Мы живем в мире знаний и информации, и понимание нематериального для нас является очень важным. Далее следую вопросы, которые должен задать специалист по безопасности своим клиентам, чтобы помочь понять значение Pen-теста, целью которого является обнаружение возможных слабинок в построении все системы.  

 - Какой актив принесет самый большой доход?
 - Какой актив является самым полезным?
 - Какой из активов будет дороже всего заменить?
 - Какой из активов будет дороже всего защищать?
 - Какой из активов является самым конфиденциальным?

Значение тестирования

Базы данных – часто самый важный актив из всех, поскольку содержит конфиденциальную, чувствительную и ценную информацию для организации. Целью Pen-теста будет обойти все уровни безопасности, получить доступ к базе данных и поставить ее под угрозу каким-либо способом. По мере того, как тестирующий проходит уровни безопасности одни за другим, все слабинки документируются. Снова же, с точки зрения конечного пользователя, если система работает без сбоев, насколько это хорошо? Например, инцидент безопасности может состоять в том, что хакер вывел web-сервера из строя посредством DoS атаки. Это повредило самый важный актив – базу данных? – Нет. Сделало ли это систему недоступной для пользователя? – Да. Даже если БД является самым важным активом, каждый компонент системы является также важным для успешной работы системы. Значение Pen-теста – понять, где находятся слабинки во всей системе, и помочь клиенту определить, что есть средства защиты, комфорт и меры безопасности, и на каком месте они должны находиться. Обозначение актива и его значимость важны, но боле важным является понимание зависимостей между компонентами и системой как следующий шаг в процессе риск анализа.

Риск анализ требует количественную и качественную информацию. Множество коммерческих продуктов автоматизируют процесс риск анализа, хотя, как ранее говорилось, качественные данные очень сложно получить. Часто требуется персональная беседа с персоналом, занимающимся разработкой, внедрением, реализацией, поддержкой и управлением всей системы. Оценка значения актива определена (более о методах мы расскажем позже), потенциальные угрозы могут быть проанализированы (слабинки и уязвимости задокументированы в процессе Pen-теста) и потенциальные потери могут быть рассчитаны на год на основе знаний о том, как часто может существовать угроза (основываясь на существующей информации: CERT, Symantec, @Stake и собственном опыте).

Вернемся к инциденту. Если Web сервер поставщика будет в оффлайн на протяжении одного дня, то издержки и убытки обойдутся компании в $1M за день (SLE) - переустановка аппаратной/программной части, нарушений сроков производства, потеря производительности, потеря доходов, задержка оплаты и т.д. Основываясь на существующих данных, предполагаемое ежегодное количеств потерь (скажем 50%) умноженное на издержки одного инцидента равно ожидаемой ежегодной потере в $500 000. Организация оценивала базу данных поставщика как самый важный актив, хотя и инцидент безопасности даже не нарушил БД. Инцидент только закрыл доступ к БД, что принесло вред цепочке поставки. Оценка активов заключается не в составлении ССВ, затраченных ресурсов и т.д., а в понимании того, какие потери понесет организации в случае выведения из строя одно из активов. Вот почему, Pen-тест так важен для ведения бизнеса он-лайн. Информационные системы комплексны и соединены между собой. Пониманием зависимостей между активами и эффектом бреши в сетевом компоненте и занимается Pen-тест.

Потребность в осознанных оценках.

Существует огромная потребность в осознанных оценках, когда речь идет о оценивании информационных активов и выборе подходящих мер безопасности. Уровневая безопасность может требовать огромных вложений. На следующие вопросы компании должны дать конкретный ответ:

 - Что именно мы стараемся защитить?
 - Почему именно мы это пытаемся защитить?
 - Как лучше всего это защитить?
 - Что именно случится, если мы это не защитим?
 - Сколь это будет стоить?

Pen-тест пройдет большой путь отвечая на эти вопросы. Хорошо продуманный и задокументированный Pen-тест может обнаружить активы, которые были забыты или не учтены, обнаружить потенциальные слабинки и уязвимости, продемонстрировать зависимости и зависимые слабинки в системе.

Существуют сложные методы оценивания информационных активов, понимание зависимостей и крушение сложных информационных систем. Существуют также простые методы. Например: простой подход может начаться с отчета инвентаризации информационных систем. Добавьте несколько колонок, описывающих цель каждого актива, колонку для зависимостей и колонку для оценки значения актива для организации (низкий, средний, высокий). Как оценить значение? Спросите, какое влияние на организацию будет иметь потеря, кража или выведение из строя этого актива. Это первый шаг, с которого следует начать. Непросто также выбрать меры безопасности, основываясь на значении актива для бизнеса. Именно зависимости систем позволяют выбрать нужные меры безопасности.

Существует метод для принятия комплексных решений, который может использоваться для выбора правильных мер безопасности и защиты для комплексных информационных систем – Аналитический Иерархический процесс – (AHP), разработанный Томасом Саати (Thomas Saaty) предоставляет возможность делать комплексные решения посредством субъективных и объективных временных оценок, предоставляя возможность проверки последовательности этих оценок и альтернатив. Полезно делать комплексные решения с помощью множественных критериев. Организация может разбить компоненты всей системы на отдельный активы, используя метод, включающий цель, критерии и альтернативы и позволяющий дать соответствующую оценку каждому компоненту. (Оценка определяется путем определения влияния потери актива на бизнес). Сравнительные выборы можно сделать с помощью оценивания.

Заключение

Для специалиста по безопасности достаточно понимать, что комплексные методы существуют и должны быть рассмотрены. Хорошо, что многие организации собирают информацию о возможных угрозах и уязвимостях и публикуют ее, так что частоту и типы атак можно понять. Хорошо также, что многие общества по безопасности работают вместе, если дело касается угроз по Интернет. Оценивание не являются большой проблемой будущего. Проблема будущего – это комплексность и взаимозависимость соединенных между собой глобальных систем.