Одним из ключевых элементов современного подхода к обеспечению информационной безопасности являются понятия оценки и управления рисками. На сегодняшний день существует довольно много различных стандартов и «лучших практик», посвященных рисковой методологии. Вне всякого сомнения, в свое время переход от жестких требований к более гибкому подходу на основе рисков был революцией, и, на мой взгляд, именно рисковый подход сделал возможной защиту таких изменчивых и сложных систем как корпоративные ERP-системы.

Однако мир не стоит на месте, и кроме вполне ожидаемого появления новых угроз, сценариев их реализации и увеличения сложности защищаемых систем изменяется и другой важный параметр — максимально допустимая длительность цикла оценки рисков. Этот параметр предельно сократился. Еще недавно вполне допустимым представлялся 3-месячный цикл оценки рисков, однако теперь решения, принимаемые на основе результатов такой оценки, становятся неприемлемыми. Причина этого очень проста: управление рисками становится как инструментом обоснования затрат на ИБ, так и инструментом принятия оперативных решений.

Классический запрос в службу информационной безопасности «Прошу предоставить сетевой доступ из точки „А“ в точку „Б“», ранее решаемый на основе корпоративной политики ИБ, регламентов сетевого доступа или аналогичных документов, сейчас требует четкого и взвешенного ответа: на каких условиях данный доступ может быть предоставлен. Просто сказать «нет» уже не получается. В таких условиях цена конкретного решения становится очень высокой. Первой ласточкой смены парадигм был сравнительно новый американский стандарт NIST SP 800-137 «Information Security Continuous Mo­nitoring (ISCM) for Federal Information Systems and Organizations». Именно в нем впервые формулируется настоятельная необходимость в системах, способных осуществлять оценку рисков ИБ в режиме, близком к реальному времени.

Кроме скорости расчета рисков требуется обеспечить достаточный уровень детализации проводимого анализа. Ведь высокоуровневые рассуждения о необходимости «сегрегации сетей» никаким образом не помогают в обоснованном ответе о последствиях предоставления сетевого доступа и условиях, когда эти последствия будут приемлемыми для организации.

Говоря иными словами, требуемая на современном этапе распространения ИТ-технология оценки рисков должна:

• работать с реальной, а не «абстрагированной»/упрощенной топологией сети организации;
• оперировать реально обнаруженными уязвимостями на всех сетевых устройствах сети;
• иметь возможность взаимодействовать сразу с несколькими сканерами уязвимостей;
• обеспечивать формирование групп ИТ-средств и СЗИ в топологические группы с формализацией разрешенных способов взаимодействия между ними;
• позволять назначение различных весов ценности для групп активов;
• строить векторы многошаговых атак;
• уметь интегрироваться с SIEM для формализации критериев обнаружения транзакций атаки в журналах как подтверждение факта адекватности прогноза;
• автоматически осуществлять сбор всей необходимой информации;
• в течение нескольких минут проводить анализ рисков при изменении правил сетевого взаимодействия в сети.

Системы, реализующие требуемый функционал, образуют новый класс — SPM (Security Posture Management) или системы управления состоянием безопасности.

< ... >