Jak mierzyć bezpieczeństwo?

Dzisiaj kilka słów o dość mało znanej, ale interesującej tematyce mierzenia bezpieczeństwa.

Często wdrażając rozmaite mechanizmy mające na celu – przynajmniej w teorii – zwiększenie bezpieczeństwa, nie sprawdzamy czy to bezpieczeństwo… rzeczywiście się zwiększyło. Przykładowo, można wyobrazić sobie sytuację, kiedy konfigurując system klasy IPS (działający in-line) de facto zmniejszymy bezpieczeństwo całości sieci. Całość może być mniej odporna na awarie: wystarczy że system IPS ulegnie uszkodzeniu sprzętowemu lub nie poradzi sobie wydajnościowo ze zbyt dużym ruchem.

Inny przykład – wdrożyliśmy w firmie ISO 2700X. Mamy certyfikat. No dobrze, ale czy realne bezpieczeństwo rzeczywiście wzrosło? Czy ktoś to w ogóle zmierzył? ;)

W tego typu problemach pomocne są tak zwane metryki bezpieczeństwa – czyli w dużym uproszczeniu – pewne pomysły na to, jak mierzyć bezpieczeństwo. Gdzie można dowiedzieć się więcej o metrykach czy ogólnie tematyce mierzenia bezpieczeństwa?

Polecam przy tej okazji książkę „Security Metrics – replacing fear uncertainty and doubt„. Dowiemy się tutaj jak budować własne metryki, które metryki są dobre, a które niekoniecznie. Znajdziemy też kilka informacji fundamentalnych – czyli na przykład po co w ogóle mierzyć bezpieczeństwo. Kilka przykładów:

• Badanie wydanych budżetów na bezpieczeństwo vs osiągane zwiększenie bezpieczeństwa
• Badanie trendów bezpieczeństwa w czasie (np. dla konkretnego systemu)
• Porównywanie osiąganego bezpieczeństwa pomiędzy różnymi systemami w firmie
• Porównanie bezpieczeństwa pomiędzy różnymi organizacjami

Przykłady metryk:

• Całkowity uptime badanych systemów
• Średni czas potrzebny na przywrócenie działania systemów po awarii
• Liczba skutecznie zablokowanych ataków na systemie IPS
• Liczba wykrytych błędów podczas cyklicznego testu penetracyjnego
• Stosunek liczby wizyt w portalu do liczby wykrytych ataków
• Średni czas potrzebny do wgrania na serwery krytycznych poprawek
• Całkowity koszt związany z usuwaniem infekcji wirusowych w LAN
• Liczba godzin które zespół bezpieczeństwa może poświęcić na spokojne picie kawy (to oczywiście żart ;)

Cała tematyka nie jest z pewnością prosta i oczywista, ciężko jest również zdefiniować metryki uniwersalne – w każdej firmie nacisk na bezpieczeństwo jest nieco inny. Niemniej jednak zachęcam do zaopatrzenia firmowej biblioteki w książkę powyżej, rozważając też dwie inne dobre źródła wiedzy w tym temacie: „IT Security Metrics: A Practical Framework for Measuring Security & Protecting Data” oraz „Security Metrics, A Beginner’s Guide„.

Swoją drogą, ta ostatnia, wchodzi w skład niezłej serii „Beginners Guide” wydawnictwa McGraw-Hill, gdzie w przystępny sposób poczytamy również o bardziej technicznych aspektach bezpieczeństwa, takich jak bezpieczeństwo sieci bezprzewodowych czy bezpieczeństwo aplikacji www.

Miłej lektury :-)

PS
Zachęcam też do zerknięcia na nasze inne mikro recenzje książek.

–michal.sajdak<at>sekurak.pl