Jak mierzyć bezpieczeństwo?

21 sierpnia 2013, 11:59 | Teksty | 0 komentarzy
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Dzisiaj kilka słów o dość mało znanej, ale interesującej tematyce mierzenia bezpieczeństwa.

Często wdrażając rozmaite mechanizmy mające na celu – przynajmniej w teorii – zwiększenie bezpieczeństwa, nie sprawdzamy czy to bezpieczeństwo… rzeczywiście się zwiększyło. Przykładowo, można wyobrazić sobie sytuację, kiedy konfigurując system klasy IPS (działający in-line) de facto zmniejszymy bezpieczeństwo całości sieci. Całość może być mniej odporna na awarie: wystarczy że system IPS ulegnie uszkodzeniu sprzętowemu lub nie poradzi sobie wydajnościowo ze zbyt dużym ruchem.

Inny przykład – wdrożyliśmy w firmie ISO 2700X. Mamy certyfikat. No dobrze, ale czy realne bezpieczeństwo rzeczywiście wzrosło? Czy ktoś to w ogóle zmierzył? ;)

W tego typu problemach pomocne są tak zwane metryki bezpieczeństwa – czyli w dużym uproszczeniu – pewne pomysły na to, jak mierzyć bezpieczeństwo. Gdzie można dowiedzieć się więcej o metrykach czy ogólnie tematyce mierzenia bezpieczeństwa?

Polecam przy tej okazji książkę „Security Metrics – replacing fear uncertainty and doubt„. Dowiemy się tutaj jak budować własne metryki, które metryki są dobre, a które niekoniecznie. Znajdziemy też kilka informacji fundamentalnych – czyli na przykład po co w ogóle mierzyć bezpieczeństwo. Kilka przykładów:

  • c1Badanie wydanych budżetów na bezpieczeństwo vs osiągane zwiększenie bezpieczeństwa
  • Badanie trendów bezpieczeństwa w czasie (np. dla konkretnego systemu)
  • Porównywanie osiąganego bezpieczeństwa pomiędzy różnymi systemami w firmie
  • Porównanie bezpieczeństwa pomiędzy różnymi organizacjami

Przykłady metryk:

  • Całkowity uptime badanych systemów
  • Średni czas potrzebny na przywrócenie działania systemów po awarii
  • Liczba skutecznie zablokowanych ataków na systemie IPS
  • Liczba wykrytych błędów podczas cyklicznego testu penetracyjnego
  • Stosunek liczby wizyt w portalu do liczby wykrytych ataków
  • Średni czas potrzebny do wgrania na serwery krytycznych poprawek
  • Całkowity koszt związany z usuwaniem infekcji wirusowych w LAN
  • Liczba godzin które zespół bezpieczeństwa może poświęcić na spokojne picie kawy (to oczywiście żart ;)

wifiCała tematyka nie jest z pewnością prosta i oczywista, ciężko jest również zdefiniować metryki uniwersalne – w każdej firmie nacisk na bezpieczeństwo jest nieco inny. Niemniej jednak zachęcam do zaopatrzenia firmowej biblioteki w książkę powyżej, rozważając też dwie inne dobre źródła wiedzy w tym temacie: „IT Security Metrics: A Practical Framework for Measuring Security & Protecting Data” oraz „Security Metrics, A Beginner’s Guide„.

Swoją drogą, ta ostatnia, wchodzi w skład niezłej serii „Beginners Guide” wydawnictwa McGraw-Hill, gdzie w przystępny sposób poczytamy również o bardziej technicznych aspektach bezpieczeństwa, takich jak bezpieczeństwo sieci bezprzewodowych czy bezpieczeństwo aplikacji www.

Miłej lektury :-)

PS
Zachęcam też do zerknięcia na nasze inne mikro recenzje książek.

–michal.sajdak<at>sekurak.pl

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz

Time limit is exhausted. Please reload CAPTCHA.