Экономическое обоснование аудита безопасности Сайта. Роль модели угроз и профилей нарушителей

Один из ключевых вопросов, возникающих у заказчика перед аудитом Сайта – определение перечня работ и оценка их стоимости. Иными словами, каким образом обосновать необходимость проведения аудита Сайта в том или ином виде с экономической точки зрения?

Как определить, что более адекватно текущим потребностям:

  • заказать сканирование Сайта автоматическими средствами (условно) у конторы «Джон, Михаэль и их роботы» за 15 000 рублей;
  • заказать исследование Сайта (условно) у конторы «Белые Шляпы Inc.» за 40 000 рублей;
  • или заказать исследование Сайта (условно) у конторы «Сертифицированные эксперты CISSP LTD» за 80 000 рублей?

В данной заметке описывается логика постановки задачи на оценку защищенности Сайта и параметры проекта, требующие согласования. Логика постановки задачи для улучшения восприятия описывается в виде вопросов и ответов.

 

Q. Откуда берется задача по оценке защищенности Сайта?

A. Владельцы Сайта хотят предотвратить отрицательные последствия, связанные с некоторыми событиями. Типичными отрицательными последствиями являются:

  • прямой материальный ущерб; является следствием вывода из строя ключевых IT-ресурсов, от которых зависят процессы организации; в качестве примера можно привести удаление данных из базы Интернет-магазина, DDoS-атаки, неавторизованный доступ к закрытому контенту с последующим его тиражированием и т.п.
  • ущерб репутации; является следствием утечки с Сайта персональных данных, данных о кредитных картах, размещения на Сайте вирусов и прочего ненадлежащего контента, распространения спама и т.п.
  • приостановка деятельности за счет отзыва лицензии; является следствием утечки финансовой информации, в том числе данных о кредитных картах.
  • преследование по закону; является следствием утечки с Сайта, данных, составляющих государственную тайну, персональных данных.  

 

Q. Мы сформулировали перечень нежелательных отрицательных последствий. Что дальше?

A. Следующий этап – понять, какими способами могут быть достигнуты нежелательные последствия. Так появляется перечень актуальных атак, от которых следует защищаться и, как следствие, перечень классов уязвимостей, через которые эти атаки могут осуществляться. Этот перечень называется моделью угроз. Модель угроз позволяет не рассматривать атаки и, соответственно, уязвимости, ущербом от которых можно пренебречь (или заранее заложить в бюджет).

 

Q. Здорово! Мы уже можем сэкономить, обязав исполнителя искать не все-все-все уязвимости, а только актуальные для нас. Можно ли как-то еще повлиять на объем получаемых услуг, чтобы не получить «лишнее» и опять сэкономить?

A. Вообще-то, можно. Идея следующего этапа – оценить мотивацию потенциальных злоумышленников, реализующих атаки на Сайт, и их возможности (квалификацию, инструментарий). Так появляются профили вероятных нарушителей (подробнее про профили типовых нарушителей написано в соответствующей заметке).

 

Q. Как же информация о профилях нарушителей поможет нам сэкономить?  

A. Рассмотрим на примере. Представим, что в результате составления профилей нарушителя стало ясно, что возможности вероятного нарушителя ограничены применением открытых сканнеров уязвимостей. Логично, что для защиты Сайта от такого класса злоумышленников достаточно заранее провести его сканирование известными средствами (или просто самым лучшим сканнером) и устранить найденные уязвимости. Экономически нецелесообразно проводить тщательное изучение исходного кода с последующим устранением всех-всех-всех найденных дефектов.

Таким образом, профили нарушителей позволяют ограничить строгость и полноту проводимого анализа некоторым приемлемым потолком. При этом, заказчик отдает себе отчет в том, что после такого анализа в Сайте останутся уязвимости, но на их поиск и использование у потенциального злоумышленника уйдет неприемлемо много времени и ресурсов (т.е. он прекратит свои попытки до нахождения этой уязвимости).

 

Вместе с нашими клиентами мы всегда проводим тщательные предпроектные работы для согласования всех деталей работ.