SlideShare una empresa de Scribd logo

Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность

Vsevolod Shabad
Vsevolod Shabad

Доклад "Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность" на вебинаре ACFE 15.12.2021

Empresariales
1 de 22
Descargar para leer sin conexión
Как оценить пользу от ИБ и увязать с нею инвестиции?
Кратко обо мне: ненастоящий безопасник Программист: 1985 - 1996 Сетевой инженер: 1992 - 2004 Руководитель проектов: 1999 - … Генеральный директор: 2000 – 2017 Архитектор вычислительных комплексов: 2012 - 2018 CIO: 2018 - 2020 CISO (кибербезопасность, противодействие мошенничеству): 2021 www.linkedin.com/in/vshabad - много леденящих душу подробностей
Особенности «больших продаж» по Н. Рекхэму: • продолжительность жизненного цикла • объем обязательств покупателя • продолжительные отношения • риск совершения ошибок Похожая ситуация и с ИБ: • серьезные инвестиции в ИБ = «большая продажа» «Большие продажи» применительно к ИБ
Выгода и стоимость инф. безопасности • ФОТ персонала службы ИБ • Стоимость СЗИ • Потери производительности персонала компании Потери от реализации киберугроз • прямые убытки • штрафы, пени, уголовные и адм. дела • недополученные доходы
Оргструктура зрелой службы ИБ • CISO • SOC (Blue Team): • L1 – 12 ПШЕ* • L2 – 6 ПШЕ • разработчики – 4 ПШЕ • Red Team: • пентестеры – 2 ПШЕ • аналитики киберрисков – 2 ПШЕ • бизнес-аналитики – 2 ПШЕ • Поддержка СЗИ (в ИТ): • инженеры – 4 ПШЕ • Архитекторы ИБ: • 5 ПШЕ • Антифрод: • L1 – 20 ПШЕ (фрод-операторы) • L2 – 10 ПШЕ (фрод-офицеры) • L3 – 5 ПШЕ (фрод-аналитики) • техподдержка антифрод-системы – 2 ПШЕ • Методологи ИБ: • 10 ПШЕ * ПШЕ – полная штатная единица
Результативность службы ИБ? • SOC: • сколько времени решаются инциденты ИБ? • какая доля ложных срабатываний? • на какой стадии пресекается атака? • какой «средний чек» ущерба? проникновение злоумышленника хищение средств на карте хищение онлайн-кредита получение онлайн-кредита t0 t4 t1 t2 t3
Результативность службы ИБ? • Методология ИБ • насколько результативны ВНД? • насколько результативно обучение сотрудников? Источник: отчет Antifishing.ru за 2020 год
Типичный набор СЗИ • Межсетевые экраны • WAF (Web Application Firewall) • DLP-система • Антивирусы • SIEM-система • «Песочница» для malware • Anti-DDoS • Сканеры уязвимостей • …
Типичный набор СЗИ • Межсетевые экраны • WAF (Web Application Firewall) • DLP-система • Антивирусы • SIEM-система • «Песочница» для malware • Anti-DDoS • Сканеры уязвимостей • …
И еще про ИБ и продуктивность работы Типичное согласование доступа сотрудника к ИС – 4 рабочих дня • руководитель сотрудника: • 5 мин + 1 день на ожидание • владелец ИС: • 5 мин + 1 день на ожидание • менеджер ИБ • 5 мин + 2 дня на ожидание Итого простой сотрудника составляет 4 рабочих дня: • минус 20% продуктивности!
Что можно сделать? • Оценить ИТ-активы и сервисы • выбрать критичные, • сфокусироваться на них • оценить стоимость потери конфиденциальности, целостности, доступности • Построить модели угроз • группы злоумышленников • самые вероятные векторы атаки • приемлемые остаточные риски • меры митигации угроз • Настроить СЗИ на реализацию выбранных мер митигации • мониторинг срабатываний • аналитика результативности и корректировка моделей угроз • Упростить правила ИБ и автоматизировать их • Построить и мониторить SLA для процессов безопасности
Пример оценки киберрисков (FAIR) В банке XXX транзакционная активность клиента в течение полугода после фрод-инцидента падает почти до нуля. Комиссионные доходы банка в расчете на клиента в год падают на YYY – хорошая оценка Secondary Loss Magnitude!
Пример: как оценивать Contact Frequency?
Пример: как оценивать Vulnerability?
Настройка СЗИ: вопросы к результативности • На примере Next-Generation Firewall: • какие вредоносные действия заблокированы правомерно? • какие вредоносные действия заблокированы ошибочно? почему? • какие вредоносные действия пропущены? почему? • насколько оперативно обновляются сигнатуры? • что происходит при перегрузке устройства трафиком? • как долго идет обновление конфигураций/настроек? • как идет сигнализация в SIEM, что NGFW работает? не работает? • … • Механизмы проверки: • мониторинг потока событий, мониторинг обновлений сигнатур • тестирование на проникновение (симуляция атаки)
Настройка СЗИ: оперативность реакции?
Настройка СЗИ: вопросы (вторая порция) • На примере Next-Generation Firewall: • насколько оперативно вендор выпускает новые сигнатуры? • насколько оперативно мы обновляем сигнатуры в устройстве? • какова динамика попыток использования новых уязвимостей? • если мы не видим всплеска попыток – какова причина? • есть ли возможность использовать уязвимость изнутри сети? (мимо NGFW) • как мы можем выявить такие попытки? • если попыток не было – действительно не было или плохо искали? • …
Упрощение и автоматизация правил ИБ Пример правил согласования сетевых доступов для непромышленных контуров (DEV, TEST, LOAD) • Доступ к инфраструктурным сервисам (DNS, SYSLOG, NTP, системе мониторинга) – открыт • Доступ со сканеров уязвимостей службы ИБ – открыт по всем IP-протоколам, адресам и портам • Доступ сотрудникам подразделения-владельца ВМ – открыт • Доступ к Интернету – открыт через прокси-сервер • Доступ к другим ВМ, принадлежащим тому же подразделению и расположенных в этом же контуре – открыт • Доступ из Интернета – открыт по запросу любого сотрудника того подразделения, которому принадлежит ВМ, после согласования службы ИБ • Доступ с других ВМ – открыт по запросу любого сотрудника после согласования любым сотрудником подразделения-владельца машины-получателя (аудит службы ИБ постфактум) • Доступ к Интернету через прокси-сервер – закрыт по запросу любого сотрудника того подразделения, которому принадлежит ВМ (аудит службы ИБ постфактум) • Доступ к Интернету напрямую – открыт по запросу любого сотрудника того подразделения, которому принадлежит ВМ, после согласования службы ИБ • Доступ к другим ВМ – закрыт по запросу любого сотрудника подразделения-владельца машины-отправителя (аудит службы ИБ постфактум) • Доступ прочим сотрудникам – открыт по запросу любого сотрудника того подразделения после авторизации согласующим (аудит службы ИБ постфактум) • Остальное запрещено согласований не нужно вовсе минимум согласований, решение за час
SLA для службы ИБ • SOC: • сколько времени решаются инциденты ИБ? • какая доля ложных срабатываний? • на какой стадии пресекается атака? • какой «средний чек» ущерба? 20 27 29 30 28 14 0 5 10 15 20 25 30 35 янв.21 фев.21 мар.21 апр.21 май.21 июн.21 Сроки решения 90% ИИБ, дней 8 3 9 3 10 4 4 1 7 1 0 2 4 6 8 10 12 Сроки решения 90% ИИБ, дней
SLA для службы ИБ • SOC: • сколько времени решаются инциденты ИБ? • какая доля ложных срабатываний? • на какой стадии пресекается атака? • какой «средний чек» ущерба? 17.июн 24.июн 01.июл 08.июл 15.июл 22.июл 29.июл 05.авг 12.авг 19.авг 26.авг 02.сен Еженедельная динамика «среднего чека» ущерба клиентам по фрод-инцидентам Предотвращенный ущерб Подтвержденный ущерб
Краткое резюме: измеримая польза от ИБ IDENTIFY Отказ от затрат на защиту низкоприоритетных активов и сервисов и защиту от мифических угроз PROTECT Повышение продуктивности из-за смягчения запретов Отказ от неэффективных СЗИ DETECT Выявление скрытых утечек данных и проникновения злоумышленников RESPOND Пресечение потерь конфиденциальности, целостности, доступности RECOVER Минимизация потерь от реализации инцидентов Защита от шантажа «шифровальщиков» NIST Cybersecurity Framework Functions
Буду рад оказаться полезным! Всеволод Шабад, независимый консультант +7 777 726 47 90 Vsevolod.Shabad@gmail.com https://linkedin.com/in/vshabad

Recomendados

ITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in CybersecurityITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in Cybersecurity
Vsevolod Shabad
 
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Vsevolod Shabad
 
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Expolink
 
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
Expolink
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistemObespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
E-Money News
 
Внедрение IDM
Внедрение IDMВнедрение IDM
Внедрение IDM
Альбина Минуллина
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
 

Recomendados

ITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in CybersecurityITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in Cybersecurity
Vsevolod Shabad
 
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Vsevolod Shabad
 
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Expolink
 
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
Expolink
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistemObespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
E-Money News
 
Внедрение IDM
Внедрение IDMВнедрение IDM
Внедрение IDM
Альбина Минуллина
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
 
Защищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсыЗащищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсы
ЭЛВИС-ПЛЮС
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
Тенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасностьТенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасность
Aleksey Lukatskiy
 
Лаборатория Касперского. Сергей Булович. "Целенаправленная атака может стоить...
Лаборатория Касперского. Сергей Булович. "Целенаправленная атака может стоить...Лаборатория Касперского. Сергей Булович. "Целенаправленная атака может стоить...
Лаборатория Касперского. Сергей Булович. "Целенаправленная атака может стоить...
Expolink
 
Мировой опыт SOC'остроения
Мировой опыт SOC'остроенияМировой опыт SOC'остроения
Мировой опыт SOC'остроения
Positive Hack Days
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.
Expolink
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 год
Aleksey Lukatskiy
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
 
InfoWatch Attack Killer
InfoWatch Attack KillerInfoWatch Attack Killer
InfoWatch Attack Killer
Kirill Martynenko
 
Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"
Aleksey Lukatskiy
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Expolink
 
NSX Security
NSX SecurityNSX Security
NSX Security
Альбина Минуллина
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
 
InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...
InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...
InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...
Expolink
 
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
Clouds NN
 
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Expolink
 
How SAP make secure SAP
How SAP make secure SAPHow SAP make secure SAP
How SAP make secure SAP
Positive Hack Days
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Dmytro Petrashchuk
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
Solar Security
 

Más contenido relacionado

La actualidad más candente

Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.
Expolink
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
 
Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"
Aleksey Lukatskiy
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Expolink
 
InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...
InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...
InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...
Expolink
 
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
Clouds NN
 
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Expolink
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Dmytro Petrashchuk
 

La actualidad más candente (20)

Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Защищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсыЗащищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсы
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Тенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасностьТенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасность
 
Лаборатория Касперского. Сергей Булович. "Целенаправленная атака может стоить...
Лаборатория Касперского. Сергей Булович. "Целенаправленная атака может стоить...Лаборатория Касперского. Сергей Булович. "Целенаправленная атака может стоить...
Лаборатория Касперского. Сергей Булович. "Целенаправленная атака может стоить...
 
Мировой опыт SOC'остроения
Мировой опыт SOC'остроенияМировой опыт SOC'остроения
Мировой опыт SOC'остроения
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 год
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
InfoWatch Attack Killer
InfoWatch Attack KillerInfoWatch Attack Killer
InfoWatch Attack Killer
 
Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 
NSX Security
NSX SecurityNSX Security
NSX Security
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...
InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...
InfoWatch. Рустем Хайретдинов. "Защита веб-приложений - от безопасной разрабо...
 
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
 
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
Microsoft. Андрей Иванов. "Удивительное рядом - безопасность из облака"
 
How SAP make secure SAP
How SAP make secure SAPHow SAP make secure SAP
How SAP make secure SAP
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 

Similar a Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность

От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
jet_information_security
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
qqlan
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
jet_information_security
 

Similar a Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность (20)

пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построили
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
 
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 

Más de Vsevolod Shabad

С широко закрытыми глазами - риск-ориентированный подход к миграции в облака
С широко закрытыми глазами - риск-ориентированный подход к миграции в облакаС широко закрытыми глазами - риск-ориентированный подход к миграции в облака
С широко закрытыми глазами - риск-ориентированный подход к миграции в облака
Vsevolod Shabad
 
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Vsevolod Shabad
 
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктурыОбработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Vsevolod Shabad
 
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктурыГидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Vsevolod Shabad
 

Más de Vsevolod Shabad (20)

Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
 
Agile-подходы в ИБ
Agile-подходы в ИБAgile-подходы в ИБ
Agile-подходы в ИБ
 
State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...
 
How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...
 
Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...
 
С широко закрытыми глазами - риск-ориентированный подход к миграции в облака
С широко закрытыми глазами - риск-ориентированный подход к миграции в облакаС широко закрытыми глазами - риск-ориентированный подход к миграции в облака
С широко закрытыми глазами - риск-ориентированный подход к миграции в облака
 
Public clouds - tasty but scary
Public clouds - tasty but scaryPublic clouds - tasty but scary
Public clouds - tasty but scary
 
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
 
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
 
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
 
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктурыОбработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
 
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктурыГидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
 
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмикиМощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
 
СХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзорСХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзор
 
Возможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеровВозможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеров
 
Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)
 
About NetProject (brief profile)
About NetProject (brief profile)About NetProject (brief profile)
About NetProject (brief profile)
 
Программно-технические комплексы для работы с геолого-геофизическими данными
Программно-технические комплексы для работы с геолого-геофизическими даннымиПрограммно-технические комплексы для работы с геолого-геофизическими данными
Программно-технические комплексы для работы с геолого-геофизическими данными
 
О компании СетьПроект (краткий обзор)
О компании СетьПроект (краткий обзор)О компании СетьПроект (краткий обзор)
О компании СетьПроект (краткий обзор)
 
Как получать больше, платить меньше и спокойно спать по ночам
Как получать больше, платить меньше и спокойно спать по ночамКак получать больше, платить меньше и спокойно спать по ночам
Как получать больше, платить меньше и спокойно спать по ночам
 

Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность

  • 1. Как оценить пользу от ИБ и увязать с нею инвестиции?
  • 2. Кратко обо мне: ненастоящий безопасник Программист: 1985 - 1996 Сетевой инженер: 1992 - 2004 Руководитель проектов: 1999 - … Генеральный директор: 2000 – 2017 Архитектор вычислительных комплексов: 2012 - 2018 CIO: 2018 - 2020 CISO (кибербезопасность, противодействие мошенничеству): 2021 www.linkedin.com/in/vshabad - много леденящих душу подробностей
  • 3. Особенности «больших продаж» по Н. Рекхэму: • продолжительность жизненного цикла • объем обязательств покупателя • продолжительные отношения • риск совершения ошибок Похожая ситуация и с ИБ: • серьезные инвестиции в ИБ = «большая продажа» «Большие продажи» применительно к ИБ
  • 4. Выгода и стоимость инф. безопасности • ФОТ персонала службы ИБ • Стоимость СЗИ • Потери производительности персонала компании Потери от реализации киберугроз • прямые убытки • штрафы, пени, уголовные и адм. дела • недополученные доходы
  • 5. Оргструктура зрелой службы ИБ • CISO • SOC (Blue Team): • L1 – 12 ПШЕ* • L2 – 6 ПШЕ • разработчики – 4 ПШЕ • Red Team: • пентестеры – 2 ПШЕ • аналитики киберрисков – 2 ПШЕ • бизнес-аналитики – 2 ПШЕ • Поддержка СЗИ (в ИТ): • инженеры – 4 ПШЕ • Архитекторы ИБ: • 5 ПШЕ • Антифрод: • L1 – 20 ПШЕ (фрод-операторы) • L2 – 10 ПШЕ (фрод-офицеры) • L3 – 5 ПШЕ (фрод-аналитики) • техподдержка антифрод-системы – 2 ПШЕ • Методологи ИБ: • 10 ПШЕ * ПШЕ – полная штатная единица
  • 6. Результативность службы ИБ? • SOC: • сколько времени решаются инциденты ИБ? • какая доля ложных срабатываний? • на какой стадии пресекается атака? • какой «средний чек» ущерба? проникновение злоумышленника хищение средств на карте хищение онлайн-кредита получение онлайн-кредита t0 t4 t1 t2 t3
  • 7. Результативность службы ИБ? • Методология ИБ • насколько результативны ВНД? • насколько результативно обучение сотрудников? Источник: отчет Antifishing.ru за 2020 год
  • 8. Типичный набор СЗИ • Межсетевые экраны • WAF (Web Application Firewall) • DLP-система • Антивирусы • SIEM-система • «Песочница» для malware • Anti-DDoS • Сканеры уязвимостей • …
  • 9. Типичный набор СЗИ • Межсетевые экраны • WAF (Web Application Firewall) • DLP-система • Антивирусы • SIEM-система • «Песочница» для malware • Anti-DDoS • Сканеры уязвимостей • …
  • 10. И еще про ИБ и продуктивность работы Типичное согласование доступа сотрудника к ИС – 4 рабочих дня • руководитель сотрудника: • 5 мин + 1 день на ожидание • владелец ИС: • 5 мин + 1 день на ожидание • менеджер ИБ • 5 мин + 2 дня на ожидание Итого простой сотрудника составляет 4 рабочих дня: • минус 20% продуктивности!
  • 11. Что можно сделать? • Оценить ИТ-активы и сервисы • выбрать критичные, • сфокусироваться на них • оценить стоимость потери конфиденциальности, целостности, доступности • Построить модели угроз • группы злоумышленников • самые вероятные векторы атаки • приемлемые остаточные риски • меры митигации угроз • Настроить СЗИ на реализацию выбранных мер митигации • мониторинг срабатываний • аналитика результативности и корректировка моделей угроз • Упростить правила ИБ и автоматизировать их • Построить и мониторить SLA для процессов безопасности
  • 12. Пример оценки киберрисков (FAIR) В банке XXX транзакционная активность клиента в течение полугода после фрод-инцидента падает почти до нуля. Комиссионные доходы банка в расчете на клиента в год падают на YYY – хорошая оценка Secondary Loss Magnitude!
  • 15. Настройка СЗИ: вопросы к результативности • На примере Next-Generation Firewall: • какие вредоносные действия заблокированы правомерно? • какие вредоносные действия заблокированы ошибочно? почему? • какие вредоносные действия пропущены? почему? • насколько оперативно обновляются сигнатуры? • что происходит при перегрузке устройства трафиком? • как долго идет обновление конфигураций/настроек? • как идет сигнализация в SIEM, что NGFW работает? не работает? • … • Механизмы проверки: • мониторинг потока событий, мониторинг обновлений сигнатур • тестирование на проникновение (симуляция атаки)
  • 17. Настройка СЗИ: вопросы (вторая порция) • На примере Next-Generation Firewall: • насколько оперативно вендор выпускает новые сигнатуры? • насколько оперативно мы обновляем сигнатуры в устройстве? • какова динамика попыток использования новых уязвимостей? • если мы не видим всплеска попыток – какова причина? • есть ли возможность использовать уязвимость изнутри сети? (мимо NGFW) • как мы можем выявить такие попытки? • если попыток не было – действительно не было или плохо искали? • …
  • 18. Упрощение и автоматизация правил ИБ Пример правил согласования сетевых доступов для непромышленных контуров (DEV, TEST, LOAD) • Доступ к инфраструктурным сервисам (DNS, SYSLOG, NTP, системе мониторинга) – открыт • Доступ со сканеров уязвимостей службы ИБ – открыт по всем IP-протоколам, адресам и портам • Доступ сотрудникам подразделения-владельца ВМ – открыт • Доступ к Интернету – открыт через прокси-сервер • Доступ к другим ВМ, принадлежащим тому же подразделению и расположенных в этом же контуре – открыт • Доступ из Интернета – открыт по запросу любого сотрудника того подразделения, которому принадлежит ВМ, после согласования службы ИБ • Доступ с других ВМ – открыт по запросу любого сотрудника после согласования любым сотрудником подразделения-владельца машины-получателя (аудит службы ИБ постфактум) • Доступ к Интернету через прокси-сервер – закрыт по запросу любого сотрудника того подразделения, которому принадлежит ВМ (аудит службы ИБ постфактум) • Доступ к Интернету напрямую – открыт по запросу любого сотрудника того подразделения, которому принадлежит ВМ, после согласования службы ИБ • Доступ к другим ВМ – закрыт по запросу любого сотрудника подразделения-владельца машины-отправителя (аудит службы ИБ постфактум) • Доступ прочим сотрудникам – открыт по запросу любого сотрудника того подразделения после авторизации согласующим (аудит службы ИБ постфактум) • Остальное запрещено согласований не нужно вовсе минимум согласований, решение за час
  • 19. SLA для службы ИБ • SOC: • сколько времени решаются инциденты ИБ? • какая доля ложных срабатываний? • на какой стадии пресекается атака? • какой «средний чек» ущерба? 20 27 29 30 28 14 0 5 10 15 20 25 30 35 янв.21 фев.21 мар.21 апр.21 май.21 июн.21 Сроки решения 90% ИИБ, дней 8 3 9 3 10 4 4 1 7 1 0 2 4 6 8 10 12 Сроки решения 90% ИИБ, дней
  • 20. SLA для службы ИБ • SOC: • сколько времени решаются инциденты ИБ? • какая доля ложных срабатываний? • на какой стадии пресекается атака? • какой «средний чек» ущерба? 17.июн 24.июн 01.июл 08.июл 15.июл 22.июл 29.июл 05.авг 12.авг 19.авг 26.авг 02.сен Еженедельная динамика «среднего чека» ущерба клиентам по фрод-инцидентам Предотвращенный ущерб Подтвержденный ущерб
  • 21. Краткое резюме: измеримая польза от ИБ IDENTIFY Отказ от затрат на защиту низкоприоритетных активов и сервисов и защиту от мифических угроз PROTECT Повышение продуктивности из-за смягчения запретов Отказ от неэффективных СЗИ DETECT Выявление скрытых утечек данных и проникновения злоумышленников RESPOND Пресечение потерь конфиденциальности, целостности, доступности RECOVER Минимизация потерь от реализации инцидентов Защита от шантажа «шифровальщиков» NIST Cybersecurity Framework Functions
  • 22. Буду рад оказаться полезным! Всеволод Шабад, независимый консультант +7 777 726 47 90 Vsevolod.Shabad@gmail.com https://linkedin.com/in/vshabad