Jak zmierzyć bezpieczeństwo

Narzędzia opracowywane przez organizację CIS mogą pozwolić na lepszą ocenę ekonomicznej efektywności inwestycji w system zabezpieczeń.

Narzędzia opracowywane przez organizację CIS mogą pozwolić na lepszą ocenę ekonomicznej efektywności inwestycji w system zabezpieczeń.

Center for Internet Security (http://www.cisecurity.org ) zapowiada opublikowanie przed końcem roku zestawu dokumentów zawierających wytyczne dotyczące zasad bezpiecznej konfiguracji oprogramowania, opisy jej parametrów oraz narzędzia, które będą mogły zostać wykorzystane do obiektywnego, ilościowego pomiaru poziomu bezpieczeństwa systemów IT i oceny efektywności inwestycji w systemy zabezpieczeń. Oprócz tego organizacja ta zamierza udostępnić swoim członkom usługi audytu i anonimowego porównywania poziomu bezpieczeństwa z innymi firmami o podobnym profilu działalności.

"Metody ilościowego pomiaru poziomu bezpieczeństwa są od dawna opracowywane i stosowane, ale zwykle dotyczą one tylko niektórych obszarów zabezpieczeń - parametrów technicznych urządzeń, oprogramowania, mechanizmów związanych z udostępnianiem zasobów użytkownikom lub odpowiedniej definicji i konfiguracji procesów biznesowych. Problemem wciąż pozostaje realny pomiar wartości zwrotu z inwestycji w systemy zabezpieczeń" - mówi Bert Miuccio, dyrektor CIS. Center for Internet Security to niezależna, powstała w 2000 r. organizacja, licząca obecnie 150 członków, którymi są znane firmy i korporacje, osoby indywidualne, a także instytucje rządowe i uniwersytety, przede wszystkim z USA. CIS akceptuje możliwość zostania anonimowym członkiem, na co zdecydowało się 18 korporacji.

Od czasu powstania CIS opublikowała ponad 40 dokumentów i towarzyszących im narzędzi, które umożliwiają analizowanie poziomu zabezpieczeń popularnych systemów operacyjnych, aplikacji, oprogramowania middleware oraz sterowników i kontrolerów urządzeń sieciowych.

Uniwersalny pomiar bezpieczeństwa

Metodyki i narzędzia wykorzystywane do pomiaru bezpieczeństwa, takie jak np. opracowany przez amerykańską agencję NSA (National Security Agency) model IA-CMM (Information Security Assurance Capability Maturity Model), mogą być przydatne przy tworzeniu strategii i planowaniu systemów zabezpieczeń, ale nie zawierają mechanizmów umożliwiających pomiar i ocenę biznesowej efektywności inwestycji w bezpieczeństwo. Z reguły wymagają przeprowadzenia kosztownego audytu bezpieczeństwa systemu IT przez niezależną firmę.

Dlatego też CIS zamierza opublikować poradniki opisujące metody bezpiecznej konfiguracji różnego typu systemów, narzędzia wspomagające audyt, a także oferować usługi dla firm, które chcą anonimowo porównać swój poziom bezpieczeństwa z innymi korporacjami zajmującymi się podobną działalnością. Dokumenty w formacie PDF mają być powszechnie dostępne. Natomiast ich wersje XML, programy narzędziowe, a także usługi będą oferowane tym, którzy zdecydują się przystąpić do organizacji.

Wybór analizowanych parametrów, jak również decyzje dotyczące tego, jakie narzędzia powinny zostać opracowane do ich pomiaru są oparte na opiniach i doświadczeniach ponad 80 specjalistów ds. bezpieczeństwa z instytucji rządowych, uczelni i firm należących do tej organizacji. W efekcie ma powstać coś w rodzaju standardu. Z zasady nie obejmuje on każdego aspektu bezpieczeństwa i indywidualnej konfiguracji systemu IT, ale te elementy, które są typowe i powszechnie wykorzystywane, a więc mogą mieć znaczenie dla większości firm.

Jako osiem podstawowych, jednogłośnie zaakceptowanych przez wszystkich ekspertów parametrów, które określają poziom bezpieczeństwa, CIS przyjął:

  1. Średni czas między incydentami.
  2. Średni czas odtworzenia systemu po incydencie.
  3. Procent systemów, których konfiguracja zabezpieczeń odpowiada uznanym standardom.
  4. Procent działających w firmie systemów, które są aktualizowane i łatane zgodnie z przyjętą w przedsiębiorstwie polityką bezpieczeństwa.
  5. Procent systemów wyposażonych w odpowiednie oprogramowanie antywirusowe.
  6. Względna liczba aplikacji biznesowych, dla których określono poziom ryzyka.
  7. Procent aplikacji biznesowych, ktore zostały przetestowane pod kątem odporno.ci na włamania i liczby luk bezpieczeństwa.
  8. Względna liczba aplikacji, których kod jest poddawany audytowi bezpieczeństwa lub analizie wykorzystującej modelowanie zagrożeń przed ich wdrożeniem w systemach produkcyjnych.

Dodatkowo CIS zamierza udostępnić narzędzia do automatycznego skanowania i raportowania wyników testów bezpieczeństwa infrastruktury IT. Po analizie wyników skanowania prezentowana będzie ogólna ocena poziomu bezpieczeństwa danego systemu w skali 1-10, a także zalecenia dotyczące zmian jego konfiguracji, które mogą je zwiększyć. Narzędzia będzie można wykorzystać do systematycznego monitorowania i testowania poziomu bezpieczeństwa aplikacji, np. do śledzenia wpływu bieżących zmian konfiguracji na potencjalne, zewnętrzne zagrożenia.

Poradniki i narzędzia organizacji CIS

CIS już obecnie oferuje kilkadziesiąt benchmarków (w formie dokumentów PDF), które są zestawami praktycznych informacji o zasadach bezpiecznej konfiguracji różnego typu popularnych aplikacji i systemów. To, które z nich są w obszarze zainteresowania organizacji jest definiowane przez jej członków i poziom ich zainteresowania określonymi systemami.

Każdy CIS Benchmark składa się z dokumentu prezentującego szczegółowe informacje dotyczące zasad bezpiecznej konfiguracji systemu lub aplikacji oraz narzędzia cis-scantool do automatycznego skanowania oprogramowania pod kątem zgodności z prezentowanymi w dokumencie regułami. Skaner służy tylko do zbierania informacji i nie wprowadza żadnych zmian w konfiguracji, które mogłyby zakłócić działanie systemu produkcyjnego.

Oprócz tego organizacja oferuje oprogramowanie do analizy i raportowania zgodności systemu z parametrami określonymi w benchmarkach. Obecnie CIS przygotowuje kolejne tego typu publikacje dotyczące oprogramowania Microsoft Office i SharePoint, sterowników drukarek, aplikacji Tomcat oraz przeglądarek Internet Explorer, Opera i Firefox. Mają one być dostępne w IV kwartale br.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200