Мережеві атаки: методики оцінки збитків для підприємств Network attacks: damage methodologies for enterprises

Керівник будь-якого підприємства охоче погодиться, що безпека мережі – завдання критично важливе. Але як виміряти в кількісних показниках зиск, який дає підприємству безпеку мережі? Як підприємство може оцінити та обґрунтувати свої інвестиції у засоби забезпечення безпеки мережі (брандмауери наступного покоління, системи запобігання вторгненням та уніфікованого управління загрозами)?

Голова будь-якої організації readily agrees що мережа безпеки є критичною проблемою. Як буде оцінюватися в регулярних термінах benefits, що мережа охорони здоров'я забезпечує територію? Як фірма може оцінювати і justify їх investment в мережі медичних інструментів (next generation firewalls, intrusion prevention і unified threat management devices)?

Хоча не існує точної формули або готового калькулятора для визначення шкоди від атак, є корисні рекомендації та дослідження, з яких ІТ-керівники можуть отримати методики та матеріали для вироблення власної моделі розрахунку. При оцінці збитків від мережевих атак та економічної ефективності брандмауерів наступного покоління необхідно:

  • розмежовувати різні типи мережевих атак;
  • розуміти, як ці атаки відбиваються на фінансових показниках підприємства;
  • виробити методики кількісного виміру впливу мережевих атак.

Типи мережевих атак

Існують сотні різних типів мережевих атак, які можуть завдати шкоди організації. Найбільш поширеними формами атак є:

  • атаки з використанням вірусів, троянських програм, черв'яків та інших шкідливих програм, які можуть відключати сервери та робочі станції та сприяють розкраданню даних;
  • постійні загрози підвищеної складності, якіпризначені для проникнення у мережі з метою непомітного розкрадання інтелектуальної власності та конфіденційної інформації;
  • розподілені атаки типу "відмова в обслуговуванні" (DDoS-атаки) та флуд-атаки, які призводять до переповнення серверів та відключення Web-сайтів.

Вплив мережевих атак на фінансові показники підприємства

Це найболючіше питання. Наслідки атак (незалежно від їхнього конкретного типу) можна розділити на два основні види: витік даних та відмова в обслуговуванні.

Витіки даних у великих організаціях завжди виявляються в перших рядках новин, оскільки в таких випадках викрадена конфіденційна інформація найчастіше передається до рук злочинців чи конкурентів.

Збитки від витоків даних очевидні і призводять до вкрай болючих наслідків. Це може бути як пряма фінансова шкода (втрата прибутку, юридичні та фінансові санкції регулюючих органів, втрати та штрафи внаслідок судових позовів), так і нематеріальні втрати (втрата довіри та лояльності замовників) та втрата конкурентної переваги (наприклад, за рахунок втрати інтелектуальної власності) ). Компанії, які постраждали від витоків даних, витрачають непропорційно велику кількість коштів і часу на виявлення та технічне усунення вторгнень, виявляючи та блокуючи атаки, оцінюючи понесені збитки та реалізуючи заходи щодо підвищення безпеки. До того ж, негативні згадки про витік даних, як правило, ще довго з'являються в пресі після самої атаки.

мережеві

Атаки типу "відмова в обслуговуванні" призводять до того, що комп'ютерні системи (робочі станції, Web-сервери, сервери додатків або сервери баз даних) працюють зі зниженою продуктивністю або зовсім відключаються. Фінансові наслідки таких атак доситьширокі і може бути катастрофічними. У компанії, що постраждала від такої атаки, темпи бізнесу/продажів падають або зовсім завмирають, що безпосередньо впливає на прибуток. Виконання повсякденних операцій зупиняється, оскільки через відключення мережі співробітники що неспроможні виконувати свої обов'язки. Як і у випадку витоків даних, тут очевидна шкода, розмір якої визначається тим, як і наскільки швидко ІТ-відділ і служба техпідтримки можуть діагностувати проблеми, проінструктувати співробітників, запустити сервіси і відновити заражені комп'ютери.

То як же таки оцінити збитки?

Як я вже зазначив, єдиної та універсальної моделі визначення вартості збитків не існує.

Наприкінці 2011 р. компанія Ponemon Institute провела докладне дослідження, в якому брали участь 49 американських компаній з 14 галузей, що зіткнулися з втратою або крадіжкою даних замовників, що зберігаються у них. Ось основні результати дослідження:

  • у середньому вартість витоку даних становить $5,5 млн;
  • втрата прибутку (з розрахунку на одну подію витоку даних) становить $3 млн;
  • вартість заходів, що проводяться після витоку даних (включаючи роботу служби підтримки, вартість заходів щодо усунення, знижки замовникам тощо) становить $1,5 млн.

Такий розрахунок середніх показників на одну подію ґрунтується на досить великій статистиці (зазвичай для розрахунків беруться не менше 100 тис. записів) і дає ІТ-керівникам уявлення про розмір збитків від витоків даних, скориговане з урахуванням масштабу підприємства та фактичної кількості атак.

Компанія NetDiligence провела дослідження на основі матеріалів страхування кіберрисків. Для дослідження було обрано 137 страхових подій, що мали місце між 2009 та 2011 рр., якізавершилися виплатами відшкодувань страховими компаніями. Ось дані щодо середніх розмірів виплат.

  • Розмір виплати у рамках мирової угоди (з розрахунку на одну подію) становив $2,1 млн.
  • Витрати на юридичний захист (з розрахунку на одну подію) становили $582 тис.
  • Загальний обсяг виплаченого страхового відшкодування (в середньому на одну подію) становив $3,7 млн.

Хоча ці два дослідження присвячені різним економічним аспектам, пов'язаним з мережевими атаками, вони обидва показують, наскільки дорогими насправді є мережеві атаки і як від них страждає фінансовий баланс, репутація та конкурентоспроможність підприємства.

збитків

Крім цих показників, корисно брати до уваги і деякі інші параметри, які допоможуть виправдати вкладення в брандмауери наступного покоління:

  • втрату прибутку за кожну годину відключення або зниження продуктивності Web-сайту внаслідок DDoS-атаки;
  • втрати продуктивності за кожну годину зупинки бізнес-процесу, спричиненої відключенням сервера шкідливою програмою;
  • облік витрат (на основі погодинної ставки) на роботу служби техпідтримки (для діагностики зараження комп'ютерів шкідливою програмою) та ІТ-відділу (для відновлення заражених комп'ютерів);
  • облік витрат (з розрахунку на одну подію), пов'язаних із повідомленням замовників або співробітників у разі витоку даних та наданням на один рік безкоштовного моніторингу для постраждалих користувачів.

При оцінці вартості атак можуть бути корисні інші методики. У деяких організаціях для розрахунку збитків від атак використовуються докладні розгалужені схеми, створені в результаті ігрового моделювання. Для моделювання береться репрезентативна вибіркаперсоналу відділів компанії (IT-відділу, відділу маркетингу, відділу кадрів тощо) і для неї розглядається сценарій атаки. Таке опрацювання не тільки допомагає визначити розмір витрат у зв'язку з витоком даних, але й може дати несподівані результати – наприклад, як перегляд договірних зобов'язань або корпоративних нормативних вимог.

Перехід до практичних дій