а второй, появившейся и чуть раньше и, на мой взгляд, более известной, была тоже четырехуровневая система визуализации уровня киберугрозы AlertCon от подразделения X-Force компании ISS, позже перекочевавшая в IBM.
Сегодня обе эти системы тоже существуют, но не выходят за пределы продуктов упомянутых компаний. Например, тот же AlertCon, немного изменившийся визуально, отображается в качестве виджета Internet Threat Information Center на дашборде Threat & Security Monitoring в QRadar (или на сайте X-Force). Он постоянно обновляется и видя любой из 4-х уровней угрозы, по задумке авторов, специалисты по ИБ должны сразу понять, что сейчас происходит и какие действия необходимо предпринимать. Стоп-стоп-стоп… Что-то я забежал вперед. Уровень угрозы от ISS/IBM и Symantec/Broadcom еще не говорят, что вам делать, а только визуализируют текущий уровень опасности; что с ним делать — необходимо определять самостоятельно (и в каждой организации этот перечень действий будет явно свой).
Вся проблема в этих уровнях угрозы, что за каждым из 4-х значений скрывается что-то свое и без 100 грамм непросто понять, что имели ввиду авторы такой системы, указывая тот или иной уровень. Слишком уж велик уровень абстракции — ведь формула расчета уровня угроза неочевидна. Например, так выглядит описание уровней угроз для XIBM -Force AlertCon:
Без понятной формулы расчета уровня киберугрозы (или ее составных частей, при использовании внешней системы оценки) пользоваться ими сложно и кроме бесполезной траты усилий такая система ничего не даст.
Понимая это, предпринималось немало попыток запустить систему, которая бы была лишена недостатка абстракции и действительно позволяла бы, только взглянув на цветовой индикатор, понять «куда бежать» и «что делать». Одной из таких попыток является система, предложенная центром анализа и обмена информацией об ИБ MS-ISAC, задачей которого является предоставление федеральным и локальным органам власти США актуальной информации о киберугрозах. Система ISACов — это некий аналог CERTов, который, однако сфокусирован не на реагировании, а на оповещении (хотя в России государственные «церты» тоже не занимаются реагированием, а только оповещением). Функционирует MS-ISAC при… нет, не при компании Microsoft, а при Center for Internet Security, о проектах которого я уже
писал неоднократно. И вот MS ISAC разработал свою, пятиуровневую систему оценки киберугрозы, на которую ориентируются все федеральные, региональные и муниципальные американские власти.MS-ISAC выделяет 5 уровней опасностей в виртуальном пространстве:
Каждый уровень, согласно описанию на сайте MS-ISAC, сопровождается примерами угроз, список действий, которые должны быть реализованы в случае изменения уровня опасности, а также способами уведомления о смене уровня. Например, возьмем оранжевый уровень опасности (ORANGE или HIGH), который характеризует угрозу компрометации ядра инфраструктуры или отказ ряда государственных сервисов. Примерами угроз на этом уровне являются критическая уязвимость, которая может повлечь за собой серьезные последствия, получение административных привилегий или множественные атаки «отказ в обслуживании» против критических инфраструктурных сервисов. Да, тут тоже присутствует определенная абстракция, так как у каждого муниципалитета или властей штата могут быть свои критические системы и свои последствия, которые сложно описывать или управлять централизованно.Получив сигнал об оранжевом уровне опасности американские органы власти обязаны продолжать выполнять все рекомендации с предыдущего уровня угрозы, усилить мониторинг ИБ, ограничить подключение или отключить некритичные соединения с Интернет, изолировать отдельные сегменты, использовать альтернативные методы коммуникаций, а также по возможности немедленно пропатчиться и установить последние обновления на средства защиты. Уведомление о переходе на данный уровень киберугрозы приходят на заранее заданный адрес e-mail и по телефону, в то время время как на нижележащих уровнях оповещение ограничивается просто сайтом.
Каждый орган власти, опираясь на полученную от MS-ISAC информацию, использует ее для выстраивания собственной системы защитных мероприятий, в том числе немедленных, привязанных к уровню угрозы. Кто-то из госорганов не особо мудрствует и размещает у себя на сайте очень упрощенный вариант «светофора». Так, например, поступили власти Нью-Гемпшира. А вот власти Пенсильвании сделали визуализации уровня киберугрозы гораздо красивее (см выше).
Для вычисления уровня угрозы используется следующая формула:
Уровень = (Критичность + Летальность) — (Системные защитные меры + Сетевые защитные меры), где
- Критичность определяет цель для киберугрозы по пятибальной шкале (1 — домашние пользователи; 5 — сервисы ядра, такие как DNS, маршрутизаторы, VPN и т.п.).
- Летальность определяет потенциальный ущерб по пятибальной шкале (1 — известных эксплойтов нет, злоумышленник не может получить доступа; 5 — эксплойт существует, злоумышленник может получить административные привилегии или реализовать отказ в обслуживании).
- Системные защитные меры определяют используемые технологии и механизмы защиты на уровне хостов по пятибалльной шкале (1 — устаревшие ОС с отсутствующим антивирусом; 5 — пропатченные актуальные версии ОС с HIDS/EDR, актуальные антвирусные базы).
- Сетевые защитные меры определяют используемые технологии и механизмы защиты на уровне хостов по пятибалльной шкале (1 — нет МСЭ, а e-mail не фильтруются; 5 — МСЭ работает по принципу «блокировать все, исключая…», правила МСЭ проверяются пентестом, все внешние соединения, включая VPN, проходят через МСЭ, функционируют сетевые IDS и системы фильтрации электронной почты).
Дальше мы просто используем правила из школьного курса арифметики и получаем следующую градацию:
- От -8 до -5 — уровень зеленый (green or low)
- От -4 до -2 — уровень синий (blue or guarded)
- От -1 до +2 — уровень желтый (yellow or elevated)
- От +3 до +5 — уровень оранжевый (orange or high)
- От +6 до +8 — уровень красный (red or severe)
Обратите внимание, MS-ISAC использует как текстовое, так и цветовое обозначение уровня, что важно. Дело в том, что среди людей немало тех, кто имеет особенности восприятия цветов и, например, не различает красный и зеленый цвета. Мы их привыкли называть дальтониками, хотя у этого явления есть иные, не такое уничижительное название. Но самое главное, что его надо учитывать при визуализации ИБ, так как в противном случае можно просто получить обратный эффект.
Каждый двенадцатый мужчина страдает дальтонизмом, наиболее распространенной формой которого является дальтонизм красно-зеленого цвета (дейтеранопия)!
Поэтому у себя на сайте «толерантный» MS-ISAC использует вот такой вариант визуализации (хотя допускаю, что голубая окраска территории США и означает цветовое значение уровня текущей угрозы):
Красиво да? На самом деле, «светофор» или цветовая визуализация уровня киберугрозы имеет право на существование, но только при выполнении ряда условий, о которых мы поговорим завтра, как и о том, почему такие системы работают далеко не всегда и почему от них некоторые государства отказываются.
Заметка
Визуализация уровня киберугрозы в виде светофора была впервые опубликована на Бизнес без опасности .