Как оценить эффективность WAF и зачем вообще это все нужно? Часть 2

1b94628f4d3b244d46ccba65fae3a90a.jpg

Часть 2. Одно дело про WAF говорить — другое дело WAF считать!

Все эти риски и возможность их реализации, а также необходимость защитных инструментов понятны тем, кто занимается информационной безопасностью и IT, но нужно же идею донести и до тех у кого финансы и бюджеты. А вот это, зачастую, нетривиальная задача. Первый шаг — провести анализ опубликованных приложений, планируемых к защите относительно классической свойств информации и совместно с бизнесом ответить на следующий вопросы:

  • Что будет, если анализируемое приложение не будет работать несколько часов? (Нарушение доступности)

  • Что будет, если данные, содержащиеся в приложении «утекут»? (Нарушение конфиденциальности)

  • Что будет, если приложение подвергнется дефейсу? (Нарушение целостности)

  • Что будет, если в результате атаки, будут, например, «сломаны» интеграции со смежными системами, например управления складскими запасами и тд?  (Нарушение доступности)

Получается, что WAF хоть и является средством защиты информации, однако плотно связан с инфраструктурной частью функциями балансировки уровня L3, L4, а также DNS-балансировкой. А если учитывать IaC, место и роль защиты приложений вырастает кратно. Вот все эти описанные риски нарушения свойств информации можно перевести в материальные затраты. 

Ориентировочная формула (в каждой отрасли могут добавляться или убираться определенные компоненты) для расчета затрат выглядит следующим образом:

dd5f2964cf28ceee048213d1b8bc1eff.png

Где ПНП — прямая недополученная прибыль, АО — амортизация оборудования (транспорт, станки, аренда помещений), НК — неустойки контрагентам, ПП — простой персонала, Ш — штрафы от регулятора, О — потенциальный отток покупателей/контрагентов.

Предположим, один час простоя интернет-магазина приводит к недополученной прибыли 500 тыс. рублей, а утечка данных клиентов приведет к их оттоку и снижению прибыли на 1 млн в год. Таким образом, простой интернет-магазина длительностью три часа (а по практике, это может длиться дольше), сопряженный с утечкой данных, приведет к ущербу 2,5 млн. При этом, атака на сайт может повторяться с достаточной регулярностью и по разным векторам. 

Можно считать со средней вероятностью 3-х кратное повторение атаки в разных исполнениях за год, а 1 атаку с высокой вероятностью успеха. Таким образом вероятный ущерб можно верхнеуровнего оценить по такой формуле: 2,5+2,5×3\2. Это и будет пороговым значением бюджета для решения по защите такого веб-ресурса.

Теперь, когда мы определились в каких границах должен быть бюджет, нужно разобраться в вариантах поставки и внедрения. Не будет сюрпризом, что каждый из них имеет свои плюсы и минусы:

— on-premise, когда WAF внедряется внутри условного периметра компании. Главный плюс, определяемый заказчиками — управление собственными силами, минимизация вероятности атаки через цепочку поставщиков. Минусы — необходимость обучения и удержания персонала, отсутствие достаточной экспертизы, затраты на мощности для развертывания решения.

— MSSP, когда WAF находится в облаке и предоставляется в «аренду» сторонним провайдером, им же и управляется. Основные плюсы — соблюдение SLA, наличие экспертизы, возможность увеличения мощностей в случае необходимости. Минусы — отсутствие вовлеченности в процесс защиты приложений, возможность атаки через цепочку поставщиков, заказчик не контролирует процесс настройки политик, необходимость предоставления SSL-сертификатов провайдеру для расшифровки трафика.

— SECaaS, подобен MSSP, но управление производится компанией-заказчиком. Плюсы — отсутствие капитальных затрат, управление производится своими силами, есть возможность получить поддержку от производителя в сложной ситуации. Минусы здесь условные — зависимость управляемости решения от функционирования облачных мощностей производителя.

Померить веса этих потребностей можно по методике, которую когда-то делал для сравнений SIEM.

А для того, чтобы можно было эти показатели приблизить к понятиям операционных (OPEX) и капитальных затрат (CAPEX) ниже небольшая таблица.

Таблица. Сравнение вариантов внедрения WAF

Параметр

On-premise

MSSP

SECaaS

Прямые затраты

Капитальные затраты (CAPEX) на покупку ПАК или ПО и серверов, аренда серверных мощности, серверные подписки, ФОТ сотрудников

Сервисные подписки + аренда СЗИ (OPEX)

Сервисные подписки + аренда СЗИ, ФОТ сотрудников (OPEX)

Косвенные затраты

Затраты на электроэнергию

Отсутствуют

В зависимости от формы размещения — отсутствуют или включают в себя затраты на 

электроэнергию

Профильные трудозатраты  при сопровождении

Настройка оборудования, устранение false positive, установка обновлений, обучение сотрудников, выявление и реагирование на инциденты

Отсутствуют

Настройка оборудования, устранение false positive, установка обновлений, обучение сотрудников, выявление и реагирование на инциденты

Скорость внедрения

Несколько месяцев (с учетом поставки оборудования, первичной настройки)

От 2 недель

От 2 недель

Настройка политик

Собственными силами

Силами провайдера

Собственными силами

Техническое обслуживание

Собственными силами

Силами провайдера

Силами провайдера или собственными силами

SLA

В соответствии с внутренними документами.

Отсутствует возможность воздействия на сотрудников — взыскание за невыполнение SLA снижает их вовлеченность

В соответствии с договором на обслуживание.

Возможность воздействия на провайдера через договор на обслуживание и SLA

В соответствии с договором или внутренними документами. Взыскание за невыполнение SLA снижает вовлеченность сотрудников.

Знание инфраструктуры, скорость реагирования

Знание инфраструктуры и ответственных сотрудников, возможность быстрого реагирования в случае необходимости.

Незнание особенностей инфраструктуры, реагирование в рамках SLA.

Знание инфраструктуры и ответственных сотрудников, возможность быстрого реагирования в случае необходимости.

Возможность атаки типа supply chain

Нет

Да

Да

Возможность оперативного увеличения ресурсов при их полной утилизации или необходимости кластеризации

Нет

Да

Да

Интеграция с другими средствами ИБ

Легко, с использованием API и коннекторов

Сложно, т.к. не все провайдеры готовы обеспечивать соответствующие интеграции и их защиту, особенно если необходима интеграция с другим MSSP

Легко, с использованием API и коннекторов

Выбор формы затрат (CAPEX — капительные затраты или OPEX — операционные затраты) зависит от политики компании, которая планирует внедрять WAF, т.к. обе формы затрат имеют свои преимущества и недостатки, и итоговое решение зависит в основном от системы финансового планирования компании. К примеру, если вы в бюджетном учреждении — то рост операционных затрат — это почти всегда особо контролируемая статья, а для растущих компаний капитальные затраты могут стать сигналом об инвестициях и росту стоимости компании. В общем тут нужно понимать именно внутри, как правильно, как удобно и как принято.

Все об API Security, Web Security. Еще немного про уязвимости и технические изыскания команды Вебмониторэкс. Никакой рекламы. Только полезные материалы. https://t.me/WMXWAS

© Habrahabr.ru