&
FINANCE
CONTROL
Risicomanagement
Eff iciënt en proac tie f r i sicobeheer
RETURN ON INVESTMENTANALYSE Het is vaak niet eenvoudig de kosten die verbonden zijn aan beveiligingsrisicobeheer te kwantificeren. Hoe berekenen we de waarde van verloren goodwill in het geval van een grote denial- of serviceaanval, waardoor klanten hun account niet meer kunnen raadplegen? Hoe berekenen we de kosten van datacorruptie? Hoe meten we in hoeverre de integriteit van gegevens is aangetast ten gevolge van een kwaadwillige aanval op ons netwerk? En wat zijn daar de kosten van?
D
e antwoorden op deze vragen verschillen natuurlijk per sector en per bedrijf en het is altijd lastig en arbeidsintensief om ze te meten. Dit artikel gaat over de operationele en economische efficiency van de implementatie van proactief, geintegreerd en geautomatiseerd risicobeheer, in vergelijking met de inefficiency van een reactief, handmatig en gefragmenteerd beveiligingsproces. Als dergelijke activiteiten handmatig en niet-geïntegreerd worden uitgevoerd en gemanaged, stijgen de operationele kosten van risicobeheer in lijn met het aantal apparaten (hardware), systemen en de complexiteit van en in het bedrijfsnetwerk. Als risicobeheeractiviteiten (vulnerability management activities of VMA’s) daarentegen geautomatiseerd en geïntegreerd worden, dan kunnen de operationele kosten van risicobeheer aanzienlijk worden verlaagd – terwijl tegelijk de veiligheid en beveiliging van de netwerkomgeving feitelijk wordt verbeterd. Onder VMA’s rekenen we alle taken die worden uitgevoerd door netwerk- en beveiligingspersoneel om de organisatie te beschermen tegen bedreigingen van de integriteit van de informatieactiva en/of van de continuïteit van de bedrijfsvoering. Het gaat zowel om het voorkomen van deze gebeurtenissen als om het repareren van de eventuele gevolgen als het toch misgaat. De praktijk Om te onderzoeken hoe het staat met het bewustzijn betreffende de control over bedrijfsbeveiligingsactiviteiten verrichtte CRA Reports* onderzoek onder 149 direct-verantwoordelijken en IT-managers met beveiligingsverantwoordelijkheid.
28
|
Uit dit onderzoek kwam onder andere naar voren dat: ~ 88,6 procent van de respondenten enig inzicht heeft in aard en hoeveelheid van de netwerkactiva; ~ 75,8 procent programma’s bepaald heeft welke netwerkactiva kritiek zijn voor de bedrijfsvoering; ~ 59,1 procent thans bekende bedreigingen koppelt aan die kritieke informatieactiva; ~ slechts 38,3 procent het proces om risico’s voor de bedrijfssystemen te identificeren en te mitigeren geautomatiseerd heeft; ~ 77,9 procent rapporteert dat binnen de organisatie duidelijk gedefinieerd beleid bestaat met betrekking tot beveiligingscompliance; ~ 58,4 procent regelmatig de prestaties ten opzichte van het geformuleerde beveiligingsbeleid meet; ~ slechts 54,4 procent zegt verplicht te zijn om senior management regelmatig op de hoogte te stellen van de beveiligingssituatie van de organisatie; ~ ruim 65 procent rapporteert metrieken te hebben om baten en lasten van hun beveiligingsactiviteiten te meten. Nadere analyse van de onderzoeksresultaten toont aan dat de meeste bedrijven te veel uitgeven aan ad-hocactiviteiten en te weinig investeren in generieke beveiliging. Bovendien gebruiken ze naast veel geld ook veel menselijke en technische resources voor specifieke vormen van beveiliging, terwijl ze andere – vaak crucialere – beveiligingsactiviteiten verwaarlozen. De reden voor deze discrepantie ligt meestal in de manier waarop organisaties hun risicobeheeractiviteiten organiseren, die vaak resulteert in: APRIL 2012
&
FINANCE
~ de noodzaak handmatig allerlei losse beveiligingssystemen en -systematieken op elkaar te laten aansluiten, opdat ze elkaar versterken in plaats van tegenwerken; ~ zeer hoge kosten; ~ onvoldoende resources om alle voor optimale beveiliging noodzakelijke rollen en taken adequaat uit te voeren. Kostenelementen voor risicobeheer Hoewel elke organisatie specifieke risico’s, kwetsbaarheden en bedreigingen zal kennen, delen veel procedures en kosten rond het managen van beveiligingsrisico’s – zoals bij elk bedrijfsproces – consistente gemeenschappelijke elementen, die kunnen worden gemonitord en gemeten. Met andere woorden: terwijl de bemensing, netwerken en hardware per organisatie verschillen, is er altijd wel een set VMA’s te benoemen die vergeleken en geanalyseerd kan worden. Het rapport identificeert dergelijke kwantificeerbare elementen, definieert en beschrijft ze en biedt een matrix waarmee individuele organisaties de werkelijke kosten van handmatig risicobeheer kunnen afzetten tegen die van een geautomatiseerde aanpak. Door kostenelementen te identificeren die objectief te meten zijn, te kwantificeren en te analyseren, kunnen we ook een eenvoudige en effectieve formule opstellen voor de operationele kosten van risicobeheer (operational cost of vulnerability management of OCVM). Deze formule is als volgt: Devices (aantal live-apparaten op uw netwerk) × Tijd (tijdsbesteding voor elke VMA) × Cycli (het aantal malen dat u deze activiteit uitvoert)
CONTROL
door Dice/Datamation uitgevoerd salarisonderzoek onder beveiligingsprofessionals was de meest voorkomende netwerkbeveiligingsfunctie die van LAN/netwerkbeheerder, met een startsalaris van $ 71.000, oftewel $ 36/uur. We hebben dit uurtarief genomen als conservatieve basis voor een inschatting van de financiële kosten van risicobeheer.
Meten is weten – ook qua beveiliging VMA 1 – inventarisatie van activa Bijna 90 procent van de respondenten in de CRA Reports Security Survey rapporteerde de aanwezigheid van een centrale functie, verantwoordelijk voor inventarisatie van de netwerkactiva (figuur 1). De aanpak om die resources te inventariseren en te classificeren varieert echter aanmerkelijk, afhankelijk van de grootte van de organisaties en de markt waarin deze actief zijn. Van de respondenten gaf 75 procent aan dat hun organisaties trachten vast te stellen welke netwerkactiva echt kritiek zijn voor hun bedrijfsactiviteiten (figuur 2). Er is brede consensus dat handmatig bijhouden van de ‘voorraad’ activa bijzonder arbeids- en resourcesintensief is, Mijn organisatie bepaalt welke netwerkactiva kritiek zijn voor de bedrijfsvoering 100%
88.60%
80% 60% 40%
Operationele kosten van risicobeheer (D x T x C = OCVM)
20%
10.70%
0% Mee eens
Aannames over kosten Er werden enkele enkele VMA’s genoemd in het onderzoek waarvan de kosten niet konden worden gemeten via deze formule, maar die laten we hier buiten beschouwing. We identificeerden vier groepen VMA’s waarvoor de OCVM-formule wel geldt. Dit zijn: ~ VMA 1 – inventarisatie van activa; ~ VMA 2 – risicoassessment; ~ VMA 3 – correlatie van bedreigingen; ~ VMA 4 – herstellen van problemen en valideren van oplossingen.
Oneens
0.70% Geen mening
Figuur 1 Percentage respondenten dat netwerkactiva inventariseert Mijn organisatie bepaalt welke netwerkactiva kritiek zijn voor het bedrijf 75.80%
80% 60% 40%
20.10%
20%
4%
0%
Eens
Oneens
Geen mening
Figuur 2
Als basis voor de financiële analyse moesten we arbeidskosten bepalen voor de werkzaamheden rond VMA’s. In een onlangs APRIL 2012
Percentage van respondenten waarvan de organisatie vaststelt welke de meest kritieke netwerkactiva zijn
|
29
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
zelfs voor organisaties die een vorm van geautomatiseerde ondersteuning gebruiken. Dit geldt sterker naarmate de grootte van de organisatie toeneemt. Desondanks is men het eens dat regelmatige, rigoureuze en uitvoerige inventarisatie nodig is van alle hardware, applicaties, databases en proces-
CONTROL
gen zijn, kan nauwkeurige uitvoering van de updates aanzienlijk meer tijd kosten. Een voorbeeldberekening voor de operationele kosten van zo’n inventarisatie voor beveiligingsdoeleinden wordt gegeven in figuur 3.
Traditionele handmatige control is arbeids- en resources-intensief is sen die het bedrijfsnetwerk vormen of hier deel van uitmaken, wil men een acceptabele beveiligingssituatie handhaven, laat staan verbeteren. De stappen voor een inventarisassessment ten behoeve van beveiliging en risicomanagement zijn als volgt. 1. Het vinden en vastleggen van alle apparaten/hardware die binnen de organisatie in gebruik is Een kleine organisatie (maximaal 256 devices) kan meestal in 5 minuten een volledig overzicht genereren van alle met het netwerk verbonden systemen. Voor een middelgroot bedrijf (tot 65.500 apparaten) kan dit wel 5 uur kosten. Bij een grote Fortune 1000-onderneming heb je al snel 20 uur nodig om alle daar in gebruik zijnde (250.000) devices te identificeren en te checken. Het zorgvuldig identificeren van eventuele subnets en hun eigenaren, segmentatieapparatuur en apparaten en het invoeren daarvan in de spreadsheet kost nog meer tijd. Al met al kan het 2 weken vergen om 5000 apparaten te inventariseren, tot 3 weken voor een netwerk met 10.000 devices, 4 weken voor 20.000 en 5 weken voor een netwerk met 40.000 devices.
Handmatige uitvoering, aannames
Geautomatiseerde uitvoering, aannames
~ Activa-inventarisatie van 380.000 apparaten
~ Activa-inventarisatie van 380.000 apparaten
~ 1 minuut per apparaat
~ 15 uur voor alle apparaten
~ Arbeidskosten = $ 36/uur
~ Arbeidskosten = $ 36/uur
~ Volgende cycli = 50% van eerste cyclus
~ Volgende cycli = 50% van eerste cyclus
Handmatige proceskosten
Geautomatiseerde proceskosten
Apparaten
380.000
380.000
Tijd/apparaat
1 minuut
15 uur*
Cyclus 1
$ 228.000
$ 540
Cyclus 2
$ 114.000
$ 270
Cyclus 3
$ 114.000
$ 270
Totale kosten
$ 456.000
$ 1.080
* Ervan uitgaande dat de beveiligings- of IT-professional het geautomatiseerde proces in real time controleert.
Figuur 3 Operationele kosten van activa-inventarisatie voor beveiligingsdoeleinden
2. Het categoriseren en prioriteren van activa op functie Categoriseren en prioriteren van activa is het meest tijdsintensieve onderdeel van dit proces. Het kan drie tot vijf minuten vergen om een onderdeel op de juiste wijze te classificeren, nadat het bestaan ervan is vastgesteld. Omdat dit zo tijdsintensief is categoriseren slechts weinig organisaties hun activa uitvoerig. De meeste organisaties hanteren een pragmatische aanpak en passen de 80-20-regel toe (20 procent van de activa vertegenwoordigt feitelijk ruim 80 procent van de waarde voor de organisatie) en categoriseren deze activa dienovereenkomstig. 3. Voer regelmatig updates uit Vanwege de tijd en inspanning werken maar weinig organisaties hun activa-inventaris meer dan drie of vier keer per jaar bij. Naar schatting kost elke update gedurende het jaar 50 procent van de tijd die de oorspronkelijke inventarisatie vergde. Als er significante wijzigingen, toevoegingen of verwijderin-
30
|
VMA 2 – risicoassessment De VMA ‘risicoassessment’ levert de basis voor het bepalen van de risico’s die het bedrijfsnetwerk bedreigen en de ernst hiervan. Ideaal gezien zal een risicoassessment: ~ zoeken naar zwakke punten in de netwerkarchitectuur en apparaten; ~ informatie geven hoe veiligheidsmaatregelen moeten worden geïmplementeerd; ~ de benodigde logica verschaffen voor het prioriteren van missiekritieke activa. Een risicoassessment bestaat uit de volgende stappen: ~ bevindingen activa-inventarisatie beoordelen; ~ identificeren van zwakke punten, blootstelling aan risico’s en misconfiguraties – als dit proces regelmatig wordt uitgevoerd zal de tijd die elke analyse kost beperkt blijven; APRIL 2012
&
FINANCE
~ koppelen van risico’s aan devices – handmatige correlatie van de activaspreadsheets en de output van het risk assessment kan dagen werk vergen. Bij een bredere analyse – bijvoorbeeld op het niveau van een businessunit of operationele unit – kan het nog enkele dagen extra kosten om de impact van de analyse te analyseren; ~ de risicobeoordeling en rapportage naar geëigende medewerkers – dit deelproces kent eveneens een hoge mate van variabiliteit. Het hangt in het bijzonder af van de grootte en complexiteit van het bedrijfsnetwerk en van de rapportagestructuur binnen de organisatie. Over het algemeen duurt het ongeveer een week om rapporten te segmenteren, samen te vatten en te distribueren en te komen tot een nauwkeurige snapshot assessment van de kwetsbaarheid van de organisatie. Aangezien de meeste bedrijven geen gecentraliseerd beheersysteem hebben voor inventarisatie en risicoassessment is deze VMA normaal gesproken extreem tijds- en resourcesintensief. Het is voor veel organisaties lastig om alle losse inconsistente resultaten van individuele stand-alone tools op te tellen, te correleren en te besluiten waar wel en waar geen actie noodzakelijk is.
Handmatig, aannames
Geautomatiseerde uitvoering, aannames
~ Assessment van 380.000 apparaten
~ Assessment van 380.000 apparaten
~ 2 minuten per apparaat
~ 20 uur voor alle apparaten
CONTROL
Een voorbeeldberekening voor de operationele kosten van risicoassessment wordt gegeven in figuur 4. VMA 3 – correlatie van bedreigingen Na het scannen naar risico’s volgt de dreigingscorrelatieanalyse. Organisaties dienen zich constant bewust te zijn van opkomende bedreigingen tegen bedrijfssystemen en moeten het vermogen ontwikkelen om de potentiële gevolgen te bepalen van deze bedreigingen voor de beveiliging van de organisatie.
Organisaties dienen zich constant bewust te zijn van bedreigingen tegen bedrijfssystemen Toch zijn volgens het onderzoek in minder dan 60 procent van de organisaties systemen aanwezig die bekende bedreigingen koppelen aan kritieke informatieactiva (figuur 5). Threat correlation of dreigingscorrelatie aggregeert potentiële
Mijn organisatie heeft een of meer systemen voor het koppelen van bedreigingen aan kritieke informatieactiva 80% 59.10%
60%
33.60%
40%
~ Arbeidskosten = $ 36/uur
~ Arbeidskosten = $ 36/uur
~ Volgende cycli = 50% van eerste cyclus
~ Volgende cycli = 50% van eerste cyclus
Handmatig proceskosten Apparaten
Geautomatiseerd proceskosten
380.000
380.000
Tijd/apparaat
2 minuten
20 uur*
Cyclus 1
$ 456.000
$ 720
Cyclus 2
$ 228.000
$ 360
Cyclus 3
$ 228.000
$ 360
Totale kosten
$ 912.000
$ 1.440
* Ervan uitgaande dat de beveiligings- of IT-professional het geautomatiseerde proces in real time controleert.
Figuur 4 Operationele kosten van risicoassessment
APRIL 2012
20%
7.40%
0%
Eens
Oneens
Geen mening
Figuur 5 Percentage respondenten met een systeem voor het koppelen van bedreigingen en kritieke informatieactiva
en bekende bedreigingen in relatie tot specifieke activa in de doelomgeving. Beheerders speuren het web regelmatig af op zoek naar nieuws, informatie en waarschuwingen uit diverse bronnen, om zo nieuwe bedreigingen te identificeren. Indien correct uitgevoerd, geeft dit de medewerkers de mogelijkheid om te anticiperen en proactief tegenmaatregelen te nemen, al voordat hun systemen worden blootgesteld aan die bedreigingen. De stappen te nemen in deze VMA zijn: ~ het doorzoeken en monitoren van het internet op informatie over de meest recent geïdentificeerde bedreigingen – dit is inmiddels een routineonderdeel van de taakomschrijving van elke IT- of beveiligingsprofessional. Dit onderzoek kan tot 1 uur per dag in beslag nemen (IT-staf spendeert er over het algemeen niet zo veel tijd aan, omdat ze per abonnement |
31
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
een samenvatting van bedreigingen ontvangen); ~ het daadwerkelijk koppelen van de resultaten aan de risicoassessmentrapporten – als een mogelijke dreiging wordt geïdentificeerd, kan het doorzoeken van rapporten naar de juiste informatie 30 minuten duren, en in een grote organisatie vele uren. Dreigingscorrelatie is waarschijnlijk het meest tijdsintensieve en onnauwkeurige VMA-proces. Omdat veel organisaties hun activa niet regelmatig inventariseren, kennen de meeste systeembeheerders en beveiligingsmanagers niet alle in hun omgeving aanwezige systemen en hun onderdelen – laat staan dat ze zicht hebben op welke devices of koppelingen door specifieke bedreigingen in gevaar komen. Daarom hebben ze ook geen helder zicht op welke activa gevoelig zijn voor een mogelijke aanval. Zodra een potentiële dreiging geïdentificeerd is, kan controle of er daadwerkelijk sprake is van risico’s dus extreem tijdsintensief zijn. Een voorbeeldberekening voor de operationele kosten van dreigingscorrelatie wordt gegeven in figuur 6.
CONTROL
gaf aan dat zij het proces van opheffen van het risico en validatie van de oplossing hebben geautomatiseerd (figuur 7). De overgrote meerderheid voert deze functie dus nog handmatig uit of kan niet garanderen dat het netwerk bestand is tegen kritieke bedreigingen. Voor bedrijven die geen missiekritieke activa bepaald hebben kan dit het gevaar onnodig vergroten. Er moeten stappen worden gezet om ernstige kwetsbaarheden te repareren – of te mitigeren – die ontdekt worden tijdens de Mijn organisatie heeft een geautomatiseerd proces voor het oplossen of mitigeren van kwetsbaarheden 60%
55%
50% 40%
38.30%
30% 20% 6.70%
10% 0% Eens
Oneens
Geen mening
Figuur 7 Percentage van respondenten met een geautomatiseerd proces
VMA 4 – Probleemoplossing en validatie Minder dan 40 procent van de respondenten in het onderzoek Handmatige uitvoering, aannames
Geautomatiseerde uitvoering, aannames
~ Activa-inventarisatie van 380.000 apparaten
~ Activa-inventarisatie van 380.000 apparaten
~ 15% van activa rapporteert potentiële risico’s
~ 15% van activa rapporteert potentiële risico’s
~ 20 minuten per apparaat
~ 2 uur voor alle apparaten
~ Arbeidskosten = $ 36/uur
~ Arbeidskosten = $ 36/uur
~ Volgende cycli = eerste cyclus
~ Volgende cycli = eerste cyclus
Apparaten
Geautomatiseerd proceskosten
570.000
570.000
20 minuten
2 uur*
Cyclus 1
$ 684.000
$ 72
Cyclus 2
$ 684.000
$ 72
Cyclus 3 Totale kosten
$ 684.000
$ 72
$ 2.052.000
$ 216
assessmentfase. Zodra de misconfiguratie is gerepareerd of een patch is aangebracht, dienen deze te worden getest om er zeker van te zijn dat de kwetsbaarheid correct is opgelost. De stappen die komen kijken bij herstel en validatie zijn: ~ het gebruikmaken van risicoassessment – een zekere mate van assessment is een voorwaarde voor herstel; ~ opstellen van kwetsbaarheidsrapporten – rapporten dienen te worden opgemaakt en verzonden aan de verantwoordelijke netwerkbeheerders/security officers. In veel organisa-
Dreigingscorrelatie is waarschijnlijk het meest tijdsintensieve en onnauw-
Handmatig proceskosten
Tijd/apparaat
voor het oplossing en validatie
keurige proces
* Ervan uitgaande dat de beveiligings- of IT-professional het geautomatiseerde proces in real time controleert.
Figuur 6 Operationele kosten van uitvoeren dreigingscorrelatie
32
|
ties wordt de daadwerkelijke herstelactiviteit uitgevoerd door gewone IT-medewerkers en niet door specifiek beveiligingspersoneel. Het opmaken en distribueren van de rapporten en werkopdrachten vergt vaak een volledige werkdag; ~ een techneut moet de devices in het kader van herstel en validatie fysiek bezoeken – managers dienen tussen 10 en 45 minuten te budgetteren voor het herstel van alle kwetsbaarheden met hoog en medium risico op een device. Kwetsbaarheden met een laag risico worden in de praktijk meestal genegeerd. APRIL 2012
&
FINANCE
Processtappen omvatten: ~ De technicus voert patch en herstel uit. ~ De technicus scant apparaat nogmaals om vast te stellen of kwetsbaarheid nog steeds aanwezig is (deze stap wordt vaak niet uitgevoerd en het opnieuw scannen wordt meestal overgelaten aan het beveiligingsteam). ~ De technicus genereert rapport en stuurt dit terug naar het beveiligingsmanagementteam. ~ Beveiligingsbeheer herscant op kwetsbaarheden (bijvoorbeeld bulkverificatie) om herstel te bevestigen. Het herstel- en validatieproces is vaak gecompliceerd – vooral in grotere organisaties. Een relatief klein percentage organisaties heeft voor de gehele organisatie geldende standaardprocedures ontwikkeld voor herstel en validatie. Een grotere omgeving kent doorgaans meerdere beheerders, elk met een bepaalde expertise en verantwoordelijkheid voor afzonderlijke delen van een netwerk. Vaak worden verschillende benaderingen gebruikt wat betreft prioritering, welke risico’s als eerste moeten worden aangepakt. Dit kan verwarring veroorzaken, aangezien managers dan ook onderling inconsistente rapporten ontvangen.
Aannames bij handmatige uitvoering
t"DUJWBJOWFOUBSJTBUJFWBO BQQBSBUFO
tWBOBDUJWBSBQQPSUFFSU QPUFOUJÑMFSJTJDPT
tWBOBDUJWBSBQQPSUFFSUQPUFOUJÑMFSJTJDPT
tNJOVUFOQFSBQQBSBBU
tNJOVUFOQFSBQQBSBBU
t"SCFJETLPTUFOVVS
t"SCFJETLPTUFOVVS
t7PMHFOEFDZDMJFFSTUF DZDMVT
t7PMHFOEFDZDMJFFSTUF DZDMVT
Handmatig proceskosten
Geautomatiseerd proceskosten
380.000
380.000
5JKEBQQBSBBU
NJOVUFO
NJOVUFO
$ZDMVT
$ZDMVT
$ZDMVT
5PUBMFLPTUFO
Een voorbeeldberekening voor de operationele kosten van het uitvoeren van herstel en validatie wordt in figuur 8 gegeven. Conclusie Als beveiligingsactiviteiten handmatig en niet-geïntegreerd worden gemanaged en/of uitgevoerd, stijgen de operationele kosten van risicobeheer proportioneel met het aantal apparaten, het aantal systemen en de complexiteit van het bedrijfsnetwerk. Als VMA’s daarentegen worden geautomatiseerd en geïntegreerd, kunnen de operationele kosten van risicobeheer aanzienlijk worden verlaagd terwijl de totale beveiligingssituatie feitelijk wordt verbeterd. *Over Cooper Research Associates. Het onderzoek in dit rapport werd voor McAfee uitgevoerd door CRA Reports. Meer info: www.McAfee.com en www.cooperresearchassociates.com.
Aannames bij geautomatiseerde uitvoering
t"DUJWBJOWFOUBSJTBUJFWBO BQQBSBUFO
"QQBSBUFO
CONTROL
ruim ar 100nja kwaliteit beweze
nyenrode business universiteit Dé universiteit voor het behalen van uw RA- of RC-titel Specialist in het vakgebied Accountancy & Controlling Studie is volledig in deeltijd en Nederlandstalig Hoogwaardige kwaliteit door: gerenommeerde docenten uit de wetenschap en het bedrijfsleven interactieve colleges met actuele onderwerpen
* Ervan uitgaande dat de beveiligings- of IT-professional het geautomatiseerde pro-
aandacht voor managementvaardigheden
ces in real time controleert.
voorloper in discussie omtrent toekomst van het beroep
Figuur 8
OPEN AVOND 17 APRIL t 0346 295 813 www.nyenrode.nl
Operationele kosten van het uitvoeren van herstel en validatie
APRIL 2012
|
33
W W W. F I N A N C E - C O N T R O L . N L