Aplicando o método “Goal Question Metric” à medição de segurança cibernética

A abordagem ‘Goal Question Metric’ (GQM) é comumente usada para melhorar e medir a qualidade do software, mas também pode ser aplicada à segurança cibernética.

James Blake é cofundador e diretor da Security B-Sides London, ex-CISO da Mimecast e atualmente Field CISO da Rubrik, além de ser especialista em medição de segurança cibernética. Neste artigo, James nos fala sobre a abordagem Goal Question Metric para medição de segurança cibernética: o que é, por que ele a usa e como.

O que é o método de métrica de pergunta de meta?

Está dividido em três seções claras: Objetivos, Perguntas e Métricas.

Você precisa começar com os Goals (objetivos). “As metas são sempre aplicadas a objetos”, diz James. Ele menciona How to Measure Anything in Cybersecurity Risk, de Douglas Hubbard, que diz que um dos maiores desafios da medição de segurança cibernética é que não entendemos o que estamos medindo, ou seja, o objeto de medição.

“Definir de forma muito discreta o objeto de medição pode ajudar a refinar e restringir nossas métricas.” Exemplos de objetos podem ser produto, processo, serviço, recurso ou até mesmo uma pessoa.

Normalmente, as metas incluirão melhorias. Você precisa definir o que deseja melhorar e por quê. Por exemplo:

Melhorar a documentação de segurança para os novos membros de forma mais eficaz.

O objeto aqui é a documentação de segurança e o objetivo são melhorias na eficácia da integração de novos membros.

A próxima etapa são as Questions (perguntas). Faça perguntas que mostrem que você está alcançando esse objetivo. Para o objetivo de documentação, algumas perguntas típicas podem ser:

  • Nossa documentação é boa o suficiente?
  • Quantas alterações são feitas na documentação? Quando? Por quem?
  • Quão clara é a documentação para quem precisa consumi-la?
  • Quando foi revisado pela última vez?

A última seção são as Métricas. Estas são as coisas que você está realmente medindo. Você precisa ver quais fontes de dados você tem disponíveis para criar métricas quantitativas para responder a essas perguntas. Mesmo métricas potencialmente subjetivas podem ser quantificadas: “Em uma escala de 1 a 10, quão boa é a nossa documentação?” Você pode converter as respostas na escala ordinal em um percentil quantificável e rastreá-las ao longo do tempo.

Um único objetivo pode ser dividido em várias métricas – pode ser três ou quatro, mas pode somar 50 ou mais. Crucialmente, porém, combinados, eles fornecem uma visão abrangente sobre se você está atingindo seu objetivo. Você pode começar com um número pequeno para obter uma medida de metro e, em seguida, adicionar e refinar ao longo do tempo. É uma abordagem muito pragmática que permite que você comece agora e comece de forma simples, mas depois melhore continuamente.

Como você usa o Goal Question Metric para gerenciamento de ativos cibernéticos?

Para contextualizar a abordagem da métrica da pergunta da meta, James apresentou um exemplo em uma das partes mais cruciais de qualquer programa de segurança: o gerenciamento de ativos cibernéticos.

“Ao longo dos anos, construí 91 SOCs para empresas que vão desde os maiores varejistas do mundo, empresas de telecomunicações, fabricantes, organizações de serviços financeiros e muito mais. Um dos meus bugbears é que todos eles lutam com o conhecimento dos ativos, mesmo que seja o número um em todas as estruturas de controles de segurança cibernética. Essa falta de conhecimento significa que todos os outros aspectos da segurança cibernética são construídos em um leito de areia.”

James observa que muitos dos desafios em torno da gestão de ativos não são técnicos, mas culturais ou políticos.

Com isso em mente, ele destaca uma meta operacional de alto nível para o CISO: “Entender nosso ambiente com precisão, para que possamos determinar os níveis apropriados de risco, aplicar os controles apropriados e priorizar a resposta a incidentes”. Isso está amplamente alinhado ao que as estruturas de segurança dizem ser o raciocínio por trás da compreensão dos ativos.

Em seguida, ele faz algumas perguntas diretas:

  • Conhecemos nossos ativos?
  • Sabemos o que está sendo executado nesses ativos?
  • Sabemos quais ativos são críticos?
  • Temos um mapa preciso de como nossos ativos estão conectados?
  • Sabemos quais ativos estão voltados para a Internet?

Você precisa dividir cada pergunta em métricas. Idealmente, você teria alguns, talvez cinco, mas mesmo uma métrica quantitativa alinhada aos seus objetivos e perguntas pode ser benéfica.

“Se você puder mostrar um alinhamento significativo às metas com uma métrica, terá mais chances de convencer a empresa a fazer esse esforço e se alinhar com você para obter as outras métricas.”

Exemplos de métricas de segurança para gerenciamento de ativos cibernéticos

Aqui está um conjunto de métricas que James sugere para a primeira pergunta: “Conhecemos nossos ativos?”

    • Qual porcentagem dos meus dispositivos conectados à rede está descrita no inventário?

Para encontrar isso, James escanearia a rede, veria quais endereços IP estão lá, pegaria o endereço MAC através das tabelas de switches e então veria quais deles estão registrados no inventário.

Para fazer isso de forma contínua, James sugere ouvir passivamente todas as solicitações ARP (Protocolo de Resolução de Endereço) em sua rede e procurar endereços IP. “Você pode criar rapidamente uma imagem do que está realmente conectado à sua rede, depois olhar para o seu CMDB e perceber que está cerca de 10% completo”, diz James.

“Você também pode consolidar as diferentes visões de ativos que estão espalhados por várias plataformas diferentes:

  • Quais sistemas estão no banco de dados de gerenciamento de operações de TI?
  • Quais sistemas são verificados quanto a vulnerabilidades?
  • Quais sistemas têm backup?
  • Quais sistemas possuem monitoramento de desempenho e disponibilidade?
  • Quais sistemas estão registrando em plataformas de gerenciamento de logs?
  • Quais sistemas estão sendo orquestrados atualmente por nossos sistemas de orquestração virtual e de contêiner?

Trazer todos esses dados em um único formulário normalizado fornece uma imagem geral melhor e pode servir como base inicial para um CMDB.”

Isso pode ser um grande esforço se feito manualmente, mas existem ferramentas que podem automatizar esse processo, como o Monitoramento de Controles Contínuos.

“Não fique preso à paralisia da perfeição visando um CMDB perfeito”, diz James. “Em vez disso, procure um melhor do que você teve ontem. Limpar. Repetir. Qualquer melhoria implementada rapidamente agrega valor a cada avaliação de risco e resposta a incidentes, em vez de buscar algum estado futuro mítico de perfeição.”

    • Qual a porcentagem de servidores conectados à rede conforme descrito no inventário?

Os servidores são de alta prioridade para proteger porque abrigam dados, que são suscetíveis às técnicas de ataque mais comuns – é isso que o adversário está procurando para criptografar, roubar ou limpar. Usando uma vulnerabilidade ou ferramenta de varredura ativa, você pode imprimir impressões digitais dos sistemas operacionais implantados na rede e ver quais são os servidores.

James destaca um ponto crucial aqui. “O valor está nos dados. Não é o software e o hardware que queremos proteger, na verdade estamos protegendo a confidencialidade, integridade e disponibilidade dos dados.” Então, uma das principais métricas de James é:

    • Qual porcentagem de armazenamentos de dados são classificados e descritos no inventário?

Novamente, existem ferramentas de varredura por aí que podem ajudá-lo com essa descoberta de dados.

Aqui está um painel simulado da plataforma Panaseer para colocar essas métricas em perspectiva:

Há uma quantidade razoável de trabalho nessa abordagem, observa James, especialmente em relação à coleta de dados, mas muito disso pode ser repetido. Você provavelmente descobrirá que está usando as mesmas métricas para responder a várias perguntas.

Os benefícios da abordagem GQM para segurança

A razão pela qual essa abordagem é tão eficaz é porque ela ajuda a contar uma história. Ao relacionar as métricas às perguntas-chave e perguntas-chave às metas de negócios, os CISOs obterão uma adesão muito maior de suas partes interessadas. James faz uma sugestão: “Se houver uma parte interessada particularmente sem apoio no negócio, use seus objetivos como base para uma abordagem GQM. Em seguida, reformule a medição do que seu proramme oferece para mostrar valor aos resultados deles para colocá-los no lado.”

“Goal Question Metric é uma estrutura para métricas que pode ajudá-lo a entregar continuamente metas de negócios e comprová-las ao conselho. Você pode olhar para ele da mesma forma que faria com um framework como MITRE ATT&CK ou NIST CSF, pois você tem uma camada conceitual de objetivos; uma camada objetiva nas perguntas; e uma camada quantitativa em métricas.”

“Na minha função atual, tenho 27 metas, cerca de 270 perguntas e milhares de métricas. Então, sim, é muito trabalho construir o programa, mas uma vez implementado, ele demonstra valor contínuo para os negócios e mostra que você, como CISO, está executando um navio apertado de operações.”

A palavra final

O Goal Question Metric é uma maneira extremamente eficaz de construir um programa de medição de segurança cibernética. Ele ajuda a alinhar essa medição aos objetivos organizacionais e a construir pontes entre a segurança cibernética e os negócios mais amplos.

Como James observou, no entanto, pode ser um grande esforço construir um programa desse tipo – muitos objetivos, mais perguntas e ainda mais métricas. É aí que o Monitoramento de Controles Contínuos se torna inestimável. Ele automatiza seu programa de medição de segurança cibernética, usando automação e ciência de dados avançada para criar métricas precisas e confiáveis. Não é apenas para gerenciamento de ativos, mas vários domínios de segurança – vulnerabilidade e patch, reconhecimento do usuário, PAM e IDAM e muito mais.

Para ver como a Panaseer pode automatizar sua medição de segurança, entre em contato ou agende uma demonstração conosco.

 

por: James Blake e Barnaby Clarke – Panaseer.

Fale com um especialista