Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

все располагались бы выше медианы или ниже ее, то медиана оказалась бы за пределами нашего диапазона. Но какова вероятность этого? Помните, что шанс случайно выбрать значения выше медианы, по сути, составляет 50 %, как шанс, что подброшенная монетка упадет орлом вверх. То есть вероятность, что все выбранные пять значений случайно окажутся выше медианы, сродни вероятности, что выпадет орел пять раз подряд. Шанс выпадения орла пять раз подряд при случайном подбрасывании монетки составляет 1 к 32, или 3,125 %, то же самое касается и выпадения решки пять раз подряд. Тогда шансы, что не выпадут все орлы или все решки, составляет 100 % – (3,125 % × 2), или 93,75 %. Таким образом, вероятность, что хотя бы одно значение в выборке из пяти окажется выше медианы и хотя бы одно будет ниже, составляет 93,75 % (округлите до 93 % или даже до 90 %, если хотите быть сдержанными в оценках). Некоторые читатели, возможно, со времен учебы помнят статистику для очень маленьких выборок. Ее методы были сложнее, чем правило пяти, но ответ, в сущности, мало отличался (и там и там применяются упрощающие допущения, которые очень хорошо работают на практике).

Правило пяти

Существует 93,75 %-ная вероятность того, что медиана совокупности находится между наименьшим и наибольшим значениями любой случайной выборки из этой совокупности.

Это правило можно улучшить, увеличив выборку и применив простые методы для учета ряда погрешностей, которые мы обсудим далее. Тем не менее, даже несмотря на имеющиеся недостатки, правило пяти стоит взять на вооружение тем, кто хочет развить интуицию относительно измерений.

Давайте примем несколько обдуманных и конструктивных предположений вместо расхожих домыслов. Нами предлагается набор предположений, которые (на то они и предположения) не всегда верны в каждом отдельном случае, но все же на практике демонстрируют гораздо бóльшую эффективность, чем противоположные устоявшиеся мнения. Подробнее эти аспекты будут рассмотрены позже, а пока просто назовем их.

1. Независимо от того, насколько сложна или уникальна ваша проблема измерений, следует предполагать, что подобные измерения уже проводились ранее.

2. Если вы изобретательны, то, вероятно, сможете найти больше источников данных, чем предполагали изначально.

3. Возможно, вам нужно меньше данных, чем подсказывает интуиция, и это действительно так, особенно в ситуации с высокой степенью неопределенности.

В некоторых редких случаях только из-за отсутствия самых изощренных методов измерения что-либо кажется неизмеримым. Однако в случаях, касающихся так называемых непостижимых объектов, дело почти всегда вовсе не в нехватке продвинутых и сложных методов. Просто такие объекты, как правило, слишком неопределенные, поэтому даже самые простые методы измерения, скорее всего, позволят уменьшить какую-то часть их неопределенности. Кибербезопасность в настоящее время является настолько важным направлением, что даже небольшое снижение неопределенности может быть чрезвычайно ценным.

В следующей главе будет показано, как наши концепции можно частично применить для оценки рисков кибербезопасности с помощью очень простого количественного метода, и это займет лишь чуть больше времени, чем построение обычной матрицы рисков.

Примечания

1. Гладуэлл Малкольм. Гении и аутсайдеры. Почему одним все, а другим ничего? / Пер. О. Галкина. – М.: Манн, Иванов и Фербер, 2020.

2. C. Shannon, “A Mathematical Theory of Communication,” The Bell System Technical Journal 27 (July/October, 1948): 379–423, 623–656.

3. S. S. Stevens, “On the Theory of Scales and Measurement,” Science 103 (1946): 677–680.

4. Leonard J. Savage, The Foundations of Statistics (New York: John Wiley & Sons, 1954).

5. Рон Ховард, подкаст Harvard Business Review, интервьюер Джастин Фокс, 20 ноября 2014 года.

Глава 3. Моделируем немедленно!

Введение в практические количественные методы оценки в сфере кибербезопасности

Построй немного. Попробуй немного. Узнай много.

Контр-адмирал Уэйн Мейер, руководитель программы системы вооружений Aegis

В этой главе мы предложим простую отправную точку для разработки количественной оценки риска. Позже будут рассмотрены более подробные модели (начиная с главы 6) и более современные методы (начиная с главы 8). А пока начнем с модели, которая лишь заменяет обычную матрицу рисков. Это всего лишь способ зафиксировать субъективные оценки вероятности и воздействия, но сделать это вероятностно.

Чтобы все получилось, придется освоить несколько методов. Прежде всего вы познакомитесь с идеей субъективной оценки вероятностей (хотя упражнения для обучения такой оценке мы отложим до главы 7, пока потерпите). Также будет представлен очень простой метод моделирования, а работа по фактическому построению симуляции по большей части будет сделана за вас (пример будет представлен в таблице Excel, которую можно загрузить с сайта www.howtomeasureanything.com/cybersecurity).

Изучение вами данной главы заложит фундамент, на который мы будем опираться до конца книги, постепенно надстраивая различные улучшения. Вы узнаете, как проверять свои субъективные оценки вероятности и улучшать их, как математически обоснованно использовать даже малое число наблюдений для дальнейшего уточнения оценки, а кроме того, как совершенствовать модели с помощью дополнительной детализации и усложнения. Пока же остановимся на простейшем варианте метода замены, часто используемого сегодня в области кибербезопасности.

Простая замена «один на один»

Путь к более точной оценке риска можно начать, всего лишь заменив элементы, используемые в методе, с которым большинство экспертов по кибербезопасности уже знакомы, – матрице рисков. Как и в случае с матрицей рисков, мы будем полагаться только на суждение экспертов в области кибербезопасности. Они продолжат выносить субъективные экспертные суждения о вероятности и воздействии точно так же, как делают это сейчас при составлении матриц риска. Не потребуется никаких иных данных, кроме информации, которую, возможно, уже и так используют аналитики в сфере кибербезопасности для обоснования своих суждений с