Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

Чтобы узнать больше о таблицах данных в целом, изучите основы на страницах справки в Excel, но нами используется немного измененный вариант таблицы-образца. Обычно требуется ввести значение в поле «Подставлять значения по столбцам в» или в поле «Подставлять значения по строкам в» (в нашем случае можно было бы использовать только поле «Подставлять значения по столбцам в»), чтобы указать, какое значение таблицы данных будет многократно меняться для получения различных результатов. В данном же примере не требуется определять, какие входные данные менять, потому что у нас уже есть функция СЛЧИС(), меняющая значение каждый раз при пересчете. Таким образом, наши входные значения – просто произвольные числа, отсчитываемые от 1 до количества сценариев, которое мы хотим запустить.

Существует важный момент, касающийся количества испытаний при моделировании событий нарушения кибербезопасности. Нам часто приходится иметь дело с редкими, но обладающими большим воздействием событиями. Если вероятность события составляет всего 1 % в год, то 10 000 тестов в большинстве случаев приведут к 100 таким событиям за указанный срок, но этот показатель может немного варьироваться. При данном количестве испытаний он может произвольно варьироваться от ровно 100 (точно так же, как при подбрасывании монетки из 100 раз не обязательно выпадет ровно 50 орлов). В этом случае результат будет находиться между 84 и 116 примерно в 90 % случаев.

Теперь для каждого из случаев, когда происходит событие, нужно смоделировать убытки. Если у убытков длинный хвост, то при каждом запуске симуляции по методу Монте-Карло могут наблюдаться значительные отличия. Под длинным хвостом имеется в виду, что, вполне возможно, убытки будут больше среднего. Например, у нас может быть распределение убытков, где наиболее вероятным исходом являются убытки в 100 000 долл., но существует 1 %-ная вероятность крупных убытков (50 млн долл. или более). Однопроцентный наихудший сценарий в риске, вероятность которого всего лишь 1 % в год, – это, прежде всего, ситуация, которая может произойти с вероятностью 1/100 × 1/100, или 1: 10 000 в год. И поскольку 10 000 является заданным количеством тестов, то в какой-то симуляции это наихудшее событие может произойти один или несколько раз за 10 000 испытаний, а в какой-то может не произойти ни разу. Это значит, что каждый раз при запуске симуляции по методу Монте-Карло можно наблюдать, что среднее общее значение убытков немного меняется.

Самым простым решением здесь для специалиста, использующего метод Монте-Карло, которому не хочется слишком утруждаться, станет проведение большего числа испытаний. Разброс значений от симуляции к симуляции уменьшится, если провести 100 000 тестов или 1 млн. Вы удивитесь, как мало времени это занимает в Excel на достаточно быстром компьютере. У нас заняло несколько секунд проведение 100 000 тестов, так что затрачиваемое время не кажется серьезным ограничением. Мы даже выполнили в старом добром Excel миллион сценариев с несколькими крупными вычислениями, и на это потребовалось не более 15 минут. Однако, по мере того как события становятся все более редкими и значимыми, применяются более эффективные методы, чем увеличение числа испытаний в разы. Но пока не будем усложнять задачу и просто бросим дешевые вычислительные мощности на решение проблемы.

Теперь у нас есть способ генерации тысяч результатов в симуляции по методу Монте-Карло с помощью стандартного Excel (без каких-либо надстроек или кода Visual Basic для выполнения расчетов). Учитывая, насколько широко используется Excel, почти наверняка у любого аналитика из сферы кибербезопасности есть инструменты для его применения. А полученные данные можно использовать для другого важного элемента анализа риска – количественной визуализации риска.

Визуализация риска

Популярность матриц рисков, знакомых каждому, кто занимается кибербезопасностью, объясняется тем, что они доступно иллюстрируют вероятности и воздействия на одной схеме. В предложенном нами несложном решении шкала для вероятности заменена вероятностью в явном виде, а для воздействия – 90 %-ным ДИ, представляющим диапазон потенциальных убытков.

В нашем варианте вертикальная ось по-прежнему может быть представлена одной точкой – только вероятностью, а не балльной оценкой, зато воздействие теперь представлено более чем одной точкой. Заявляя, что вероятность наступления события составляет 5 %, мы не можем утверждать, что его воздействие составит ровно 10 млн долл. На деле существует вероятность 5 %, что у нас будут некоторые убытки, при этом есть 2 %-ная вероятность потерять больше 5 млн долл., вероятность потери более 15 млн долл. составляет 1 % и т. д.

Такой объем информации невозможно отобразить простой точкой на двухмерной диаграмме. Но можно представить его с помощью графика, называемого кривой вероятности превышения потерь. Нам не требуется заново изобретать велосипед (хотя риск-менеджеры во многих отраслях регулярно именно этим и занимаются), ведь эту концепцию также используют в оценке риска финансового портфеля, актуарной науке, в так называемой вероятностной оценке риска в ядерной энергетике и других технических науках. Наименование может меняться в зависимости от области: где-то это будет «вероятность превышения», а где-то «дополнительная функция кумулятивных вероятностей». На рис. 3.2 показан пример кривой вероятности превышения потерь.

Рис. 3.2. Пример кривой вероятности превышения потерь

На рис. 3.2 показана вероятность того, что данная сумма будет потеряна за некоторый период времени (например, год) из-за определенной категории рисков. Подобную кривую можно полностью построить на основе информации, полученной в предыдущем примере таблицы данных (табл. 3.3). Строить такие кривые риска можно как для конкретной уязвимости, так и для системы, структурной единицы или предприятия. По кривой вероятности превышения потерь хорошо видно, какой диапазон убытков возможен (а не просто точечное значение), а еще что бóльшие потери менее вероятны, чем меньшие. В примере на рис. 3.2 (который, судя по размерам сумм, вероятно, описывает риски в области кибербезопасности на уровне всего предприятия, причем весьма крупного) существует вероятность 40 %, что убытки составят 10 млн долл. в год или больше, а также вероятность примерно 15 % потерять 100 млн долл. или больше. Для удобства отображения более широкого диапазона потерь на горизонтальной оси используется логарифмическая шкала, но это лишь вопрос предпочтений, годится и линейная.