Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

…мы ожидаем, что в будущем ресурсы, предназначенные для борьбы с киберугрозами, окажутся равны или даже превысят ресурсы, выделяемые на борьбу с терроризмом.

К такому смещению приоритетов нельзя не отнестись серьезно. Сколько организаций в 2001 году, готовясь противостоять угрозам, которые они считали основными в то время, могли бы представить себе, что киберугрозы не только сравняются с более традиционными террористическими угрозами, но и превзойдут их по степени опасности? А сейчас, на момент написания книги, это уже воспринимается как данность.

Следует признать, что люди, не имеющие отношения к миру кибербезопасности, могут подумать, что ФБР сеет семена страха, неуверенности и сомнений, преследуя политические цели. Но источников страха, неопределенности и сомнений, кажется, уже и так немало, зачем же тогда выделять киберугрозы? Для экспертов по кибербезопасности, разумеется, все вполне очевидно. Мы находимся под ударом, и ситуация, безусловно, станет еще хуже, прежде чем наступит перелом к лучшему.

Ресурсы при этом все еще ограничены. Поэтому специалисты в области кибербезопасности должны уметь эффективно определять отдачу от снижения риска. Неважно, удастся ли точно ее рассчитать, достаточно оценить, является ли выбранная стратегия защиты более рациональным вариантом распределения ресурсов, чем другие. Проще говоря, необходимо измерить и выразить в денежном эквиваленте риск и его снижение. Для этого специалистам не помешает инструкция по распределению ограниченных ресурсов для противодействия все возрастающим киберугрозам и использованию этих ресурсов для оптимального снижения степени риска. Поэтому здесь будут рассмотрены методы:

• измерения самих методов оценки риска;

• измерения степени снижения риска с помощью конкретного метода защиты, контроля, смягчения последствий или стратегии (использование более эффективных методов, как говорилось в предыдущем пункте);

• постоянного и измеримого повышения эффективности применяемых подходов за счет использования более продвинутых методов, которые читатели смогут взять на вооружение, когда будут готовы.

Давайте теперь уточним, чем наша книга не является. В ней не говорится о технической стороне безопасности. Если вам нужна книга об «этичном взломе», вы обратились не по адресу. Здесь не будет обсуждений, как добиться переполнения стека, обойти алгоритмы шифрования или внедрить SQL-код. Если подобные вопросы и будут подниматься, то только в контексте рассмотрения их как параметров в модели рисков.

И все же не разочаровывайтесь, если вы являетесь техническим специалистом. Мы обязательно затронем детали аналитики применительно к безопасности. Взглянем на них с позиции аналитика или руководителя, пытающегося сделать наилучший выбор в контексте возможных потерь в будущем. А пока давайте оценим масштаб имеющейся проблемы, рассмотрим, как решаем ее сейчас, и наметим направление для улучшений, изложенных в остальной части книги.

Глобальная поверхность атаки

Государства, организованная преступность, хактивистские группировки и инсайдеры хотят заполучить наши секреты, наши деньги и нашу интеллектуальную собственность, а некоторые мечтают о нашем полном уничтожении. Звучит драматично? Что ж, если мы верно поняли, ФБР рассчитывает потратить на защиту нас от киберугроз столько же или больше, чем на защиту от тех, кто превращает самолеты, машины, скороварки и даже людей в бомбы. Так как вы читаете эту книгу, то, вероятно, уже осознаете серьезность ситуации. Тем не менее разъясним этот момент еще раз, хотя бы для того, чтобы помочь тем, кто уже разделяет данную точку зрения, доказывать свою правоту остальным.

Общемировое исследование рабочей силы в области информационной безопасности, проведенное в 2015 году с участием более 14 000 специалистов по вопросам безопасности, из которых 1800 являлись федеральными служащими, показало, что мы не просто несем потери, мы отступаем:

Учитывая объем усилий, потраченных за последние два года на повышение готовности федеральных систем к обеспечению безопасности, и общую позицию государства в вопросах безопасности, мы ожидали увидеть очевидный прогресс. Данные же показали, что на самом деле был сделан шаг назад.

Данные из других источников подтверждают этот мрачный вывод. Страховой рынок Соединенного Королевства, Лондонский Ллойд, подсчитал, что кибератаки обходятся миру в 400 млрд долл. в год4. В 2014 году был скомпрометирован 1 млрд записей с личными данными пользователей, из-за чего журнал Forbes назвал его «годом взлома данных»5. К сожалению, название, вероятно, было дано преждевременно: ситуация запросто может ухудшиться.

Более того, основатель и глава компании XL Catlin, крупнейшего страховщика Лондонского Ллойда, заявил, что кибербезопасность – «самый большой и серьезный системный риск», с которым ему приходилось сталкиваться за 42 года работы в сфере страхования6. Потенциальные уязвимости широко используемого программного обеспечения, взаимосвязанный доступ к сети у компаний, поставщиков и клиентов, а также возможность осуществления масштабных скоординированных атак могут сильно повлиять не только на отдельную крупную компанию вроде Anthem, Target или Sony. Представители XL Catlin допускают вероятность одновременного воздействия на множество крупных организаций, которое скажется на всей экономике. По их мнению, если в течение короткого промежутка времени поступят обращения с несколькими значительными страховыми претензиями, то страховщикам будет не по силам покрыть все расходы.

Что вызывает такой резкий рост числа взломов и почему ожидается увеличение их количества? Все дело в поверхности атаки (attack surface). Обычно под ней понимают совокупность всех уязвимостей информационной системы. Поверхность атаки раскрывает ценную информацию ненадежным источникам. Не нужно быть профессионалом в области безопасности, чтобы это понять. У вашего дома, банковского счета, семьи, личности есть поверхность атаки. Если вы пользуетесь защитой от кражи личных данных, предоставляемой федеральным служащим или клиентам компаний Home Depot, Target, Anthem и Neiman Marcus, то получаете вы ее благодаря поверхности атаки, ведь эти компании поместили цифровые сведения о вас в зоне досягаемости преступников. Прямо или косвенно этому способствовал интернет. Перемены произошли быстро и без ведома всех заинтересованных сторон (организаций, служащих, клиентов или граждан).

Различные определения поверхности атаки описывают пути входа и выхода из системы, ее средства защиты, а иногда ценность имеющихся в системе данных7, 8. В одних