Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

Простая стратегия разложения воздействия, знакомая многим специалистам по кибербезопасности, – это разложение на конфиденциальность, целостность и доступность. Как вам, вероятно, известно, под нарушением конфиденциальности подразумевается неправомерное раскрытие информации. Сюда можно отнести утечку миллионов записей или кражу корпоративных секретов и интеллектуальной собственности. Нарушение целостности означает изменение данных или поведения системы, которое может привести к несанкционированным финансовым операциям, повреждению оборудования, неверной логистике и т. д. Наконец, нарушение доступности трактуется как определенное отключение системы, приводящее к снижению производительности, продаж или другим затратам, связанным с вмешательством в бизнес-процессы. Мы не настаиваем на применении данного подхода всеми, но многие аналитики в области кибербезопасности находят такое разложение полезным при осмыслении проблемы.

Давайте еще упростим процесс по примеру одной компании, объединившей конфиденциальность и целостность. Считается, что убытки вследствие нарушения доступности встречаются чаще по сравнению с двумя другими категориями, а поэтому при ее оценке можно задействовать иную уже известную информацию о системе, например типы бизнес-процессов, которые поддерживает система, количество пользователей, влияние на производительность, возможное влияние на продажи в период недоступности системы и т. д. В табл. 6.1 показан вариант подобного небольшого разложения на примере электронной таблицы для модели замены «один на один» из главы 3. Для экономии места здесь отброшены столбцы справа с агрегированием данных. Полный вариант таблицы вместе с оригинальной моделью, описанной в главе 3, как обычно, можно найти на сайте www.howtomeasureanything.com/cybersecurity.

Таблица 6.1. Пример чуть более подробного разложения

Обратите внимание, что начали мы с разложения события на составляющие, определив прежде всего его тип. Была задана вероятность, что событие связано только с конфиденциальностью и целостностью (КонфЦел), и вероятность, что оно касается только доступности (Дост). Вероятность того, что это могут быть оба типа, равна 1 – КонфЦел – Дост. Смоделировать определение типа события (поскольку уже установлено, что событие произошло, то не может быть результата, когда не указан ни один из типов) можно, например, применив в Excel следующую формулу:

= ЕСЛИ(СЛЧИС() < КонфЦел;1;ЕСЛИ(СЛЧИС() < (КонфЦел + Дост);2;3))

Убытки от нарушения конфиденциальности или целостности будут добавлены при получении значения функции, равного 1 (произошло событие нарушения конфиденциальности и целостности) или 3 (произошло событие нарушения как конфиденциальности с целостностью, так и доступности). Та же логика применяется к нарушению доступности, которое возникает, если результат равен 2 или 3. Кроме того, можно было бы просто оценить вероятность наступления событий по отдельности, а не определять сначала наличие события, а затем его тип. Для этого существует намного больше способов, и поэтому для оценки следует выбирать вариант разложения, который кажется вам наиболее удобным и реалистичным.

Убытки, возникшие вследствие нарушения доступности, рассчитываются путем умножения продолжительности отключения системы в часах на стоимость одного часа простоя. Как и в более простой модели в главе 3, генерируются тысячи значений для каждой строки. В каждом произвольном тесте случайным образом определяется тип события и его стоимость. Весь список затрат, вызванных событиями, суммируется для каждого из тысяч тестов, а затем строится кривая вероятности превышения потерь, как показано в главе 3. Как и раньше, у каждой строки может быть предлагаемое средство контроля, способное снизить вероятность и, возможно, воздействие события (это снижение также может быть выбрано случайным образом из заданных диапазонов).

Если событием является атака на заданную систему, то обычно имеется хоть какая-то информация о том, как эта система используется в организации. Например, приблизительное представление о количестве пользователей системы, нарушится ли их деятельность полностью без системы, или они смогут обойтись без нее какое-то время, а также влияет ли система на продажи или другие операции. А многим организациям уже приходилось сталкиваться с выходом систем из строя, и этот опыт может лечь в основу их оценки возможной длительности отключения.

Теперь, когда у вас есть общее понимание принципа разложения на составляющие, давайте обсудим другие стратегии, которые можно использовать. А чтобы разложить модель, используя более широкий спектр распределений вероятности, изучите список распределений в приложении А. И конечно, с сайта www.howtomeasureanything.com/cybersecurity можно загрузить электронную таблицу, содержащую все указанные распределения вероятностей, которые созданы с помощью обычного инструментария MS Excel (т. е. без макросов VBA или надстроек).

Несколько полезных стратегий разложения на составляющие

Каждая строка в симуляции из табл. 6.1 обозначена просто как «событие», но на практике следует указывать событие более конкретно, и тут возможны различные подходы. Подумайте, что вы обычно вносите в матрицу рисков. Если бы нужно было включить в матрицу 20 элементов, указали бы вы 20 приложений или 20 категорий угроз? А может, указали бы структурные подразделения организации или типы пользователей?

Большинство специалистов, применяющих метод матрицы рисков, похоже, начинают с проблемно ориентированного разложения. То есть, внося элемент в матрицу рисков, они думают прежде всего о его прикладной роли. Вполне неплохое начало. Опять же мы не придерживаемся конкретной позиции относительно методов разложения на составляющие, пока не получим доказательств, что какие-то из них лучше или хуже. Однако для удобства и по привычке мы начали простую модель в главе 3 с прикладного подхода к проблеме разложения. Если вам удобнее, когда список рисков содержит отдельные источники угроз, уязвимости или что-то еще, то описанный здесь подход несложно будет перенести на предпочтительную модель.

Решив, что обозначают строки таблицы, следующим шагом следует определить, насколько подробное разложение вам нужно в каждой строке. При каждом разложении на составляющие стоит по возможности опираться на уже известные сведения, можно назвать их «наблюдаемыми величинами». В табл. 6.2 приведено еще несколько примеров.

Таблица 6.2. Еще несколько примеров потенциальных вариантов разложения на составляющие

Даже после моделирования какой-то части указанных компонентов диапазон все равно может остаться достаточно широким, но тем не менее появится возможность рассуждать об относительной вероятности различных исходов. Специалист по кибербезопасности, считавший, что диапазон убытков составит от нуля до 500 млн долл., просто не учел, что следует постараться сделать выводы из известных данных вместо зацикливания