Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

• Наблюдаемость. Как вообще это обнаружить? Какие у вас основания заявлять, что уровень мастерства исполнения одних угроз выше или ниже, чем других?

• Полезность. Даже если вы получите однозначное определение уровня мастерства и сумеете его каким-то образом увидеть, как эта информация должна повлиять на действия вашей компании?

Мы не утверждаем, что оценка уровня мастерства злоумышленника – плохой элемент стратегии разложения риска. Возможно, вы однозначно определите уровень мастерства, выявив типы применяемых методов. И можете отслеживать частоту таких атак, а также имеете доступ к информации об угрозах, где сообщается о случаях новых атак, с которыми вы еще не сталкивались. А проведение этой оценки заставит вас пересмотреть вероятность взлома конкретной системы, что, в свою очередь, позволит понять, какие средства контроля следует внедрить или даже каков будет общий бюджет на кибербезопасность. В таком случае все три условия будут выполнены. Но если это не так, а подобное, похоже, бывает очень часто, оценки уровня мастерства являются чистой спекуляцией и не привносят никакой ценности в процесс принятия решений.

Только что разобранный пример с уровнем мастерства злоумышленника как угрозы в зависимости от ситуации может служить хорошим или плохим примером разложения на составляющие. Если разложение соответствует критериям Ховарда и действительно снижает неопределенность, его можно назвать информативным. В ином случае разложение является неинформативным, и лучше придерживаться более простой модели.

Представьте, что перед вами стоит человек с ящиком в руках и просит вас оценить с 90 %-ным ДИ вес ящика только по виду. Размер ящика – примерно 60 см в длину и 30 см в высоту и ширину. Человек не похож на профессионального тяжелоатлета, поэтому ящик явно весит меньше, скажем, 160 кг. Вы также замечаете, что человек немного отклонился назад, чтобы сбалансировать свой вес, и переминается с ноги на ногу, как будто ему неудобно стоять. В итоге вы называете 90 %-ный ДИ от 9 до 45 кг. Диапазон кажется большим, поэтому вы решаете разложить задачу на составляющие, оценив количество предметов в ящике и вес каждого предмета. Или, возможно, в ящике лежат предметы нескольких категорий, поэтому вы оцениваете количество категорий предметов, число предметов каждой категории и вес каждого предмета в данной категории. Повысится ли качество оценки? В действительности оно вполне может понизиться. Вы разложили проблему на множество чисто теоретических вопросов, ответы на которые затем попробуете использовать для математических расчетов. Это пример неинформативного разложения.

Разница между ним и информативным разложением заключается в том, описывается ли проблема с помощью количественных величин, о которых вы более осведомлены, чем о самой исходной проблеме. Информативное разложение – это разложение, использующее конкретные знания эксперта по кибербезопасности о его сфере деятельности. Например, у эксперта могут быть подробные сведения о типах систем в организации и типах записей, хранящихся в них. Он может располагать информацией о внутренних бизнес-процессах, чтобы, скажем, оценить воздействие атак типа «отказ в обслуживании», или способен такую информацию получить. А также ему известно, какие виды средств контроля уже имеются. Разложение на составляющие рисков кибербезопасности с учетом подобных конкретных сведений, скорее всего, окажется целесообразным.

Однако предположим, что эксперт по кибербезопасности попытается построить модель, где требуется оценить численность и уровень мастерства спонсируемых государством кибервзломщиков или даже хакерской группировки Anonymous (о которой, как следует из названия, очень сложно узнать что-то определенное). Приведет ли результат действительно к снижению неопределенности по сравнению с изначальным ее уровнем?

Компоненты разложения должны выглядеть для эксперта менее абстрактными, чем общая их сумма. Если воздействие в долларах раскладывается на такие факторы, как уровень мастерства злоумышленника, значит, неопределенность относительно этих нововведенных факторов должна быть ниже, чем в отношении первоначальной прямой оценки денежных потерь.

Разложение может считаться информативным и в случае, когда в результате его проведения диапазон расширяется, но только при условии, что это ставит под сомнение предполагаемый изначальный диапазон. Например, пусть требуется оценить воздействие нарушения работоспособности системы, при котором в течение ограниченного времени будет недоступно приложение, задействованное в каком-либо ключевом процессе (скажем, принятии заказов). Допустим, изначально воздействие оценили в диапазоне от 150 000 до 7 млн долл., что показалось слишком неопределенным, и было решено разложить его дальше на длительность отключения системы и стоимость одного часа простоя. Предположим, что, согласно оценкам, отключение продлится от 15 минут до 4 часов, а стоимость одного часа простоя составляет от 200 000 до 5 млн долл. Укажем также, что речь идет о логнормальном распределении для каждого фактора (как отмечалось в главе 3, оно часто применяется в тех случаях, когда значение не может быть меньше нуля, но может оказаться очень большим). Снизится ли в итоге неопределенность? Удивительно, но нет, если под «снижением неопределенности» понималось сужение диапазона воздействия, поскольку при произведении этих двух логнормальных распределений получается более широкий 90 %-ный ДИ от 100 000 до 8 млн долл. Но, даже несмотря на это, новый диапазон может считаться полезным, так как, вероятно, будет точнее отражать возможное воздействие, чем первоначальный диапазон.

Здесь стоит добавить небольшое примечание: если вы решили, что диапазон произведений находится путем перемножения нижних пределов и перемножения верхних пределов, то нет, для получения двух независимых случайных величин расчеты проводятся иначе. А если сделать, как указано, то получится диапазон от 50 000 до 20 млн долл. (0,25 часа умножить на 200 000 долл. в час для нижнего предела и 4 часа умножить на 5 млн в час для верхнего предела). Такой вариант мог быть верным, только если бы две переменные идеально коррелировали друг с другом, а это очевидно не наш случай.

Итак, разложение на составляющие может пригодиться хотя бы просто в качестве проверки реалистичности начального диапазона. Оно также может потребоваться при выполнении симуляций со множеством отдельных событий, складывающихся в риск на уровне портфеля, как показано в табл. 6.1. Когда аналитики оценивают большое количество отдельных событий, не всегда понятно, каковы последствия этих отдельных оценок на уровне портфеля. В нашей практике однажды был случай, когда профильные специалисты оценили вероятности примерно сотни отдельных событий в диапазоне от 2 до 35 %. После чего выяснилось, что, согласно симуляции, в год происходит около дюжины значимых событий. Одному