Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

Теперь в нашем распоряжении имеются доказанные теоремы и масса наработанных числовых примеров. В итоге превосходство байесовских методов сегодня – факт, всесторонне продемонстрированный в сотне различных областей.

Эдвин Томпсон Джейнс (1922–1998), американский специалист по статистической физике и откровенный сторонник байесовских методов. Probability Theory: The Logic of Science, т. 1 Principles and Elementary Applications

В предыдущей главе показано, что эффективность субъективной вероятности можно объективно измерить, а ее всесторонние измерения описаны в научной литературе. Субъективные априорные вероятности – отправная точка всего нашего анализа. Это оптимальный способ получить математически значимые результаты, которые будут полезны при моделировании, используя лишь специальные знания и опыт эксперта по кибербезопасности. Выражение текущей неопределенности в количественном виде позволяет обновлять вероятности согласно новым наблюдениям с помощью ряда эффективных математических методов.

Инструменты, представленные в данной главе, являются частью байесовских методов в теории вероятности и статистике. Названы методы в честь автора их основополагающей идеи, математика и священника Томаса Байеса. У них множество преимуществ, которые особенно хорошо подходят для решения проблем в сфере кибербезопасности. Во-первых, используются имеющиеся знания экспертов. Это отличает подход Байеса от традиционных методов, вероятно, знакомых читателям по университетскому курсу статистики, в которых предполагается, что до получения данных выборки о показателе буквально ничего не известно. Во-вторых, благодаря применению таких исходных знаний можно делать выводы на основе очень небольшого количества информации. Возможно, эти выводы лишь немного уменьшат неопределенность для эксперта по кибербезопасности, но они все равно могут оказать значительное влияние на принятие решений по снижению риска. Если же у вас действительно много данных, то различия между байесовским подходом и измерениями на основе базовых методов выборки, игнорирующими априорные знания, нивелируются.

В этой главе будут представлены некоторые основные байесовские рассуждения и показано, как их можно применить к одной из проблем в области кибербезопасности. Пока мы для ознакомления сосредоточимся на фундаментальных принципах. Кому-то рассматриваемая информация покажется общеизвестной. Мы исходим из того, что читатели знакомы с основами алгебры, и не более. Но при этом есть множество деталей, требующих разъяснения, так что, если информация покажется вам элементарной, смело ее пропускайте. Если же она, наоборот, выглядит слишком сложной, имейте в виду, что вам, как всегда, доступны готовые расчеты в загружаемой электронной таблице (www.howtomeasureanything.com/cybersecurity). Если вы осилите эту главу, наградой станет доступ к некоторым очень мощным инструментам в следующей.

Мы будем рассматривать материал в контексте, начав с проблемы, волнующей всех в сфере кибербезопасности, – крупной утечки данных.

Пример крупной утечки данных

Представим один гипотетический и чересчур упрощенный сценарий. Как руководитель отдела информационной безопасности компании ABC, вы оказались ответственны за сохранение большого количества программных продуктов, размещенных в облаке. Все они обрабатывают критически важные данные, которые должны быть надежно защищены. Соответствующие базы данных включают финансовые и даже конфиденциальные данные. Допустим, компания достаточно крупная, и каждое облачное приложение ежедневно обрабатывает миллионы записей критически важных данных. Также 500 разработчиков, находящихся в разных точках земного шара, регулярно обновляют код. Вдобавок ваша компания внедрила подход DevOps, позволяющий ежедневно устанавливать разнообразные обновления ПО. И наконец, вы вложили деньги в средства защиты и службу безопасности.

Иначе говоря, ваши системы связаны со множеством рисков, из-за ведущихся разработок к ним ежедневно добавляется много новых, но в то же время вы хорошо вооружены и считаете, что готовы к бою. Неожиданно вас вызвали в офис генерального директора на разговор.

Генеральный директор: Мне только что стало известно, что финансовую компанию XYZ взломали прямо через их сайт, там огромные потери данных и масса обязательств по возмещению ущерба! Каковы шансы, что какой-либо из наших сайтов смогут взломать и выкрасть данные клиентов?

Руководитель отдела информационной безопасности, достав свое мобильное устройство и открыв электронную таблицу с «наивным» байесовским калькулятором, скачанную с сайта www.howtomeasureanything.com/cybersecurity: Одна целая двадцать четыре сотых процента в течение следующего года, но я оставляю за собой право скорректировать оценку после завершения комплексного независимого теста на проникновение.

Генеральный директор: Число невероятно точное.

Руководитель отдела информационной безопасности: На самом деле это вероятность. Она отражает мою неуверенность относительно ожидаемого «точного» результата. В данном случае вероятность была выведена из других подготовленных мной субъективных оценок вероятности. Сотрудники моего отдела, включая меня, прошли калибровку, поэтому мы знаем, насколько хорошо умеем оценивать субъективные вероятности.

Генеральный директор: Теперь мне стало любопытно. Насколько сильно изменится ваше мнение, если тест что-то обнаружит? А если он ничего не обнаружит? Измените ли вы это вполне конкретное число?

Руководитель отдела информационной безопасности: Мы проводили другие тесты на проникновение, но теперь тестировщики ищут определенный набор уязвимостей, которыми можно воспользоваться удаленно. Если тестировщики найдут их в наших облачных продуктах и смогут украсть защищенные данные без нашего ведома, то, пожалуй, моя субъективная оценка возможных будущих убытков возрастет до двадцати четырех процентов. Если тестировщики ничего не добудут, то она снизится до одной целой одной сотой процента. Более важный вопрос – если им удастся нас взломать или почти взломать, какова вероятность, что нас уже не взломали ранее? И, возможно, еще более важный вопрос: когда следует проводить экспертизу, чтобы определить, понесли ли мы убытки? Экспертиза стоит очень дорого…

Генеральный директор: Пожалуйста, сообщите мне результаты тестов и рекомендуемые решения с учетом результатов. Давайте сделаем все быстро… это наш шанс. А пока покажите мне таблицу, у меня к ней много других вопросов!

Вопросы вроде тех, которые генеральный директор задавал о будущих убытках, – нормальны. Когда происходят крупные взломы таких компаний, как Sony, JPMorgan, Target и RSA, руководители, естественно, задаются вопросом: «А могло такое случиться с нами?» Они переживают из-за крайне неопределенных и, возможно, значительных будущих убытков. И разумно тогда переформулировать вопрос, введя количественную составляющую: «Какова вероятность, что у нас произойдет крупная утечка данных?»

Чтобы пример стал реалистичнее, представьте, что мы определили три конкретных термина (определили достаточно четко,