Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

B)P(B), а если речь идет о совместной вероятности трех событий, можно написать P(A,B,C) = P(A | B,C)P(B | C)P(C) и т. д. Это называется «цепным правилом».

6. Правило «возможны разные варианты развития событий».

Правило 4 можно распространить на вычисление вероятности, основанной на всех условиях, при которых событие может наступить, и вероятностей каждого из этих условий.

P(A) = P(A | B)P(B) + P(A |~B)P(~B).

Например, положительный тест на проникновение оказывает определенное влияние на вероятность крупной утечки данных. Используя это правило, вероятность крупной утечки данных можно записать следующим образом:

P(КУД) = P(КУД | ПТП)P(ПТП) + P(КУД |~ПТП) P(~ПТП).

7. Правило Байеса, или Как «перевернуть» условную вероятность.

Часто требуется «перевернуть» условную вероятность. То есть мы можем начать с P(A | B), но на самом деле нам нужна P(B | A). Оба варианта равноценны, только если P(A) = P(B), что часто не так. Поэтому, чтобы перевернуть их, надо применить формулу Байеса, которая записывается как:

P(A | B) = P(A)P(B | A) / P(B).

Иногда такую запись называют «простой» байесовской формой. P(B) вычисляется в соответствии с правилом, изложенным в пункте 3. Если рассматривать только два условия для P(B), тогда правило 4 позволит заменить P(B), так что:

P(A | B) = P(A)P(B | A)/[P(B | A)P(A) + P(B | ~A)P(~A)].

В разбираемом нами случае требуется узнать вероятность крупной утечки данных при наличии некоторой дополнительной информации, например обнаружения конкретной удаленно эксплуатируемой уязвимости. Можно записать это как:

Иными словами, формула Байеса позволяет определить P(КУД | УЭУ) из P(УЭУ | КУД) или наоборот. Это означает, что можно определить вероятность доказательств, учитывая событие, и, наоборот, вероятность наступления события, учитывая доказательства. Чтобы понять, чем они отличаются друг от друга, рассмотрим следующие примеры.

• «Какова вероятность, что у нас была утечка данных, в свете того что за последние шесть месяцев обнаружено несколько вредоносных программ, связанных с находящимися в черном списке серверами управления и контроля (C&C)?»

Записывается как: P(Утечка | Вредоносное ПО с сервера из черного списка).

• Не менее важен вопрос: «Какова вероятность наличия вредоносного ПО, отсылающего информацию на занесенные в черный список серверы, которые принадлежат организованной преступной группировке, учитывая, что, судя по появлению на черном рынке миллионов корпоративных электронных писем, идентификаторов пользователей, номеров социального страхования и других защищенных данных, у нас была утечка?»

Записывается как: P(Вредоносное ПО с сервера из черного списка | Утечка).

Заметили, чем они отличаются? Первый пример сводится к вопросу: «Какова вероятность события (утечки) с учетом имеющихся доказательств?» А во втором спрашивается: «Какова вероятность доказательства с учетом того факта, что событие произошло?» Если вам интересно изучить тему подробнее, то отметим, что путаница между смыслами подобных вопросов приводит к так называемой ошибке прокурора.

В этом «переворачивании» и кроется суть формулы Байеса, и поэтому оно служит важнейшим основанием для рассуждений в условиях неопределенности. Байесовская вероятность превращается в мерило «согласованности» при измерении ваших оценок относительно каких-либо неопределенных событий по мере получения все большего количества данных. В частности, она обосновывает процесс обновления суждений.

Краткая заметка об информативном априорном распределении

Для всех описанных операций нужен источник входных данных. В нашем примере для этого используются калиброванные оценки руководителя отдела информационной безопасности. Поскольку он опирается на свой предыдущий опыт и откалиброванные навыки оценки вероятности для получения исходных данных, мы называем их информативным априорным распределением. Опять же, «априорное» означает «то, в чем вы уже убеждены». Информативное априорное распределение – красивый способ сказать, что ваши данные получены от эксперта в своей области, который что-то знает, хорошо откалиброван и готов утверждать, что одни события более вероятны, чем другие.

Также можно начать с неинформативного априорного распределения. В этом случае исходное состояние предполагает максимально возможный уровень неопределенности, и любое его изменение будет зависеть только от новых данных. Такая точка отсчета считается более осторожной, поскольку на нее не могут повлиять ошибочные оценки эксперта. С другой стороны, она не учитывает и совершенно обоснованные оценки.

Можно утверждать, что неинформативное априорное распределение дискретного бинарного события составляет 50 %. Хотя по этому поводу и ведутся философские споры, в которые мы не станем углубляться, но с математической точки зрения это самая большая неопределенность, которая может возникнуть в системе, имеющей только два возможных состояния.

Конечно, выбор источника информации в каждом случае субъективен. Неинформативное априорное распределение считается более осторожным, но оно же, вероятно, и менее реалистичное, чем информативное (так как обычно у вас нет полного отсутствия предварительной информации). Каким бы ни было соотношение субъективного и объективного, теория вероятности может помочь сделать рассуждения более последовательными.

Доказательство формулы Байеса

Если вы усвоили изложенное и все стало интуитивно понятно, то есть еще несколько концепций, которые можно взять на вооружение, разобравшись, откуда берется формула Байеса. Для этого расширим цепное правило (пункт 5 в базовом словаре).

Рассмотрим все возможные комбинации удаленно эксплуатируемой уязвимости и крупной утечки данных: оба события истинны (УЭУ, КУД), оба события ложны (~УЭУ, ~КУД), истинно только одно событие (~УЭУ, КУД и УЭУ, ~КУД). Воспринимайте их как ветви «дерева цепных правил», пример которого представлен на рис. 8.1.

Рис. 8.1. Дерево цепных правил

Начиная слева, на каждом новом уровне к существующей ветви добавляется еще одна, и в итоге получаются четыре нужные нам комбинации.