Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

разные параметры α и β, пока не получится распределение, которое, по вашему мнению, соответствует априорной информации. Начните поиск априорных значений с α и β, равных 1, а затем, если вы считаете, что частота должна быть ближе к нулю, увеличьте β. Можете ориентироваться на среднее значение, которое должно быть α / (α + β). Увеличение параметра α, наоборот, сдвинет частоту возникновения события немного дальше от нуля. Чем больше сумма α + β, тем ýже будет диапазон. Проверить диапазон можно с помощью обратной функции вероятности для бета-распределения в Excel: значения =БЕТА.ОБР(0,05; альфа; бета) и =БЕТА.ОБР(0,95; альфа; бета) будут вашим 90 %-ным доверительным интервалом. Для обновления распределения на основе новой информации будет применяться все та же процедура – добавление попаданий к α и промахов к β.Влияние бета-распределения на вашу модель

Отказавшись от применения бета-распределения и опираясь на наблюдаемую частоту 1,67 %, мы могли серьезно недооценить риски для отрасли. Даже вытаскивая шарики из урны, в которой, как нам известно, ровно 1,67 % красных шариков (остальные зеленые), мы бы все равно ожидали, что при каждом вытаскивании соотношение будет разным. Если бы нужно было вытянуть 120 шариков и предполагалось, что доля красных шариков составляет 1,67 %, то согласно вычислениям вероятность вытаскивания более трех красных шариков составила бы всего 14 % (по формуле в Excel: 1-БИНОМРАСП(3;120;0,0167;1)). С другой стороны, если бы у нас просто был 90 %-ный ДИ, что от 0,7 до 5,1 % шариков – красные, то вероятность вытащить больше трех красных шариков превысила бы 33 %.

Если применить подобные рассуждения к рискам безопасности в отрасли или компании, то вероятность возникновения нескольких событий резко возрастает. Это может означать более высокую вероятность нескольких крупных нарушений кибербезопасности в отрасли в течение года или, если используются данные на уровне компании, – взлом нескольких из множества систем компании. По сути, это «разворачивает» кривую вероятности превышения потерь против часовой стрелки, как показано на рис. 9.4. Среднее значение остается тем же, а риск экстремальных убытков увеличивается. Это может означать, что рискоустойчивость превышена на правом конце кривой.

Рис. 9.4. Пример того, как бета-распределение изменяет вероятность экстремальных убытков

На наш взгляд, это может быть основным недостающим компонентом анализа рисков в области кибербезопасности.

Прошлые наблюдения стоит в действительности рассматривать только как пример возможного развития ситуации, и, следовательно, необходимо допускать вероятность, что раньше нам просто везло.

Чтобы изучить тему подробнее и выяснить, как можно использовать бета-распределение в модели замены «один на один», а также узнать, каким образом оно может влиять на кривую вероятности превышения потерь, скачайте с нашего сайта электронную таблицу к этой главе.

Случай бета-распределения: AllClear ID

AllClear ID, ведущая компания в области защиты пользователей от нарушений кибербезопасности, применяет бета-распределение для оценки рисков кибербезопасности с помощью данных о нарушениях в отрасли. Компания предлагает три решения: AllClear Reserved Response™; услуги по взаимодействию с клиентами, которые включают в себя поддержку и оповещение; а также услуги по защите личных данных пользователей. Специалисты компании работают с инцидентами любого масштаба, в частности они занимались самыми крупными взломами из произошедших в последние годы.

Клиентам, пользующимся продуктом Reserved Response, гарантируется помощь при инциденте, что делает оценку риска критически важной для обеспечения надлежащего объема ресурсов в соответствии с требующимся обслуживанием. За помощью в оценке рисков крупного взлома не только для одного клиента, а для всей своей клиентской базы представители AllClear ID обратились в компанию Дага Хаббарда, Hubbard Decision Research (HDR), попросив смоделировать риски утечки данных во всех отраслях, которые они поддерживают, включая возможность того, что несколько крупных клиентов могут подвергнуться взломам в перекрывающиеся периоды времени. Получившаяся в итоге модель – один из многих инструментов, используемых AllClear ID при анализе оценок риска.

Компания HDR применила бета-распределение к данным об отраслевых взломах, взятым из отчета Verizon DBIR. В 2015 году было зарегистрировано 2435 случаев утечки данных, но, как объяснялось выше, сама по себе эта цифра не сообщала ежегодную частоту утечек для конкретного количества компаний. Применяя описанный ранее метод, специалисты HDR начали с перечня компаний, относящихся к отраслям, в которых оказывает поддержку AllClear ID. Затем его сравнили с отчетом Verizon DBIR, чтобы определить, у скольких из выбранных компаний случались утечки данных. В одной из отраслей в списке Fortune 500 находились 98 компаний. Несколько из них пострадали от нарушений кибербезопасности в течение двухлетнего периода с начала 2014 года и до конца 2015 года. Таким образом, 98 организаций и двухлетний период давали в общей сложности 196 единиц данных, среди которых были «попадания» и «промахи» (промахи – компании, не столкнувшиеся с нарушениями в течение года). Теперь стало возможным оценить вероятность нарушения кибербезопасности компаний заданной отрасли, входящих в список Fortune 500.

При моделировании методом Монте-Карло компания HDR использовала бета-распределение с α и β, что позволило получить 90 %-ный доверительный интервал для годового значения частоты наступления событий для каждого клиента. Если частота нарушений приближена к верхнему пределу, то вероятность наложения друг на друга нарушений кибербезопасности у нескольких клиентов значительно увеличивается. Созданная симуляция Монте-Карло показала как раз такую вероятность наложения друг на друга периодов пика нарушений кибербезопасности у нескольких клиентов, пользующихся решением Reserved Response. Эти сведения, помимо прочих, помогают компании AllClear ID планировать ресурсы, необходимые для удовлетворения потребностей клиентов, даже если нельзя точно узнать конкретное количество и сроки нарушений кибербезопасности.

Несмотря на то что нарушения кибербезопасности – непредсказуемые события, симуляция дала нам бесценное представление о рисках, с которыми мы потенциально можем столкнуться, и информацию, которая поможет эти риски снизить.

Бо Холланд, основатель и генеральный директор компании AllClear ID

Разложение на составляющие вероятностей с несколькими условиями

В примерах главы 8 приведена условная вероятность только с одним условием. Однако часто даже в самых простых моделях требуется учитывать гораздо больше условий. Один из способов решения проблемы