Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен
Шрифт:
Интервал:
Закладка:
Столбцы в табл. 9.1 являются лишь примером. Нам попадались варианты, где компании также учитывали тип операционной системы, было ли программное обеспечение разработано внутри компании, есть ли доступ у поставщиков, количество пользователей и т. д. Право определить идеальные параметры остается за вами, главное, чтобы они отвечали условиям понятности, наблюдаемости и полезности Рона Ховарда (полезность в этом случае означает, что данные заставят вас изменить свою оценку). Мы же сосредоточимся на том, как проводятся расчеты, независимо от выбираемых факторов риска.
Таблица 9.1. Несколько строк из (гораздо более длинной) таблицы вероятностей узловПредположим, что условия (столбцы) в табл. 9.1 дополнили и их стало больше четырех. Наш предыдущий опыт моделирования в области кибербезопасности при работе с различными организациями подсказывает, что обычно бывает от 7 до 11 условий. Каждое из них может иметь как минимум два возможных значения (скажем, конфиденциальные данные или нет). Но у некоторых условий, как видно из примера, значений может быть три, четыре и более, что приводит к множеству комбинаций условий. Например, если есть семь условий, у трех из которых по два возможных значения, а у остальных – по три, то это уже 648 строк таблицы (2 × 2 × 2 × 3 × 3 × 3 × 3). На практике комбинаций оказывается гораздо больше, поскольку часто есть несколько условий с четырьмя или более вариантами значений. Модели, составленные для отдельных клиентов компании HDR, могли генерировать тысячи, а то и десятки тысяч возможных комбинаций.
В идеале нам бы не помешали данные по множеству различных сбоев. Для измерений чем больше точек данных, тем лучше, но специалисты по кибербезопасности стремятся снижать количество случаев взломов, отказов в обслуживании и других подобных событий. Как всегда, при нехватке данных можно обратиться к экспертам, которые дадут оценку события с учетом каждого из условных состояний. Например, можно запросить оценку вероятности, при условии что применяются стандартные меры обеспечения безопасности, система содержит личную медицинскую информацию, в ней не используется многофакторная аутентификация, а данные хранятся в датацентре, принадлежащем компании. После чего эксперты выполнят оценку для следующей комбинации условий и т. д. Очевидно, что из-за количества возможных комбинаций условий даже в скромной по размерам таблице оценка каждой вероятности в типичной вероятностной таблице узлов становится для экспертов нецелесообразной.
К счастью, существует два отличных способа, с помощью которых эксперты могут заполнить вероятностную таблицу узлов (какого угодно размера), оценив лишь ограниченный набор комбинаций условий: метод логарифма отношения шансов и метод линзы.
Пошаговый подход: логарифм отношения шансовМетод логарифма отношения шансов (ЛОШ) позволяет эксперту оценить влияние каждого условия в отдельности, а затем сложить их, чтобы получить вероятность на основе всех условий. Это разновидность так называемой логистической регрессии в статистике, которую мы будем применять в довольно простой форме.
ЛОШ вероятности P(x) представляет собой выражение log(P(x)/(1 – P(x) (при этом часто под логарифмом подразумевается натуральный логарифм ln, но метод работает и с другими логарифмами). В результате получается отрицательное значение при P(x) < 0,5, положительное значение при P(x) > 0,5 и ноль, когда P(x) = 0,5. Вычисление ЛОШ полезно, так как он позволяет «суммировать» эффекты различных независимых условий для определения вероятности. Ниже подробно расписана данная процедура, а чтобы лучше разобраться в деталях, можно, как всегда, найти электронную таблицу со всеми расчетами на сайте www.howtomeasureanything.com/cybersecurity.
1. Выберите экспертов и откалибруйте их.
2. Определите базовую вероятность того, что конкретный актив может пострадать от заданного события в указанный период времени. При этом исходите из предположения, что единственная имеющаяся информация об активе (или приложении, или системе, или угрозе, и т. д. в зависимости от структуры разложения) – его принадлежность вашей организации. Это и будет P(Событие).
Пример: P(Событие) в год при отсутствии другой информации об активе равна 0,02.
3. Оцените условную вероятность того, что с активом произойдет указанное событие при конкретном значении некоторого условия. Можно записать это: P(E | X); т. е. вероятность события E с учетом условия X.
Пример: P(Событие | Конфиденциальные данные) = 0,04.
4. Оцените условную вероятность того, что с активом произойдет указанное событие при другом значении данного условия. Повторите этот шаг для всех возможных значений условия.
Пример: P(Событие | Отсутствие конфиденциальных данных) = 0,01.
5. Преобразуйте базовую вероятность и каждую из условных вероятностей в ЛОШ. Запишем это как L(Вероятность).
Пример: ЛОШ(P(Событие)) = ln(P(Событие)) / (1 – P(Событие)) = ln(0,02 / 0,98) = –3,89182; ЛОШ(P(Событие | Конфиденциальные данные)) = ln(0,04 / 0,96) = 3,17805
и т. д. для каждого условия.
6. Вычислите «дельту ЛОШ» для каждого условия, т. е. разницу между ЛОШ с заданным условием и базовым ЛОШ.
Пример: дельта ЛОШ(Конфиденциальные данные) = L(P(Событие | Конфиденциальные данные)) – ЛОШ(P(Событие)) = —(–3,18) – (–3,89) = +0,71.
7. Повторите шаги с 3 по 6 для каждого условия.
8. Когда дельта ЛОШ будет вычислена для всех возможных значений всех условий, создайте электронную таблицу, которая будет искать нужную дельту ЛОШ для каждого условия для каждого значения для этого условия. При заданном наборе значений условий все дельта ЛОШ для каждого условия добавляются к базовому ЛОШ для получения скорректированного ЛОШ.
Пример: Скорректированный ЛОШ = –3,89 + 0,71 + 0,19 – 0,45 + 1,02 = –2,42.
9. Преобразуйте скорректированный показатель ЛОШ обратно в вероятность, чтобы получить скорректированный показатель вероятности.
Пример: Скорректированная вероятность = 1 / (1 + 1