Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

Предположим, что вы построили модель, вычислили стоимость информации и определили, какие дополнительные измерения необходимо провести. В частности, было установлено, что желательно уменьшить степень неопределенности в отношении влияния отдельных факторов в области кибербезопасности на вероятность наступления какого-либо события, затрагивающего безопасность. Сформировав выборку – из данных или своей компании, или отрасли в целом, – вы организовали ее так, как показано в табл. 9.3. Присвоив наступлению события значение Y, а рассматриваемому условию – значение X, можно вычислить условную вероятность P(Y | X): разделить количество строк, в которых Y = Да и X = Нет, на общее количество строк, где X = Нет. То есть P(Y | X) = количество Y и X / количество X (как показано в правиле 4 для ситуации «это зависит от» в главе 8).

Это может быть список серверов по годам, показывающий, происходило ли интересующее вас событие на данном сервере и, скажем, был ли он расположен за границей, или какой тип операционной системы на нем установлен. Или, возможно, требуется оценить вероятность заражения сервера ботами на основе какой-то непрерывной величины, например количества трафика, получаемого сервером (наш приглашенный автор Сэм Сэвидж разбирает такой случай в приложении Б).

Если вы умеете работать со сводными таблицами в Excel, то сможете провести подобный анализ без особых проблем. Мы же предлагаем еще более простой аналитический способ – применить функцию Excel =СЧЁТЕСЛИМН, подсчитывающую строки таблицы, в которых выполняется ряд условий. Посчитав строки, в которых оба столбца равны «1», получим количество раз, когда присутствовали и событие, и условие. В отличие от функции СЧЁТЕСЛИ (без «МН»), которая подсчитывает только число в заданном диапазоне, удовлетворяющее одному критерию, СЧЁТЕСЛИМН может иметь несколько диапазонов и несколько критериев. Они обе понадобятся для расчета условной вероятности по данным за прошлый период.

Подсчитав количество единиц только во втором столбце, мы получим все ситуации применения условия, независимо от того, происходило ли событие нарушения безопасности. Тогда, чтобы вычислить условную вероятность события с учетом условия, P(Событие|Условие) по табл. 9.3, проведем следующие вычисления:

= СЧЁТЕСЛИМН(столбец A; «=1»; столбец B; «=1»)/СЧЁТЕСЛИ(столбец B; «=1»).

Обратите внимание, что под обозначениями «столбец A» и «столбец B» понимаются соответствующие диапазоны, в которых находятся ваши данные в Excel.

Теперь вы эмпирически оцениваете условную вероятность. На сайте размещена электронная таблица, демонстрирующая, как это сделать. В ней представлен довольно интересный анализ, который можно провести с помощью этого подхода, как только вы его освоите.

В книге уже подробно разобрано несколько статистических методов, и, на наш взгляд, большинству экспертов по кибербезопасности их будет вполне достаточно, но при желании читатели всегда могут глубже изучить вопрос. Поэтому мы не будем нагружать вас сейчас дополнительными методами, а лишь опишем, что делать, если вы уже освоили все рассмотренные выше способы.

Прежде всего можно объединять изученные методы в более сложные и информативные подходы. Например, в методе ЛОШ использовать как вводные данные не калиброванные оценки, а условные вероятности, вычисленные из данных. Как и в случае с ЛОШ ранее, до тех пор пока условия независимы, можно определять условную вероятность при большом количестве условий.

Кроме того, применяя данные из табл. 9.3, можно построить бета-распределение с эмпирически полученной условной вероятностью, взяв простые бинарные исходы (Y) и условия (X) в качестве «попаданий» и «промахов». Допустим, есть центр обработки данных, в котором установлено множество средств защиты на пути данных из сети в компьютер: сетевой файрвол, файрвол компьютера, сетевая система предотвращения вторжений, хостовая система предотвращения вторжений и т. д. В любом случае это немалые финансовые вложения. Переменная исхода Y пусть будет определена как «инцидент нарушения безопасности». Формулировка очень общая, но это может быть вредоносное ПО, атака хакеров, отказ в обслуживании и т. д. А X, разумеется, представляет собой «условия», которые были только что сформулированы, как меры обеспечения безопасности. Предположим, в результате подсчета получился 31 случай, когда Y и X встречаются вместе (событие нарушения безопасности и действующие средства контроля) и 52 случая Х всего. Тогда мы сможем оценить условную вероятность при помощи бета-распределения, используя 31 совпадение и 21 промах, которые добавятся к априорной информации. Опять же, стоит воспринимать полученные данные лишь как возможный вариант, а не отражение точной пропорции. Если продолжить наш пример, то далее можно было бы спрогнозировать вероятность возникновения инцидентов нарушения безопасности при конкретных средствах контроля. Вместо того чтобы добавлять ЛОШ для фиксированных условных вероятностей, мы случайным образом берем данные из бета-распределения и вычисляем ЛОШ получившегося результата (это повлияет и на кривую вероятности превышения потерь, которая повернется так, что вероятность экстремальных потерь увеличится).

Подумайте, как это может быть удобно, если вы имеете дело с несколькими крупными центрами обработки данных, разбросанными по всему миру. Вам нужно иметь представление о вероятности инцидентов с позиции обеспечения мер безопасности. Тогда указанным способом будет легко определить EVPI по отношению к потенциальным стратегическим изменениям в системе защиты, исходя из данных простой выборки. Не забывайте, у вас больше данных, чем кажется!

Электронные таблицы с подробными примерами, как обычно, размещены на сайте www.howtomeasureanything.com/cybersecurity.

Использование имеющихся ресурсов для снижения неопределенности

Вспомните максимы измерения: подобные измерения уже проводились раньше; у вас больше данных, чем кажется; вам нужно меньше данных, чем кажется. В этой главе до сих пор мы уделяли основное внимание последней максиме. Теперь потратим немного времени на две другие.

Если вы хотя бы частично осознаёте, какие ресурсы вам доступны, то поймете, что данных довольно много и что очень умные люди уже проанализировали их для вас. Часть информации даже находится в открытом доступе. Все приведенные ниже примеры были предоставлены для этой книги нашими приглашенными авторами.

• Компания VivoSecurity Inc. собирает в основном общедоступные сведения об утечках информации и других инцидентах, связанных с кибербезопасностью. Используя