Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен
Шрифт:
Интервал:
Закладка:
• Антон Мобли, специалист по анализу данных из компании GE Healthcare (и коллега Ричарда Сирсена, одного из авторов книги), провел любопытный анализ влияния политики надежности паролей на вероятность их взлома. Анализ частично основан на эмпирических исследованиях паролей (например, паролей вроде «password» или «qwerty»), а также рассматривает правила, по которым они создаются, и относительную сложность подбора паролей при помощи широко доступных алгоритмов. В частности, Мобли приводит эмпирические данные о том, какие типы подсказок к паролям, используемых людьми, значительно упрощают процесс подбора пароля (например, «моя фамилия» или «улица моей компании»). Согласно его исследованию, в организации с 2000 сотрудников практически наверняка случится взлом паролей, если в ней не следят за соблюдением стандартов составления паролей. Вероятность взлома паролей в этой же организации снизилась бы примерно до всего лишь 5 % при наличии обязательного требования выбирать пароль из 15 символов разных типов (например, «AnNtx5#undR70!z»). Подробный анализ представлен Мобли в приложении Б.
• Маршалл Кюперс (мы упоминали его в главе 6, он специализируется на статистическом анализе данных в сфере кибербезопасности и на момент написания книги готовился получать степень доктора философии в Стэнфорде) вместе с доктором Пейт-Корнелл из Стэнфорда представили на конференции SIRACon 2015 статистический анализ, демонстрирующий несколько интересных тенденций (часть из них показана на рис. 9.6). На их основе можно сделать ряд полезных выводов для анализа рисков кибербезопасности.
– Частота взлома данных вследствие потери или кражи устройств остается неизменной на протяжении последних нескольких лет и пропорциональна количеству сотрудников. Эти результаты согласуются с выводами на основе анализа данных министерства здравоохранения.
– Снижается частота заражения вредоносным ПО, но не его воздействие, распределение которого имеет толстый хвост.
– Время расследования инцидентов в точности соответствует «степенному закону» (степенной закон – распределение, в котором логарифм частоты события и логарифм воздействия создают прямую линию, идущую под углом вниз. Это распределение описано в приложении А).
Рис. 9.6. Распределение времени расследования инцидентов, связанных с кибербезопасностью
Завершая разговор о байесовском методе
Две последние главы знакомили вас сначала с простыми, а затем с более продвинутыми эмпирическими подходами, применяющими байесовский метод. Обращаясь к уже разработанным электронным таблицам за более подробными объяснениями, мы рассмотрели довольно большой объем информации.
Было показано, как байесовские и производные от них методы позволяют обновлять первоначальные калиброванные оценки с учетом новой информации. Продемонстрировано не только использование байесовских методов для решения простой проблемы обновления информации, но и то, как можно применять на практике гораздо более сложные методы вроде бета-распределения, пользуясь возможностями редактора Excel. А также как можно объединить несколько условий с помощью метода ЛОШ и метода линзы и как сочетать ЛОШ с бета-распределением.
Не обязательно пытаться разобраться во всем сразу. Делайте все постепенно и добавляйте новые методы по мере их освоения. Есть множество вариантов моделирования и использования новой информации – и любой из них определенно лучше, чем догадки или применение методов без математического обоснования. Далее в третьей части мы рассмотрим еще несколько концепций и обсудим практические соображения по внедрению изученных методов в организации.
Примечания1. Benjamin Enke and Florian Zimmermann, “Correlation Neglect in Belief Formation,” Discussion Paper No. 7372 (Bonn, Germany: Institute for the Study of Labor, 2013), http://ftp.iza.org/dp7372.pdf.
2. U.S. Department of Health and Human Services, Office for Civil Rights, Breach Portal, “Breaches Affecting 500 or More Individuals,” accessed March 21, 2016, https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf.
Часть III. Управление рисками кибербезопасности в организации
Глава 10. На пути к зрелости метрик безопасности
Когда совершенствуешься в каком-либо деле, хорошо иметь представление о том, на каком этапе находишься и куда стоит двигаться дальше. Процесс совершенствования должен быть непрерывным, и его необходимо измерять. Требование «непрерывности и измеримости» заявлено одним из основных результатов этой книги. Непрерывные целенаправленные измерения называются метриками. В связи с этим в данной главе приводится модель зрелости метрик операционной безопасности. В отличие от прочих моделей зрелости, связанных с аналитикой (да, их много), наша начинается и заканчивается прогностической аналитикой.
С этой главы мы начнем разбирать некоторые вопросы на уровнях руководства и реализации. Ричард Сирсен, один из авторов книги, хорошо разбирающийся в данной теме, здесь и далее будет обращаться к своим коллегам, используя термины и концепции, с которыми они должны быть уже знакомы. Дополнительные технические вопросы будут затронуты лишь выборочно для иллюстрации практических действий. Итак, мы рассмотрим следующие темы.
• Модель зрелости метрик операционной безопасности. Модель зрелости, представляющая собой матрицу типовых вопросов и источников данных.
• Анализ скудных данных (АСД). Самый первый этап метрик, здесь используются количественные методы для моделирования риска на основе ограниченных данных. В частности, этот этап можно использовать для обоснования новых инвестиций в безопасность. В конце главы приведен подробный пример АСД с использованием языка программирования R. Это дополнительный материал, который не только иллюстрирует метод АСД, но и демонстрирует возможность анализа без использования Excel.
• Функциональные метрики безопасности. Метрики, специфичные для конкретного объекта и основывающиеся на ранних инвестициях в безопасность. Большинство программ