Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

принятии тактических решений становится умение делать практические выводы на основе ограниченных эмпирических данных, суждений и симуляций. Поэтому мы включили в книгу несколько кратких статей по данной теме, написанных различными исследователями, как практиками, так и теоретиками. Следите также за новостями на сайте www.howtomeasureanything.com/cybersecurity, в наших планах размещение там еще большего количества подобных исследований.

Объединение источников данных для получения информации в киберсфере

Джим Липкис

Вице-президент и генеральный директор компании VivoSecurity Inc.

Чак Чан

Главный исследователь компании VivoSecurity Inc.

Томас Ли

Доктор философии, основатель и генеральный директор компании VivoSecurity Inc.

Актуарная наука является источником метрик и знаний, бесценных для управления кибербезопасностью в контексте бизнеса. Значимые данные за предшествующие периоды могут быть получены из широкого круга отраслевых и правительственных источников, а объединение данных из разных источников может привести к неожиданным, действенным результатам. Актуарный подход используется для прогнозирования киберрисков в долларовом выражении и генерирования профилей, показывающих концентрацию рисков для бизнеса в различных аспектах IT-инфраструктуры предприятия.

Киберриск включает в себя три основных фактора: стоимость активов, подверженных риску (в частности, данных), ожидаемое возникновение различных типов киберинцидентов и ожидаемые финансовые последствия каждого типа инцидентов относительно конкретных активов данных. Все три показателя можно оценить, наблюдая за долгосрочными тенденциями в данных за прошлые периоды, составляя статистические прогнозы на основе тенденций, а также применяя эти прогнозы в соответствии с эмпирически полученными характеристиками и показателями риска конкретной организации. В данной статье приводятся три примера: два, относящихся к частоте нарушений, и один, касающийся финансового воздействия.

Объединение источников данных часто необходимо с целью нормализации, т. е. нахождения знаменателя для преобразования абсолютного числа в коэффициент. Однако, применив творческий подход, можно найти много полезных корреляций. Например, ниже описан неожиданный результат, проливающий свет на частоту кибератак, целью которых является шпионаж, а также некоторые эффективные способы снижения этого риска.

Прогнозирование и снижение частоты шпионских атак

Исследования показали, что большой процент атак извне с целью шпионажа происходит через фишинг1 и установку вредоносного ПО на компьютер подвергнувшегося фишингу пользователя. Одним из методов противодействия таким атакам является повышение осведомленности пользователей с помощью обучающих антифишинговых программ, использующих поддельные фишинговые рассылки2. Однако программа может оказаться дорогостоящей, а ее применение – неоднозначным с политической точки зрения. Актуарные данные позволили найти неожиданный, но даже более эффективный подход.

Важнейшие сведения в этом случае были получены из опубликованных компанией Microsoft данных3 о показателях блокировки вредоносного ПО на различных операционных системах. Вряд ли кого-то удивит, что, согласно данным, более новые версии Windows значительно лучше защищены от атак вредоносных программ, а MacOS и Linux безопаснее, чем Windows. А вот что является, пожалуй, неожиданным, так это то, в какой степени версия ОС может повлиять на частоту успешных атак.

Рис. Б.1. Вероятность возникновения случаев шпионажа при смоделированных изменениях в обучении и операционных системах

На рис. Б.1 представлен анализ высокотехнологичной компании, работающей в отрасли с сильной конкуренцией, где шпионаж является вполне реальным бизнес-риском. По нашим оценкам, вероятность (ожидаемая частота) шпионских атак составляет около 12 %, что отражает крайний левый столбец на диаграмме (другими словами, следует ожидать, что из восьми одинаковых компаний одна будет ежегодно терпеть убытки из-за успешных шпионских атак). На оценку влияют отрасль, количество сотрудников и IT-инфраструктура. Расчет основан на ряде тенденций и корреляций, наблюдавшихся в течение нескольких лет подряд в данных, полученных из отчетов Verizon DBIR4, Бюро переписи населения США и других источников.

Обучение противостоянию фишингу снижает ожидаемую частоту атак с 12 до 2 %, как видно по следующему столбцу диаграммы. Двигаясь дальше вправо, обнаруживаем еще более эффективную контрмеру: модернизация ОС всех компьютеров компании с Windows 7 на Windows 8 снижает вероятность шпионажа примерно до 1 % даже без обучения (на момент написания статьи еще не были доступны данные по Windows 10). А благодаря сочетанию модернизации ОС с проведением обучения или использованию MacOS вместо Windows вероятность становится намного ниже 1 %.

Обновление ОС также стоит денег, и, возможно, имеет смысл обновлять только компьютеры, используемые системными администраторами или другими сотрудниками с более широким доступом к конфиденциальным данным. Наглядное представление вероятности инцидента позволяет руководству принимать решения на основе данных, взвешивая затраты и риски.

Действительно ли число взломов резко увеличилось?

Существует распространенное мнение, что число взломов в сфере здравоохранения стремительно растет. Действительно, только в США утечки данных в сумме составили более 30 млн записей о пациентах с момента введения обязательной отчетности о нарушениях в 2009 году. И все же паникерские заявления о резком росте числа нарушений не подтверждаются данными. За последние пять лет количество случаев взломов было довольно стабильным, если смотреть в актуарном контексте, и их количество можно обоснованно спрогнозировать на будущее.

Наши исследования показывают сильную корреляцию между числом утечек и количеством сотрудников, работающих в организации, например в медицинском учреждении (то же самое справедливо и для других отраслей). Мы взяли сведения из базы данных министерства здравоохранения об утечках личных медицинских данных, публикующихся согласно закону о медицинских информационных технологиях для экономической деятельности и клинической практики от 2009 года (HITECH Act)[10], и рассортировали частоту взломов в каждом году по штатам. Сопоставление данных о занятости в здравоохранении по штатам на рис. Б.2 выявляет линейную зависимость.

Рис. Б.2. Среднее ежегодное количество утечек данных по штатам

Можно ли использовать наклонную линию на рис. Б.2 (среднее число утечек на каждого сотрудника) для надежного прогнозирования ожидаемой частоты инцидентов в организации в будущем?

Чтобы ответить на этот вопрос, приведем изменения с течением времени на рис. Б.3.