Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен
Шрифт:
Интервал:
Закладка:
Рис. Б.3. Число утечек данных по годам в зависимости от количества сотрудников
Финансовые последствия взломовТеперь перейдем от ожидаемой частоты к финансовым последствиям взломов. Расходы, возникающие вследствие нарушения безопасности, обусловлены стоимостью взломанных активов, которая может включать в себя несколько компонентов затрат: уведомления и устранение последствий; сетевую криминалистику, юридические обязательства, а также ущерб репутации и долгосрочные последствия для бизнеса. Исследования стоимости нарушений безопасности можно найти в различных источниках, например в материалах, публикуемых Ponemon Institute5. Однако нами было выявлено, что в актуарном прогнозировании подобные данные следует применять с осторожностью.
Оценка стоимости активов данных, подверженных риску, выходит за рамки этой статьи, но обозначить ряд проблем можно и на простом примере. Рассмотрим базу, в которой хранятся данные (скажем, клиентов, сотрудников или пациентов), содержащие конфиденциальную информацию: личную, финансовую или медицинскую. Вариант просто посчитать записи и указать стоимость нарушения в расчете на одну запись кажется заманчивым, но тогда подразумевалось бы, что стоимость одной записи постоянна, а это не так.
На рис. Б.4 представлена стоимость одной записи в зависимости от величины взлома в двойном логарифмическом масштабе. Можно заметить, что стоимость нарушения одной записи уменьшается логарифмически по мере увеличения количества записей, подвергнувшихся взлому. И это неудивительно, так как относительно некоторых элементов затрат проявляется эффект масштаба. Ключевым моментом здесь является использование данных из отчетов компаний, в частности, по форме 10-K, подготавливаемых для Комиссии по ценным бумагам и биржам США (SEC), которые часто содержат подробную информацию о краткосрочных и долгосрочных затратах на крупные нарушения безопасности6.
Рис. Б.4. Сравнение данных о взломанных записях, полученных из отчета для SEC и от Ponemon Institute
Подводя итог, можно сделать вывод, что актуарная наука является благодатной почвой для достоверного прогнозирования, которое может вывести кибербезопасность в сфере управления бизнес-рисками на уровень развитости, давно реализуемый в большинстве других областей риска.
Изъян средних значений в кибербезопасности
Сэм Сэвидж
Доктор философии, основатель сайта ProbabilityManagement.org, автор книги The Flaw of Averages: Why We Underestimate Risk in the Face of Uncertainty и профессор-консультант Стэнфордского университета © Copyright 2015, Сэм Л. Сэвидж
Изъян средних значений – это набор систематических ошибок, возникающих, когда неопределенные предположения заменяются отдельными «средними» числами. Наиболее серьезная ошибка, известная математикам как неравенство Йенсена, гласит, что «планы, основанные на средних предположениях, в среднем ошибочны». Суть кибербезопасности заключается в эффективном смягчении неопределенных неблагоприятных последствий. Я опишу два варианта изъяна средних значений в работе с неопределенностью гипотетической угрозы ботнета, а также покажу, как зарождающаяся дисциплина управления вероятностями может однозначно сообщать и рассчитывать такие неопределенности.
БотнетыБотнет – кибератака, осуществляемая вредоносным ПО, которое проникает во множество компьютеров, после чего командный сервер может управлять ими для создания сети, осуществляющей незаконную деятельность. Рано или поздно этот сервер будет идентифицирован как угроза, и дальнейшее взаимодействие с ним будет заблокировано. Как только опасный сайт будет обнаружен, по истории коммуникаций зараженных компьютеров можно будет точно определить, когда состоялся первый контакт с сервером злоумышленников, и получить ценные статистические данные.
Предположим, были вложены средства в два уровня сетевой защиты. Существует вероятность 60 %, что вирус ботнета обнаружит первый уровень и период до момента обнаружения составит в среднем 20 дней с распределением, показанным слева на рис. Б.5. Обратите внимание, что среднее значение можно представить как точку равновесия графика, обозначенную треугольником. В остальных 40 % случаев вирус обнаруживается только вторым уровнем системы безопасности, при этом среднее время обнаружения составляет 60 дней с распределением, показанным справа на рис. Б.5.
Рис. Б.5. Распределение времени обнаружения для каждого из двух уровней системы безопасности
Окно уязвимости для одного вируса ботнетаСреднее общее время обнаружения вируса ботнета можно рассчитать как средневзвешенное: 60 % × 20 дней + 40 % × 60 дней = 36 дней. Таким образом, в среднем мы уязвимы для одного вируса в течение 36 дней. Дисциплина «управление вероятностями»7 дает более полное представление, четко отображая все распределение как набор прошлых или смоделированных соединений, называемых стохастическими информационными пакетами (СИП)[11]. На рис. Б.6 показаны СИПы (в данном примере – 10 000 смоделированных результатов) для обоих распределений с рис. Б.5. Выполнить вычисления с СИП (модель SIPmath) можно во многих программных средах, в том числе в обычной электронной таблице.
Рис. Б.6. СИПы 10 000 тестов для определения времени обнаружения вируса на уровнях 1 и 2
С недавних пор редактор Microsoft Excel тоже стал достаточно мощным и способен обрабатывать СИПы тысяч испытаний с помощью инструмента «Таблица данных»8. На рис. Б.7 приведена модель SIPmath. Она объединяет два распределения с рис. Б.5, создавая распределение, которое показывает общее время до обнаружения на обоих уровнях безопасности.
Рис. Б.7. Модель SIPmath в Excel для расчета распределения общего времени до обнаружения
В данной модели в качестве входных данных берутся два СИПа с рис.
