Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

пойманными ранее. Используя термин из области интеллектуального анализа данных, можно назвать этот поиск скорее контролируемым, чем бесконтрольным. Компьютерные методы анализа закономерностей очень хороши для выявления необычных моделей поведения, но все еще довольно плохо различают, какие из них важны. Благодаря тесному сотрудничеству со следователями были сделаны полезные выводы о ряде наиболее часто встречающихся «необычных моделей», которые не представляли особого интереса при дальнейшем рассмотрении. Модифицировав систему таким образом, чтобы она больше не учитывала подобные закономерности, удалось добиться выдачи гораздо более конструктивного набора случаев, требующих проведения дальнейшей проверки уже людьми.

Субъектами проверок являются сотрудники, имеющие допуск к работе с секретной информацией и, как следствие, отказавшиеся от многих прав на неприкосновенность частной жизни, что есть у обычных граждан. Тем не менее агентство стремится избежать чрезмерного вмешательства и ускорить восстановление в правах, которое обычно является результатом расследования очевидных аномалий. Основная цель – профилактика, а не наказание.

Применяется множество методов распознавания образов, ассоциаций, а также соответствия эмпирическим правилам. Наиболее продуктивным считается объединение нескольких подходов и тем, включая обратную связь, полученную в ходе последующих расследований специалистами-людьми. В этом случае предполагается выделение совокупностей фрагментов информации, которые сами по себе, скорее всего, безобидны, но могут представлять интерес в сочетании, например: необычное поведение по отношению к коллегам, плюс финансовые проблемы, плюс внезапное увеличение числа зарубежных поездок. С помощью подобных методов можно провести большую работу по кодированию и анализу поведенческих признаков вплоть до уровня биологических маркеров, которые могут стать частью анализа наряду с более традиционными маркерами.

Данное агентство построило наблюдательную станцию, чтобы обеспечить возможность наблюдения и сопоставления многочисленных потоков информации в одном месте и в одно время. Скажем, перемещения и доступ лиц, представляющих явный интерес (в текущих условиях), могут привлечь внимание наблюдателя-человека и подвергнуться более тщательному изучению. Другие агентства проявляют большой интерес к наблюдательной станции и, скорее всего, обзаведутся такой же или станут пользоваться имеющейся вместе.

Новая работа того же агентства касается отображения с помощью виртуальной реальности больших данных, представляющих интересующие модели поведения. Система создает пространство, в котором человек-аналитик может вести расследование. Она опирается на способность людей замечать необычные закономерности, которой машины пока еще не владеют на должном уровне.

Аресты крупных нарушителей безопасности в реальности случаются редко и никогда не обсуждаются открыто до окончания следствия, а иногда и долгое время после его окончания, чтобы не помешать работе обвинения, но и тогда опускаются многие детали выявления нарушителя и проведения расследования. Случаи предотвращения нарушений более желательны и происходят чаще, но их еще реже обсуждают открыто. Раскрытие источников и методов, с помощью которых ведется разработка и использование информации, связанной с безопасностью, считается одним из наиболее серьезных и губительных нарушений безопасности. В любом случае можно говорить о том, что данное агентство получило большую выгоду от применения указанных методов, о чем свидетельствуют два наиболее надежных показателя полезности в контексте любой организации: они продолжают закупать подобные решения, а их сотрудники, в том числе ранее настроенные скептически, стремятся узнать больше о том, как их использовать.

Как можно применить моделирование катастроф к киберриску

Скотт Странски, помощник вице-президента и главный научный сотрудник компании AIR Worldwide

Томас Гирнюс, доктор философии, руководитель и главный научный сотрудник компании AIR Worldwide

Некоторые удивляются, как компания, специализирующаяся на построении моделей для оценки убытков от ураганов и других стихийных бедствий, может применять свои методы для построения аналогичных моделей оценки потерь от кибератак.

Ураган «Эндрю» дал толчок развитию индустрии моделирования катастроф. И хотя модели катастроф существовали и до 1992 года, лица, принимающие решения, или к ним не прибегали, или не использовали весь их потенциал. Когда на южную Флориду обрушился ураган, компания AIR опубликовала смоделированную оценку убытков, которая составила около 13 млрд долл., чем вызвала насмешки страховщиков. Им цифра показалась сильно завышенной. Когда после урагана «Эндрю» стали поступать требования по страховкам, 11 страховых компаний вышли из бизнеса, а остальные участники отрасли начали осознавать ценность моделирования. «Киберураган Эндрю» еще не нанес удар по сфере страхования от киберугроз, но, когда это произойдет, компании, использующие модели, окажутся в гораздо более выгодном положении, чем те, кто опирается на так называемые страховые суждения.

Компания AIR применяет все ту же стохастическую структуру моделирования (рис. Б.11), которой успешно пользовалась при создании моделей катастроф в течение почти 30 лет. Ее проще всего описать на аналогии с моделированием ураганов. Ураганы можно наблюдать, и они хорошо изучены. Мы начинаем с данных о прошедших ураганах, имеющихся в открытом доступе в Национальном центре США по слежению за ураганами и других источниках, а также определяем распределения для различных параметров, таких как ежегодное прогнозируемое число штормов, места вдоль береговой линии, где они произойдут, степень их интенсивности и т. д. Затем с использованием всех этих распределений проводится симуляция по методу Монте-Карло и составляется стохастический «каталог» событий. Каталог содержит 100 000 смоделированных сезонов ураганов, это не предсказания будущего на 100 000 лет вперед, а лишь рассмотрение правдоподобных версий сезона ураганов на следующий год. Что касается киберсферы, то благодаря другим специалистам, работающим в нашей области, у нас есть данные, которые позволяют составлять распределения для количества атак в год, отраслей, на которые они направлены, определять, затрагиваются ли крупные или небольшие компании, а в случае утечки данных – сколько записей украдено. Такие сведения дополняют информацию о подверженном воздействию типе данных, о категориях субъектов, осуществляющих атаки, и о любых последствиях атаки, например были ли данные украдены, остановится ли работа компании, подадут ли на нее в суд. Все эти данные используются для моделирования киберсобытий методом Монте-Карло и создания каталога событий.

Рис. Б.11. Структура моделирования катастроф компании AIR Worldwide

Следующий этап модели – компонент уязвимости. Здесь для определения ущерба используется каталог вместе с информацией о самом риске. Для определения угроз от ветра можно использовать данные вычислительной гидрогазодинамики, тестов в аэродинамических трубах, обследований после