Методы оценки рисков в кибербезопасности, введение
Как оценить риски в кибербезопасности.

Методы оценки рисков в кибербезопасности, введение

Руководители нуждаются в измерении рисков и выражении в денежном эквиваленте снижения рисков.

Поэтому рассмотрим методы:

  • измерения самих методов оценки риска;
  • измерения степени снижения риска с помощью конкретного метода защиты, контроля, смягчения последствий или стратегии (использование новых количественных методов, как говорилось в предыдущем пункте);
  • постоянного и измеримого повышения качества применяемых подходов за счет использования продвинутых методов.

Причины резкого увеличения числа взломов и почему ожидается дальнейший рост.

Дело в поверхности атаки (attack surface). Под поверхностью атаки понимают совокупность уязвимостей информационной системы. Поверхность атаки раскрывает информацию ненадежным источникам. У дома, банковского счета, семьи, личности имеется поверхность атаки.  Мы пользуемся цифровыми сервисами, а они, в свою очередь, помещают цифровые сведения о нас в зону досягаемости преступников. Перемены произошли быстро и без ведома заинтересованных сторон (организаций, сотрудников, клиентов, граждан).

Отдельно выделим поверхность атаки предприятия, которая включает не только системы и сети в организации, но и воздействие третьих лиц. Речь идет в целом об экосистеме предприятия, в том числе – клиентах, поставщиках и, возможно, государственных учреждениях.

Поверхность атаки, охватывающая граждан, потребителей и государство – глобальная поверхностью атаки: набор рисков кибербезопасности в системах, сетях и организациях. И с этим набором рисков люди сталкиваются постоянно:

  • при оплате покупок банковской картой;
  • просмотре сайтов в интернете;
  • получении медицинских услуг;
  • выполняя обязанности на работе.

Эта глобальная поверхность атаки – макроуровневое явление, возникновение которого обусловлено по меньшей мере четырьмя макроуровневыми причинами:

  • увеличением числа пользователей по всему миру;
  • разнообразием пользователей в мире;
  • ростом числа обнаруженных и эксплуатируемых уязвимостей из расчета на каждый визит в сеть каждого пользователя;
  • тесным сетевым взаимодействием между организациями, что приводит к риску «каскадного отказа».

Из этого следует – поверхность атаки и взломы коррелируют. Если это так, рост атак еще впереди, идет движение к глобальному росту поверхности атаки и, следовательно, взломам, которые переплюнут случавшееся до сих пор.

Как ответ на эту тенденцию должность CISO в компании – уже не редкость. А бюджеты, выделяемые на кибербезопасность, растут в два раза быстрее, чем бюджеты сферы информационных технологий в целом.

И как же организации используют новую руководящую должность и приток денег на кибербезопасность… ищут уязвимости, выявляют атаки и устраняют нарушения.

В отношении уязвимостей это привело к появлению “управления уязвимостями”, а в плане атак – к “управлению событиями”, связанными с безопасностью, которое еще обобщенно называют “управлением безопасностью”. Недавно добавилась «разведка угроз» и, соответственно, новое словосочетание «управление угрозами». Все они относятся к сфере тактических действий в области безопасности, в то время как руководству необходимо получить дорожную карту как принимать решения по кибербезопасности, связанные с распределением ограниченных ресурсов для борьбы с такими неопределенными и растущими рисками. О профессиональном чутье здесь не будем писать.

Сегодня используют подход, в котором степень вероятности (строки, таблица 1) и уровень воздействия (столбцы, таблица 1) оценивают субъективно по шакале от 1 до 5. Идея в том, что чем больше число, тем важнее событие и тем раньше обратить на него внимание.  Различные варианты подсчета этого метода и карт риска одобрены и продвигаются в стандартах и руководящих документах несколькими крупными организациями, среди которых Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST), Международная организация по стандартизации (International Standards Organization, ISO), MITRE.org и сообщество «Открытый проект по обеспечению безопасности веб-приложений» (Open Web Application Security Project, OWASP).

НичтожноеНезначительноеУмеренноеКритическоеКатастрофическое
12345
Часто5СреднийСреднийВысокийВысокий Высокий
Как правило4СреднийСреднийСреднийВысокий Высокий
Время от времени3НизкийСреднийСреднийСреднийВысокий
Редко2НизкийНизкийСреднийСреднийСредний
Практически никогда1НизкийНизкийНизкийСреднийСредний

Таблица 1. Матрица риска (карта риска)

Возможно, интуитивно такой подход кажется разумным, однако рост атак в области кибербезопасности сам по себе уже намекает на то, что, возможно, настало время попробовать иной подход.

Тщательное изучение исследований, посвященных интуитивным методам, так и методам принятия решений, указывает на следующее:

  • Нет доказательств, что типы балльных оценок и методы построения матриц рисков, используемые в кибербезопасности, повышают эффективность суждений.
  • Напротив, имеются доказательства, что эти методы вносят искажения и ошибки в процесс оценивания. Тони Кокс – даже утверждает, что эти методы «хуже, чем действия наугад» (исследование Кокса и будут подробно описаны в следующих статьях).
  • Мнимая «работа» методов, вероятно – разновидность эффекта плацебо. То есть метод заставляет почувствовать себя лучше, даже если применение не приводит к ощутимому улучшению в оценке рисков (или вовсе увеличивает число ошибок).
  • В опубликованных исследованиях огромное количество доказательств эффективности количественных, вероятностных методов.
  • К счастью, большинство экспертов по кибербезопасности, похоже, готовы и способны использовать количественные решения. Однако распространенные заблуждения (в том числе неправильные представления о базовой статистике), которых придерживаются часть людей, создают ряд препятствий для внедрения количественных методов.

Новый количественный подход строится на следующих принципах:

  • Многие аспекты существующих методов были оценены и признаны непродуктивными. Подобное неприемлемо в масштабах проблем, с которыми сталкивается сфера кибербезопасности.
  • В кибербезопасности можно применять тот же количественный язык анализа рисков, что и в других сферах. Существует множество областей, в которых риск огромен, данные минимальны, а участники хаотичны, и для этих областей регулярно строятся модели с помощью традиционных математических методов. Не нужно заново изобретать терминологию или методы, когда они уже есть в других сферах, где также сталкиваются со сложными проблемами анализа рисков.
  • Существуют методы, которые уже показали себя результативнее по сравнению с профессиональным чутьем. И это верно даже для используемых методов, основывающихся только на субъективных суждениях экспертов по кибербезопасности.
  • Усовершенствованные методы применимы. Об этом известно, поскольку их уже применяли. Каждый из описанных методов применялся в реальных условиях в корпоративной среде. Этими методами пользуются руководители по информационной безопасности (CISO) из самых различных отраслей.
  • Описываемые модели можно усовершенствовать с помощью эмпирических данных. Данные доступны как из уже имеющихся, так и новых, только появляющихся источников. Но даже при ограниченных данных математические методы полезнее субъективных суждений. Кроме того, сами методы анализа рисков также измеримы для дальнейшего совершенствования.

Продолжение следует…

Цикл статей создан на основан на исследованиях Ричарда Сирсена и Дугласа У. Хаббарда
“Как оценить риски в кибербезопасности. Лучшие инструменты и практики”