Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

В идеале нам бы не помешали данные по множеству различных сбоев. Для измерений чем больше точек данных, тем лучше, но специалисты по кибербезопасности стремятся снижать количество случаев взломов, отказов в обслуживании и других подобных событий. Как всегда, при нехватке данных можно обратиться к экспертам, которые дадут оценку события с учетом каждого из условных состояний. Например, можно запросить оценку вероятности, при условии что применяются стандартные меры обеспечения безопасности, система содержит личную медицинскую информацию, в ней не используется многофакторная аутентификация, а данные хранятся в датацентре, принадлежащем компании. После чего эксперты выполнят оценку для следующей комбинации условий и т. д. Очевидно, что из-за количества возможных комбинаций условий даже в скромной по размерам таблице оценка каждой вероятности в типичной вероятностной таблице узлов становится для экспертов нецелесообразной.

К счастью, существует два отличных способа, с помощью которых эксперты могут заполнить вероятностную таблицу узлов (какого угодно размера), оценив лишь ограниченный набор комбинаций условий: метод логарифма отношения шансов и метод линзы.

Метод логарифма отношения шансов (ЛОШ) позволяет эксперту оценить влияние каждого условия в отдельности, а затем сложить их, чтобы получить вероятность на основе всех условий. Это разновидность так называемой логистической регрессии в статистике, которую мы будем применять в довольно простой форме.

ЛОШ вероятности P(x) представляет собой выражение log(P(x)/(1 – P(x) (при этом часто под логарифмом подразумевается натуральный логарифм ln, но метод работает и с другими логарифмами). В результате получается отрицательное значение при P(x) < 0,5, положительное значение при P(x) > 0,5 и ноль, когда P(x) = 0,5. Вычисление ЛОШ полезно, так как он позволяет «суммировать» эффекты различных независимых условий для определения вероятности. Ниже подробно расписана данная процедура, а чтобы лучше разобраться в деталях, можно, как всегда, найти электронную таблицу со всеми расчетами на сайте www.howtomeasureanything.com/cybersecurity.

1. Выберите экспертов и откалибруйте их.

2. Определите базовую вероятность того, что конкретный актив может пострадать от заданного события в указанный период времени. При этом исходите из предположения, что единственная имеющаяся информация об активе (или приложении, или системе, или угрозе, и т. д. в зависимости от структуры разложения) – его принадлежность вашей организации. Это и будет P(Событие).

Пример: P(Событие) в год при отсутствии другой информации об активе равна 0,02.

3. Оцените условную вероятность того, что с активом произойдет указанное событие при конкретном значении некоторого условия. Можно записать это: P(E | X); т. е. вероятность события E с учетом условия X.

Пример: P(Событие | Конфиденциальные данные) = 0,04.

4. Оцените условную вероятность того, что с активом произойдет указанное событие при другом значении данного условия. Повторите этот шаг для всех возможных значений условия.

Пример: P(Событие | Отсутствие конфиденциальных данных) = 0,01.

5. Преобразуйте базовую вероятность и каждую из условных вероятностей в ЛОШ. Запишем это как L(Вероятность).

Пример: ЛОШ(P(Событие)) = ln(P(Событие)) / (1 – P(Событие)) = ln(0,02 / 0,98) = –3,89182; ЛОШ(P(Событие | Конфиденциальные данные)) = ln(0,04 / 0,96) = 3,17805

и т. д. для каждого условия.

6. Вычислите «дельту ЛОШ» для каждого условия, т. е. разницу между ЛОШ с заданным условием и базовым ЛОШ.

Пример: дельта ЛОШ(Конфиденциальные данные) = L(P(Событие | Конфиденциальные данные)) – ЛОШ(P(Событие)) = —(–3,18) – (–3,89) = +0,71.

7. Повторите шаги с 3 по 6 для каждого условия.

8. Когда дельта ЛОШ будет вычислена для всех возможных значений всех условий, создайте электронную таблицу, которая будет искать нужную дельту ЛОШ для каждого условия для каждого значения для этого условия. При заданном наборе значений условий все дельта ЛОШ для каждого условия добавляются к базовому ЛОШ для получения скорректированного ЛОШ.

Пример: Скорректированный ЛОШ = –3,89 + 0,71 + 0,19 – 0,45 + 1,02 = –2,42.

9. Преобразуйте скорректированный показатель ЛОШ обратно в вероятность, чтобы получить скорректированный показатель вероятности.

Пример: Скорректированная вероятность = 1 / (1 + 1 / exp(–2,42)) = 0,08167.

10. Если вследствие какого-либо из условий наступление события становится бесспорным или невозможным (т. е. P(Событие | Условие) = 0 или 1), то опустите вычисление ЛОШ для такого условия и дельты ЛОШ (расчет в любом случае выдаст ошибку). Вместо этого просто рассуждайте логически, чтобы обойти эти условия.

Пример: Если условие применимо, то скорректированная вероятность = 0.

Если условие не выполняется, то вычислите скорректированную вероятность, как показано в предыдущих шагах.