Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Тема измерения остаточного риска в сфере кибербезопасности – очень скользкая. В любой момент времени вы подвержены опасности, а решения поставщиков услуг безопасности, по сути, всегда запаздывают. Любой профессионал в области безопасности скажет вам, что это очевидный факт. А если он так очевиден, то почему остаточный риск не измеряют, чтобы попытаться исправить ситуацию? Он легко измерим и должен быть в приоритете. Измерение степени подверженности постороннему воздействию и инвестирование в ее снижение, так чтобы добиться наилучшей окупаемости инвестиций, – ключевая практика в управлении рисками кибербезопасности, осуществлению которой способствуют витрины данных безопасности, в сочетании со всем тем, что вы узнали из предыдущих глав. В главе 11 будет рассмотрен КПЭ под названием «анализ выживаемости», учитывающий необходимость измерения срока существования остаточного риска. И откроем маленький секрет: если не измерять остаточную степень незащищенности, то, скорее всего, ситуация будет только ухудшаться. Если собираетесь бороться за правое дело, нужно уметь задавать вопросы, затрагивающие разные области безопасности. Поймите, что под атаки злоумышленников попадают они все и, чтобы справиться с этой реальностью, аналитикам следует преодолеть функциональную обособленность.

Как отмечалось ранее, предписывающая аналитика – тема для отдельной объемной книги. Здесь мы хотим лишь слегка ее затронуть применительно к индустрии безопасности. Прежде всего давайте определим место предписывающей аналитики среди трех категорий аналитики.

• Описательная аналитика. По большей части аналитика описательна. Это просто сводные показатели, такие как суммы и средние значения в определенных вызывающих интерес группах данных, например ежемесячное усиление и ослабевание отдельных видов риска. Такова стандартная описательная аналитика. Стандартная оперативная аналитическая обработка данных (Standard Online Analytical Processing, OLAP) хорошо сочетается с описательной аналитикой. Однако, как уже говорилось, бизнес-аналитика с позиций OLAP-технологии не получила достаточного распространения в сфере безопасности. Функциональный подход и витрины данных безопасности в основном состоят из описательной аналитики, за исключением случаев, когда требуется использовать эти данные для обновления суждений в аналитических моделях на основе скудных данных.

• Прогностическая аналитика. Прогностическая аналитика подразумевает прогнозирование будущего, но, строго говоря, этого не делает. Данные за прошлые периоды используются для составления прогноза относительно возможного будущего результата. Большинство программ метрик безопасности не достигают этого уровня. Некоторые специалисты по безопасности и поставщики услуг безопасности могут возразить: «А как же машинное обучение? Мы этим занимаемся!» Здесь стоит сделать небольшое отступление на тему сравнения машинного обучения, также известного как наука о данных, с наукой о принятии решений.

Применение методов машинного обучения стоит несколько в стороне от анализа решений. Действительно, поиск закономерностей с помощью машинного обучения становится все более значимой практикой борьбы со злоумышленниками. Как уже говорилось, поставщики услуг безопасности не справляются с ранним обнаружением новых угроз, а вот машинное обучение кажется здесь очень многообещающим. Однако вероятностные сигналы, применяемые к данным в реальном времени, потенциально могут стать дополнительным шумом, мешающим расстановке приоритетов. «Расставить приоритеты» – значит определить следующее действие в разгар боя. Вот что на самом деле означает «управление» (M, management) в SIEM – расстановку приоритетов в дальнейших действиях. И в этом плане анализ решений также мог бы здесь отлично сработать (к сожалению, рынок SIEM не признает анализа решений, придерживаясь вместо этого сомнительных порядковых подходов при определении приоритетности действий по реагированию на инциденты).

• Предписывающая аналитика. Если коротко, предписывающая аналитика задействует множество моделей как из анализа решений, так и из области науки о данных и предоставляет наиболее рациональные рекомендации для принятия решений. В контексте больших данных и потоковой аналитики такие решения могут приниматься в режиме реального времени, а иногда и без усилий с вашей стороны, что сближает предписывающую аналитику с искусственным интеллектом.