Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Степенное распределение удобно использовать для описания явлений с экстремальными, катастрофическими возможными значениями. Даже удобнее, чем логнормальное. Скажем, в подавляющем большинстве случаев площадь лесных пожаров ограничена менее чем одним гектаром. В редких случаях, однако, лесной пожар может распространиться на десятки гектаров. Толстый хвост степенного распределения позволяет делать выводы об обычных незначительных событиях, но при этом учитывать и возможные экстремальные варианты.

• Ситуация применения: когда нужно убедиться, что катастрофическим событиям, несмотря на то что они редко случаются, будет присвоена ненулевая вероятность.

• Примеры: такие явления, как землетрясения, отключения электроэнергии, эпидемии и другие типы каскадных отказов.

• Формула Excel: = (тета/x)^альфа.

• Среднее значение: = (альфа*тета/(альфа-1)).

Рис. A.7. Усеченное степенное распределение

Параметры:

• альфа (параметр формы);

• тета (параметр местоположения);

• T (усеченный предел).

Усеченное степенное распределение повторяет степенное распределение, но имеет верхний предел, накладываемый пользователем. Тяжелый хвост степенного распределения позволяет нам учитывать редкие катастрофические события, но для величины такого события может существовать теоретический предел. Если не учитывать в модели верхний предел, можно получить вводящий в заблуждение и неоправданно мрачный прогноз.

• Ситуация применения: степенное распределение должно быть усеченным, если известна верхняя граница серьезности события.

• Пример: потерю записей можно отразить с помощью степенного распределения, но вы знаете, что можете потерять лишь конечное количество записей.

• Формула Excel: = (альфа*тета^альфа/(x^(альфа+1)))/(1-(тета/T)^альфа).

• Среднее значение: = (альфа*тета/(альфа-1)).

Вы не одиноки! Количество людей, применяющих статистику для решения задач, связанных с обеспечением безопасности, растет. Все больше специалистов используют данные, которые можно было бы назвать скудными, и делают на их основе выводы о крупных рисках. Это не означает, что не стоит обращаться к большим данным и науке о данных, просто все более важным для обоснования стратегии и даже определения приоритетов в принятии тактических решений становится умение делать практические выводы на основе ограниченных эмпирических данных, суждений и симуляций. Поэтому мы включили в книгу несколько кратких статей по данной теме, написанных различными исследователями, как практиками, так и теоретиками. Следите также за новостями на сайте www.howtomeasureanything.com/cybersecurity, в наших планах размещение там еще большего количества подобных исследований.

Актуарная наука является источником метрик и знаний, бесценных для управления кибербезопасностью в контексте бизнеса. Значимые данные за предшествующие периоды могут быть получены из широкого круга отраслевых и правительственных источников, а объединение данных из разных источников может привести к неожиданным, действенным результатам. Актуарный подход используется для прогнозирования киберрисков в долларовом выражении и генерирования профилей, показывающих концентрацию рисков для бизнеса в различных аспектах IT-инфраструктуры предприятия.

Киберриск включает в себя три основных фактора: стоимость активов, подверженных риску (в частности, данных), ожидаемое возникновение различных типов киберинцидентов и ожидаемые финансовые последствия каждого типа инцидентов относительно конкретных активов данных. Все три показателя можно оценить, наблюдая за долгосрочными тенденциями в данных за прошлые периоды, составляя статистические прогнозы на основе тенденций, а также применяя эти прогнозы в соответствии с эмпирически полученными характеристиками и показателями риска конкретной организации. В данной статье приводятся три примера: два, относящихся к частоте нарушений, и один, касающийся финансового воздействия.

Объединение источников данных часто необходимо с целью нормализации, т. е. нахождения знаменателя для преобразования абсолютного числа в коэффициент. Однако, применив творческий подход, можно найти много полезных корреляций. Например, ниже описан неожиданный результат, проливающий свет на частоту кибератак, целью которых является шпионаж, а также некоторые эффективные способы снижения этого риска.