Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Среднее общее время обнаружения вируса ботнета можно рассчитать как средневзвешенное: 60 % × 20 дней + 40 % × 60 дней = 36 дней. Таким образом, в среднем мы уязвимы для одного вируса в течение 36 дней. Дисциплина «управление вероятностями»⁷ дает более полное представление, четко отображая все распределение как набор прошлых или смоделированных соединений, называемых стохастическими информационными пакетами (СИП)[11]. На рис. Б.6 показаны СИПы (в данном примере – 10 000 смоделированных результатов) для обоих распределений с рис. Б.5. Выполнить вычисления с СИП (модель SIPmath) можно во многих программных средах, в том числе в обычной электронной таблице.

Рис. Б.6. СИПы 10 000 тестов для определения времени обнаружения вируса на уровнях 1 и 2

С недавних пор редактор Microsoft Excel тоже стал достаточно мощным и способен обрабатывать СИПы тысяч испытаний с помощью инструмента «Таблица данных»⁸. На рис. Б.7 приведена модель SIPmath. Она объединяет два распределения с рис. Б.5, создавая распределение, которое показывает общее время до обнаружения на обоих уровнях безопасности.

Рис. Б.7. Модель SIPmath в Excel для расчета распределения общего времени до обнаружения

В данной модели в качестве входных данных берутся два СИПа с рис. Б.6, а затем выполняется 10 000 вычислений ячейки C6, которая случайным образом в 60 % случаев выбирает данные распределения для первого уровня, а в 40 % случаев – данные распределения для второго уровня. В результате распределение наглядно демонстрирует оба режима обнаружения. Для выполнения нового моделирования 10 000 испытаний достаточно нажать кнопку «рассчитать» (F9 в Windows, * = в Mac). Здесь стоит обратить внимание на два момента. Во-первых, смоделированное среднее значение очень близко к теоретическому, однако 36 при этом является маловероятным исходом распределения. А во-вторых, раз распределение асимметрично, значит, шанс, что уязвимость просуществует менее, чем в среднем 36 дней, составляет не 50, а 63 %. Можно поэкспериментировать с вероятностью обнаружения на первом уровне в ячейке D3 и количеством дней в ячейке B11, чтобы увидеть, как будут меняться распределения, среднее значение и вероятность.

Формула для расчета среднего времени обнаружения для обоих уровней технически была верна в том смысле, что дала результат 36 дней, но она не сообщала никаких полезных сведений о распределении. Это то, что я называю незначительным изъяном средних значений. Значительный изъян намного хуже, так как вы даже не получите правильное среднее значение. Модель на рис. Б.7 создала собственный СИП, который теперь можно использовать для изучения влияния нескольких одновременных ботнет-атак.

Предположим, в эксплуатацию введена новая система, которую тут же атаковали несколько вирусов с одинаковым распределением времени обнаружения. Поскольку каждый вирус обнаружат в среднем за 36 дней, можно подумать, что время существования уязвимости снова составляет в среднем 36 дней, как и для одиночного вируса. Однако это не так, ведь система остается уязвимой, до тех пор пока не будут обнаружены все ботнеты.

На рис. Б.8 показаны СИПы времени обнаружения для 10 случаев ботнет-атак, сгенерированные моделью с рис. Б.7. У всех них одинаковые параметры генерации, но мы не учитывали порядок, чтобы сделать их статистически независимыми.

Рис. Б.8. СИПы времени обнаружения для 10 случаев независимых ботнет-атак

Эти СИПы используются в модели, представленной на рис. Б.9. Она рассчитывает в ячейке C14 распределение максимального времени обнаружения всех ботнет-атак. Обратите внимание, что можно настроить количество ботнет-атак от 1 до 10 с помощью счетчика (инструмент Excel «Элементы управления формы») в столбце E. Перед тем как экспериментировать с этой моделью, стоит закрыть модель, показанную на рис. Б.7, так как она содержит формулу СЛЧИС(), которая может замедлить вычисления.

Рис. Б.9. Моделирование нескольких ботнет-атак

По модели видно, что среднее количество дней существования уязвимости увеличивается по мере роста числа одновременных атак, а шанс обнаружения ее менее чем за 36 дней уменьшается. Это пример значительного изъяна средних значений, и для 10 ботнет-атак среднее значение составляет 78 дней существования, а вероятность того, что оно окажется меньше 36 дней, составляет всего 1 %.

Такое моделирование можно легко применить и к различным вариантам вирусов, атакующих не одновременно, а в случайно выбранные моменты. Аналитические выводы о том, в течение какого отрезка времени следует ожидать, что система будет уязвима, крайне важны при принятии решений об инвестициях, связанных со стратегиями смягчения последствий.