Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

В предыдущей главе показано, что эффективность субъективной вероятности можно объективно измерить, а ее всесторонние измерения описаны в научной литературе. Субъективные априорные вероятности – отправная точка всего нашего анализа. Это оптимальный способ получить математически значимые результаты, которые будут полезны при моделировании, используя лишь специальные знания и опыт эксперта по кибербезопасности. Выражение текущей неопределенности в количественном виде позволяет обновлять вероятности согласно новым наблюдениям с помощью ряда эффективных математических методов.

Инструменты, представленные в данной главе, являются частью байесовских методов в теории вероятности и статистике. Названы методы в честь автора их основополагающей идеи, математика и священника Томаса Байеса. У них множество преимуществ, которые особенно хорошо подходят для решения проблем в сфере кибербезопасности. Во-первых, используются имеющиеся знания экспертов. Это отличает подход Байеса от традиционных методов, вероятно, знакомых читателям по университетскому курсу статистики, в которых предполагается, что до получения данных выборки о показателе буквально ничего не известно. Во-вторых, благодаря применению таких исходных знаний можно делать выводы на основе очень небольшого количества информации. Возможно, эти выводы лишь немного уменьшат неопределенность для эксперта по кибербезопасности, но они все равно могут оказать значительное влияние на принятие решений по снижению риска. Если же у вас действительно много данных, то различия между байесовским подходом и измерениями на основе базовых методов выборки, игнорирующими априорные знания, нивелируются.

В этой главе будут представлены некоторые основные байесовские рассуждения и показано, как их можно применить к одной из проблем в области кибербезопасности. Пока мы для ознакомления сосредоточимся на фундаментальных принципах. Кому-то рассматриваемая информация покажется общеизвестной. Мы исходим из того, что читатели знакомы с основами алгебры, и не более. Но при этом есть множество деталей, требующих разъяснения, так что, если информация покажется вам элементарной, смело ее пропускайте. Если же она, наоборот, выглядит слишком сложной, имейте в виду, что вам, как всегда, доступны готовые расчеты в загружаемой электронной таблице (www.howtomeasureanything.com/cybersecurity). Если вы осилите эту главу, наградой станет доступ к некоторым очень мощным инструментам в следующей.

Мы будем рассматривать материал в контексте, начав с проблемы, волнующей всех в сфере кибербезопасности, – крупной утечки данных.

Представим один гипотетический и чересчур упрощенный сценарий. Как руководитель отдела информационной безопасности компании ABC, вы оказались ответственны за сохранение большого количества программных продуктов, размещенных в облаке. Все они обрабатывают критически важные данные, которые должны быть надежно защищены. Соответствующие базы данных включают финансовые и даже конфиденциальные данные. Допустим, компания достаточно крупная, и каждое облачное приложение ежедневно обрабатывает миллионы записей критически важных данных. Также 500 разработчиков, находящихся в разных точках земного шара, регулярно обновляют код. Вдобавок ваша компания внедрила подход DevOps, позволяющий ежедневно устанавливать разнообразные обновления ПО. И наконец, вы вложили деньги в средства защиты и службу безопасности.

Иначе говоря, ваши системы связаны со множеством рисков, из-за ведущихся разработок к ним ежедневно добавляется много новых, но в то же время вы хорошо вооружены и считаете, что готовы к бою. Неожиданно вас вызвали в офис генерального директора на разговор.

Генеральный директор: Мне только что стало известно, что финансовую компанию XYZ взломали прямо через их сайт, там огромные потери данных и масса обязательств по возмещению ущерба! Каковы шансы, что какой-либо из наших сайтов смогут взломать и выкрасть данные клиентов?

Руководитель отдела информационной безопасности, достав свое мобильное устройство и открыв электронную таблицу с «наивным» байесовским калькулятором, скачанную с сайта www.howtomeasureanything.com/cybersecurity: Одна целая двадцать четыре сотых процента в течение следующего года, но я оставляю за собой право скорректировать оценку после завершения комплексного независимого теста на проникновение.

Генеральный директор: Число невероятно точное.

Руководитель отдела информационной безопасности: На самом деле это вероятность. Она отражает мою неуверенность относительно ожидаемого «точного» результата. В данном случае вероятность была выведена из других подготовленных мной субъективных оценок вероятности. Сотрудники моего отдела, включая меня, прошли калибровку, поэтому мы знаем, насколько хорошо умеем оценивать субъективные вероятности.