Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Генеральный директор: Теперь мне стало любопытно. Насколько сильно изменится ваше мнение, если тест что-то обнаружит? А если он ничего не обнаружит? Измените ли вы это вполне конкретное число?

Руководитель отдела информационной безопасности: Мы проводили другие тесты на проникновение, но теперь тестировщики ищут определенный набор уязвимостей, которыми можно воспользоваться удаленно. Если тестировщики найдут их в наших облачных продуктах и смогут украсть защищенные данные без нашего ведома, то, пожалуй, моя субъективная оценка возможных будущих убытков возрастет до двадцати четырех процентов. Если тестировщики ничего не добудут, то она снизится до одной целой одной сотой процента. Более важный вопрос – если им удастся нас взломать или почти взломать, какова вероятность, что нас уже не взломали ранее? И, возможно, еще более важный вопрос: когда следует проводить экспертизу, чтобы определить, понесли ли мы убытки? Экспертиза стоит очень дорого…

Генеральный директор: Пожалуйста, сообщите мне результаты тестов и рекомендуемые решения с учетом результатов. Давайте сделаем все быстро… это наш шанс. А пока покажите мне таблицу, у меня к ней много других вопросов!

Вопросы вроде тех, которые генеральный директор задавал о будущих убытках, – нормальны. Когда происходят крупные взломы таких компаний, как Sony, JPMorgan, Target и RSA, руководители, естественно, задаются вопросом: «А могло такое случиться с нами?» Они переживают из-за крайне неопределенных и, возможно, значительных будущих убытков. И разумно тогда переформулировать вопрос, введя количественную составляющую: «Какова вероятность, что у нас произойдет крупная утечка данных?»

Чтобы пример стал реалистичнее, представьте, что мы определили три конкретных термина (определили достаточно четко, чтоб они прошли наш тест на понятность), загрузили вышеупомянутую электронную таблицу и внесли в нее эти термины надлежащим образом.

Познакомимся с идеей изменения вероятности на основе условия. То есть у вас есть вероятность того, что событие произойдет, вы узнаёте что-то новое и обновляете эту вероятность. На самом деле это такой способ еще немного разложить вероятность, указав, что само условие может быть неопределенным состоянием, которое также обусловлено чем-то еще.

В нашем простом примере анализ будет сведен к трем дискретным бинарным состояниям, каждое из которых является либо истинным, либо ложным. Три определяемых нами термина следующие:

• возникновение в данном году крупной утечки данных (КУД);

• существование пока неизвестной, но возможной удаленно эксплуатируемой уязвимости (УЭУ);

• результат теста на проникновение, который указывает на наличие некой удаленно эксплуатируемой уязвимости, т. е. положительный тест на проникновение (ПТП).

Предположим, что КУД, УЭУ и ПТП были определены для нас в однозначной форме, они понятны, наблюдаемы и полезны для принятия практических решений. В этом примере генеральный директор и другие заинтересованные стороны (лица, принимающие решения) хотят оценить риск возникновения КУД, подобной тем, о которых они читают в новостях. Они согласились, что для признания утечки данных крупной необходимо, чтобы количество похищенных записей составляло не менее 1 млн. Кроме того, они согласовали конкретное определение значения УЭУ, определив типы слабых мест в своих веб-приложениях, облачной инфраструктуре и/или действий с системой безопасности, которые позволят внешнему злоумышленнику украсть данные удаленно. Наконец, тест на проникновение – это определенная кампания с потенциальными результатами, и значение этих результатов четко определено.

Когда наши заинтересованные стороны точно знают, что означают эти термины, как их увидеть и какие последствия они будут иметь для работы компании, тогда проблема разложена так, что с ней удобно работать. Попытавшись разложить этот риск на «злоумышленника уровня спецслужбы крупной страны и владеющего „уязвимостью нулевого дня“», мы бы совершили ошибку бесполезных разложений, и в этом случае наши действия и способы получения достоверной информации оказались бы неприменимы.

Байесовский пример, который мы собираемся описать, включает в себя две стадии анализа. Наличие удаленно эксплуатируемой уязвимости изменяет вероятность крупной утечки данных. А результат теста на проникновение изменяет вероятность удаленной эксплуатации уязвимости. Таким образом проводится простое разложение на составляющие вероятности крупной утечки данных. Но в целом этот пример придуман для того, чтобы максимально упростить байесовское решение.