Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

В разбираемом нами случае требуется узнать вероятность крупной утечки данных при наличии некоторой дополнительной информации, например обнаружения конкретной удаленно эксплуатируемой уязвимости. Можно записать это как:

Иными словами, формула Байеса позволяет определить P(КУД | УЭУ) из P(УЭУ | КУД) или наоборот. Это означает, что можно определить вероятность доказательств, учитывая событие, и, наоборот, вероятность наступления события, учитывая доказательства. Чтобы понять, чем они отличаются друг от друга, рассмотрим следующие примеры.

• «Какова вероятность, что у нас была утечка данных, в свете того что за последние шесть месяцев обнаружено несколько вредоносных программ, связанных с находящимися в черном списке серверами управления и контроля (C&C)?»

Записывается как: P(Утечка | Вредоносное ПО с сервера из черного списка).

• Не менее важен вопрос: «Какова вероятность наличия вредоносного ПО, отсылающего информацию на занесенные в черный список серверы, которые принадлежат организованной преступной группировке, учитывая, что, судя по появлению на черном рынке миллионов корпоративных электронных писем, идентификаторов пользователей, номеров социального страхования и других защищенных данных, у нас была утечка?»

Записывается как: P(Вредоносное ПО с сервера из черного списка | Утечка).

Заметили, чем они отличаются? Первый пример сводится к вопросу: «Какова вероятность события (утечки) с учетом имеющихся доказательств?» А во втором спрашивается: «Какова вероятность доказательства с учетом того факта, что событие произошло?» Если вам интересно изучить тему подробнее, то отметим, что путаница между смыслами подобных вопросов приводит к так называемой ошибке прокурора.

В этом «переворачивании» и кроется суть формулы Байеса, и поэтому оно служит важнейшим основанием для рассуждений в условиях неопределенности. Байесовская вероятность превращается в мерило «согласованности» при измерении ваших оценок относительно каких-либо неопределенных событий по мере получения все большего количества данных. В частности, она обосновывает процесс обновления суждений.

Для всех описанных операций нужен источник входных данных. В нашем примере для этого используются калиброванные оценки руководителя отдела информационной безопасности. Поскольку он опирается на свой предыдущий опыт и откалиброванные навыки оценки вероятности для получения исходных данных, мы называем их информативным априорным распределением. Опять же, «априорное» означает «то, в чем вы уже убеждены». Информативное априорное распределение – красивый способ сказать, что ваши данные получены от эксперта в своей области, который что-то знает, хорошо откалиброван и готов утверждать, что одни события более вероятны, чем другие.

Также можно начать с неинформативного априорного распределения. В этом случае исходное состояние предполагает максимально возможный уровень неопределенности, и любое его изменение будет зависеть только от новых данных. Такая точка отсчета считается более осторожной, поскольку на нее не могут повлиять ошибочные оценки эксперта. С другой стороны, она не учитывает и совершенно обоснованные оценки.

Можно утверждать, что неинформативное априорное распределение дискретного бинарного события составляет 50 %. Хотя по этому поводу и ведутся философские споры, в которые мы не станем углубляться, но с математической точки зрения это самая большая неопределенность, которая может возникнуть в системе, имеющей только два возможных состояния.

Конечно, выбор источника информации в каждом случае субъективен. Неинформативное априорное распределение считается более осторожным, но оно же, вероятно, и менее реалистичное, чем информативное (так как обычно у вас нет полного отсутствия предварительной информации). Каким бы ни было соотношение субъективного и объективного, теория вероятности может помочь сделать рассуждения более последовательными.

Если вы усвоили изложенное и все стало интуитивно понятно, то есть еще несколько концепций, которые можно взять на вооружение, разобравшись, откуда берется формула Байеса. Для этого расширим цепное правило (пункт 5 в базовом словаре).

Рассмотрим все возможные комбинации удаленно эксплуатируемой уязвимости и крупной утечки данных: оба события истинны (УЭУ, КУД), оба события ложны (~УЭУ, ~КУД), истинно только одно событие (~УЭУ, КУД и УЭУ, ~КУД). Воспринимайте их как ветви «дерева цепных правил», пример которого представлен на рис. 8.1.

Рис. 8.1. Дерево цепных правил