Буквально сотням производителей систем безопасности и даже органам по стандартизации пришлось принять ту или иную форму системы оценки. Фактически концепции балльных оценок и матрицы рисков лежат в основе подходов к управлению рисками в индустрии безопасности.
Во всех случаях подходы строятся на идее, что такие методы приносят значительную пользу, то есть предполагается, что с ними лучше, чем без них. По мнению представителей одной из организаций по стандартизации, подобное ранжирование рисков вполне приемлемо:
Как только тестировщик определяет потенциальный риск и хочет выяснить, насколько тот серьезен, первым шагом становится оценка вероятности. В общем смысле – это приблизительная мера того, насколько велика вероятность, что злоумышленник найдет и использует данную уязвимость. Не обязательно быть очень точным в оценке. В целом достаточно определить, является ли вероятность низкой, средней или высокой.
OWASP19 (курсив наш. – Д. Х., Р. С.)
Стоит ли верить последней фразе? Учитывая, в основе каких критически важных решений могут лежать подобные методы, мы утверждаем, что не стоит. Это проверяемое утверждение, и оно реально проверялось множеством различных способов. Рост атак в области кибербезопасности сам по себе уже намекает на то, что, возможно, настало время попробовать иной подход.
Поэтому давайте проясним нашу позицию в отношении существующих методов. Они неудачные. Они не работают. Тщательное изучение исследований, посвященных как этим методам, так и методам принятия решений в целом, указывает на следующее (обо всем этом подробнее говорится в главах 4 и 5).
• Нет доказательств, что типы балльных оценок и методы построения матриц рисков, широко используемые в кибербезопасности, повышают эффективность суждений.
• Напротив, есть доказательства, что эти методы вносят искажения и ошибки в процесс оценивания. Один из исследователей – Тони Кокс – даже утверждает, что они «хуже, чем действия наугад» (исследование Кокса и многие другие будут подробно описаны в главе 5).
• Вся мнимая «работа» методов, вероятно, является разновидностью эффекта плацебо. То есть метод может заставить вас почувствовать себя лучше, даже если его применение не способствует ощутимому улучшению в оценке рисков (или вовсе увеличивает число ошибок).
• В опубликованных исследованиях имеется огромное количество доказательств эффективности количественных, вероятностных методов.
• К счастью, большинство экспертов по кибербезопасности, похоже, готовы и способны использовать более эффективные количественные решения. Однако распространенные заблуждения (в том числе неправильные представления о базовой статистике), которых придерживаются часть людей, создают ряд препятствий для внедрения более эффективных методов.
Способ, с помощью которого служба кибербезопасности оценивает риск и выявляет степень его снижения, лежит в основе определения того, где следует использовать ресурсы в первую очередь. И если выбранный способ не работает или как минимум требует значительных улучшений, то именно это тогда и является главной проблемой, которой следует заняться службе кибербезопасности! Очевидно, что создание прочного фундамента для методов принятия решений и оценки рисков кибербезопасности повлияет на все остальные действия в сфере кибербезопасности. Если оценка рисков сама по себе слабое место, то ее исправление – самая важная «заплатка» для специалиста по кибербезопасности.
Предложение по управлению рисками кибербезопасности
В этой книге нами предлагается другое направление развития кибербезопасности, а каждое решение, рассматриваемое в его рамках, в итоге будет полностью соответствовать названию книги. То есть мы будем разбирать вопросы, описывая, как измерить риски кибербезопасности – все что угодно в области рисков кибербезопасности. Измерения станут инструментами для предложенных решений и, кроме того, продемонстрируют, каким образом эти решения выбирались. Итак, давайте считать, что мы все принимаем наш новый количественный подход, который строится на следующих принципах.
• Можно значительно улучшить существующие методы. Многие аспекты существующих методов были оценены и признаны непродуктивными. Подобное неприемлемо в масштабах проблем, с которыми сталкивается сфера кибербезопасности.
• В кибербезопасности можно применять тот же количественный язык анализа рисков, что и в других сферах. Как будет показано далее, существует множество областей, в которых риск огромен, данные минимальны, а участники хаотичны, и для этих областей регулярно строятся модели с помощью традиционных математических методов. Не нужно заново изобретать терминологию или методы, когда они уже есть в других сферах, где также сталкиваются со сложными проблемами анализа рисков.
• Существуют методы, которые уже показали себя более результативными по сравнению с профессиональным чутьем. И это верно даже для случаев, когда указанные методы, как и обычные, широко используемые, основываются только на субъективных суждениях экспертов по кибербезопасности.
• Усовершенствованные методы вполне применимы. Нам об этом известно, поскольку их уже применяли. Каждый из описанных в книге методов применялся хотя бы одним из авторов в реальных условиях в корпоративной среде. В настоящее время этими методами пользуются специалисты по кибербезопасности из самых разных отраслей.
• Описываемые модели можно усовершенствовать с помощью эмпирических данных. У вас больше данных, чем кажется. Они доступны из различных, как существующих, так и новых, только появляющихся источников. Но даже при ограниченных данных математические методы все равно могут быть эффективнее субъективных суждений. Кроме того, сами методы анализа рисков также можно измерять и отслеживать, чтобы постоянно их совершенствовать.
Книга разделена на три части, каждая из которых по-своему подтверждает все перечисленные принципы. В первой части представлен простой количественный метод, требующий чуть больше усилий, чем существующие методы балльной оценки, но в нем применяются техники, продемонстрировавшие заметно более эффективные результаты. Затем мы обсудим, как измерить сами методы измерения. Другими словами, попытаемся ответить на вопрос «Как узнать, что они работают?» относительно различных методов оценки кибербезопасности. Последняя глава первой части будет посвящена разбору распространенных возражений против количественных методов, подробному рассмотрению исследований, показывающих несостоятельность методов балльной оценки, а также обсуждению заблуждений и ложных представлений, удерживающих от перехода на более эффективные методы.
Во второй части мы отойдем от вопроса «почему используются определенные методы» и сосредоточимся на том, как еще улучшить простую модель, описанную в первой части. Мы поговорим о том, как добавить полезные детали к простой модели, как помочь специалистам по кибербезопасности отточить свои навыки оценки неопределенности и как улучшить модель с помощью эмпирических данных (даже если кажется, что данных мало).
В третьей части будет показана более общая картина: как эти методы можно реализовать в компании, как возникают новые угрозы и как развивающиеся инструменты и методы способствуют повышению эффективности измерений рисков кибербезопасности. И еще мы попытаемся сформулировать призыв к сфере кибербезопасности в целом.
А для начала в следующей главе будет заложена основа для понимания термина «измерение». Термин может казаться простым и очевидным, но неверное понимание измерений и методов их осуществления частично является причиной нежелания применять измерения в области кибербезопасности.
Примечания
1. Greg Miller, “FBI Director Warns of Cyberattacks; Other Security Chiefs Say Terrorism Threat Has Altered,” Washington Post, November 14, 2013, www.washingtonpost.com/world/national-security/fbi-directorwarns-of-cyberattacks-other-security-chiefs-say-terrorism-threat-hasaltered/2013/11/14/ 24f1b27a-4d53-11e3-9890-a1e0997fb0c0_story.html.