Максим Анненков, Борис Захир, Security Vision

Введение

В эпоху цифровизации и постоянно растущего количества киберугроз каждая компания стремится понять, сколько она вкладывает в кибербезопасность и какую отдачу это приносит. Кибербезопасность — небесплатное предприятие, и для эффективного управления рисками и оценки отдачи от инвестиций в безопасность требуется грамотный подход.

Один из ключевых аспектов такого подхода — оценка рисков. Это важный инструмент, который помогает понять соотношение затрат на меры защиты со степенью снижения подверженности угрозам, которой можно добиться за счет их внедрения. Оценка рисков может быть как качественной, так и количественной, но самое важное — извлечь из этого процесса полезные выводы, чтобы принять взвешенные и обоснованные решения.

Однако, стоит признать, что существующие методы оценки киберрисков могут вызывать путаницу. Они не всегда помогают ответственным за принятие решений лицам увидеть реальную подверженность компании киберугрозам. Кроме того, они редко дают четкое представление о том, какие меры контроля оказывают наибольшее влияние на снижение киберрисков. Поскольку этим методам часто не удается дать точный ответ на вопрос, какие ресурсы стоит сосредоточить на наиболее критичных областях, руководство компании может скептически относиться к их эффективности. Таким образом, ценность результатов оценки рисков не всегда превосходит затраченные усилия.

Ожидания от риск-ориентированного подхода к кибербезопасности

Как правило, при проведении оценки рисков на ее результаты возлагают следующие ожидания:

• Систематизация и экономическая эффективность средств защиты: риск-ориентированный подход оценивает риски по вероятности и потенциальному влиянию на бизнес, что помогает создавать стратегии для их устранения и принимать обоснованные решения по распределению ресурсов.

• Культура кибербезопасности: оценка рисков помогает ввести культуру кибербезопасности, что повышает осведомленность персонала о киберрисках и общее вовлечение бизнеса в кибербезопасность.

• Проактивное снижение рисков: риск-ориентированный подход позволяет снизить вероятность и воздействие кибератак, идентифицируя и смягчая потенциальные риски до их возникновения.

• Долгосрочная экономия: данный подход помогает принимать решения о наиболее выгодных инвестициях, фокусируясь на целевых и экономически эффективных мерах безопасности.

Однако такие ожидания не всегда оправдываются, поскольку в результате оценки мы получаем тепловые карты, светофоры или наборы страшных миллионных убытков при использовании количественной оценки.

Карты подобного рода дают плоскую картину, от которой, конечно, можно отталкиваться для более детального изучения и точного прогнозирования потенциальных негативных последствий. Но при этом они могут быть довольно обманчивы в силу субъективности восприятия оценочных шкал.

Таким образом, для реализации перечисленных выше ожиданий, важно использовать моделирование рисков, которое превращает числовые показатели в управляемые модели, помогающие в принятии обоснованных решений. С его помощью компании могут оценивать потенциальные угрозы и уязвимости, спрогнозировать частоту кибератак, их серьезность и стоимость необходимых инвестиций в безопасность.

Что дает моделирование рисков?

Когда речь заходит о вложениях в кибербезопасность, хотелось бы понимать каков будет эффект от этих инвестиций. При этом, работа с повышением уровня защищенности это всегда работа с неопределенностью. И здесь на помощь приходит моделирование рисков, которое позволяет компаниям лучше понимать воздействие различных сценариев атаки и делать более эффективные и действенные инвестиции в меры кибербезопасности.

Понимая финансовые последствия различных сценариев реализации киберрисков, организации могут принимать более разумные решения о том, куда инвестировать свои ресурсы для достижения максимального воздействия и долгосрочного возврата инвестиций (ROI). ROI можно измерить, умножив среднюю стоимость инцидента на общее количество возможных инцидентов, которые можно предотвратить с помощью инвестиций в кибербезопасность. Такой расчет дает количественную оценку отдачи от вложений в безопасность.

Также полезно учитывать и другие составляющие в расчетах ROI, такие как соответствие требованиям регуляторов и косвенное снижение рисков. Такой подход предоставит более полное представление о том, почему инвестиции в кибербезопасность оправданы. В конечном итоге, ROI для инвестиций в кибербезопасность имеет обратную зависимость — чем больше ресурсов вкладывается в технологии обнаружения и предотвращения, тем значительнее уменьшается потенциальный негативный эффект от инцидентов.

Также для расчета ROI в кибербезопасности существует формула, известная как ROSI, или "Return on Security Investment" (Возврат на инвестиции в безопасность), которая включает в себя расчет денежной стоимости снижения риска информационной безопасности. ROI обычно показывает ожидаемую прибыль за определенный период времени, например, три или пять лет. В расчёте рентабельности информационной безопасности (ROSI) ожидаемая прибыль заменяется на ожидание избежать потерь в течение года.

Конечно, потери не гарантированы, поэтому представляется в виде оценки стоимости того, что вы защищаете (ожидаемые ежегодные убытки, Annual Loss Expectancy), в сочетании с оценкой эффективности вашей защиты (коэффициент снижения рисков, Mitigation Factor). Независимо от того, будет ли фактическая потеря или нет, решение всё равно придётся оплатить, поэтому его стоимость нужно вычесть из «дохода» так же, как в расчете ROI. Затем всё это делится на стоимость решения, получается показатель ROSI в виде процента, который можно сравнить напрямую с ROI.

Инструментарий моделирования рисков

Что известно о методах моделирования рисков? Конечно же, в идеале все должно проистекать из статистических данных о реализации тех или иных рисков. Но чем важнее риск для компании, тем меньше раз он происходил, а чаще всего - не происходил еще ни разу. Отказ сегмента корпоративного облака, останавливающий предоставление услуг на X дней, обнаружение комиссией несоответствия требованиям регуляторов и последующие финансовые санкции, утечка ПД пользователей, и так далее. На чем же тогда основываться?

Ключ в том, чтобы регулярно мониторить актуальный статус устойчивости своей системы безопасности. Например, результаты стресс-теста системы SIEM/UEBA могут отображать процент обнаруженных атак и долю реальных атак среди обнаруженных, а также эффективность фильтров в блокировке фишинговых писем. Эти данные можно использовать для создания вероятностной модели рисков, где ключевым элементом является соотношение между «реальными инцидентами» и «ложными срабатываниями». Это соотношение может служить основой для прогнозирования, позволяя аналитикам оценивать, как изменения в характеристиках трафика или атак могут влиять на безопасность системы. Особенно важно это для целевых оценок рисков, когда анализируются специфические типы инцидентов. В этом контексте становится возможным формирование более точной «картинки рисков», основываясь на детальном понимании динамики и пропорций различных типов инцидентов. Конечно, при условии, что данные о срабатываниях достаточно репрезентативны (как минимум 17-20 алертов) - тогда можно с высокой долей уверенности прогнозировать изменения в уровне актуальности угроз для компании. И да, по факту упомянутые выше данные тестирования систем безопасности - это арифметика над количественными значениями ключевых индикаторов риска - КИРов, которые являются уже общепризнанным инструментом мониторинга уровня рисков. Итак, что с этими данными делать? Разберемся на примере.

Во-первых, на основе полученных статистических выборок (истинные инциденты, ложные, инциденты из публичного поля) мы считаем вероятность определенных событий. Например, пропуска реального инцидента. Выборка по факту выглядит как последовательность нулей и единиц: [0, 1, 0, 0, …, 1, …], где 0 - это пропущенный инцидент (False Negative), а 1 - обнаруженный инцидент (True Positive). Далее - надо посчитать вероятность реализации риска на основе таких исходных данных. Пускай мы посчитали, что, с вероятностью 30% наш SOC пропускает распаковку вируса из фишинг письма внутри контура сети, а с вероятностью 20% мы пропускаем инцидент исполнения нелегитимного кода на серверах обработки запросов к базе данных клиентов компании, 25% - пропуск создания учетной записи хакером с админ-правами над БД. И 5% - на то что не будет замечена эксфильтрация данных из этой самой БД. Таким образом, имеем цепочку с начальным доступом, двумя вариантами продвижения/закрепления и одним вариантом импакта. Здесь нам на помощь придут байесовские сети. Они нужны для расчета вероятностей зависимых событий через формулу Байеса.

Она, напомню, позволяет посчитать вероятность возникновения события A при возникновении события B. С помощью этого метода мы можем посчитать вероятность реализации риска утечки конфиденциальных данных двумя способами реализации угрозы прямого доступа к БД с этими сведениями (а есть еще перехват на условной форме регистрации пользователей, или вообще инсайдерский слив).

Ремарка - здесь мы принимаем вероятность инициации того или иного события злоумышленником как единицу ввиду сложности получения точной статистики подобного рода. Но так мы получаем верхнюю оценку вероятности, то есть имеем выводы с определенным запасом надежности.

Итак, второе - мы имеем вероятность риска, но какой ущерб он может принести? Он определяется на основе экспертной оценки последствий риска. Если речь о каких-то поврежденных активах, то количественно здесь учитываются такие параметры, как стоимость простоя, рыночная стоимость, стоимость замещения и другие.

Подробно останавливаться на получении величины ущерба не будем, здесь обычно все более-менее понятно. Чаще всего по ее результатам у риска есть нижняя и верхняя оценка ущерба. Но для моделирования важно понимать, какой именно он будет - ближе к минимуму, к максимуму, или к среднему арифметическому? В общем случае, конечно, высокие потери от риска маловероятны. Поэтому нам идеально подойдет так называемое логнормальное распределение вероятностей. Формула для интересующихся:

Да, это обычное нормальное распределение величины (в нашем случае ущерба), от значений которой взяли логарифм. Что это дает? Посмотрите на визуализацию распределения, и все поймете.

В отличие от нормального распределения, 90% процентов значений величины в котором лежат в середине отрезка, логнормальное притянуто к левому краю - отдавая предпочтение небольшому ущербу, что для нашей ситуации оптимально. Но что, если по какому-то риску мы хотим учесть особенное распределение ущерба от него, смещенное, например, к высоким значениям? Тут нам поможет метод из фреймворка FAIR, разработанный в военно-морских силах США в 1950-х и называющийся PERT.

Эта метрика позволяет учитывать не только минимальный и максимальный ущерб, но и тот, что вы экспертно считаете самым вероятным. Если его вероятность для вас приоритетна, то коэффициент 4 стоит у этого значения, и распределение получается следующим:

Если по ущербу важнее максимум или минимум, коэффициент переносится к соответствующей переменной.

На самом деле, данный метод чрезвычайно гибкий, так как можно уменьшать/увеличивать крутизну горба, регулируя численные коэффициенты. У вас, конечно, возник вопрос - а распределение то, как построить, эти формулы его не задают. Формула построения распределения приводится здесь. Там мода \mode\m — это expected value. Покажу ее и здесь:

Что за параметры a и b? Они характеризуют положение горба. Если назвать коэффициенты у min, mode и max как m, k и h, то рассчитываются они по следующим формулам:

Итак, вероятность риска есть, и распределение вероятностей реализации той или иной величины ущерба тоже. Какой дальнейший шаг?

Ответ - построить модель. Для бизнеса будет понятно, если мы скажем, что с учетом всех вероятностей в следующем условно году произойдет столько-то инцидентов с таким-то суммарным ущербом. Поэтому давайте закроемся от этого ущерба, потратив столько-то денег (кстати, по модели Гордона-Лоеба, это должно быть не более 37% от ущерба). На роль такой модели идеально подходит широко известный метод Монте-Карло. Его суть буквально в том, что на заданном количестве итераций каждый раз подбрасывается «монетка» с учетом всех рассчитанных вероятностей, в результате которой для каждого риска определяется, реализовался ли он и с каким ущербом, если да. В качестве итераций можно брать дни (что слишком мелко, обычно), недели или месяцы. При этом важно исходить из того, за какой срок вы сформировали базовые вероятности событий - то есть за какой период считали вероятность пропусков различных инцидентов, пример с которыми мы рассматривали в контексте байесовской сети. Тот же период и должны обозначать итерации.

Выводы

Таким образом, имея на руках данные о реальных инцидентах, оценке вероятности их возникновения в будущем, потенциальном ущербе от них и моделируя ситуацию при внедрении мер защиты, в разной степени эффективности влияющих на вероятность возникновения инцидентов, у нас появляются все данные для расчета ROSI. Принимая во внимание различные конфигурации средств защиты, можно оценить, какое сочетание решений обеспечивает наибольшую экономическую отдачу. Это позволяет компании выбрать те СЗИ, которые не только эффективны в предотвращении угроз, но и экономически оправданы.

К слову сказать, продукт Risk Management на платформе Security Vision предоставляет полноценный функционал для выявления, оценки, моделирования и обработки рисков. Одним из ключевых преимуществ данной системы является возможность хранить и повторно использовать полученные данные, что упрощает и ускоряет процесс управления рисками.