SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Математическое моделирование рисков: шаманство или кибернетика?

Математическое моделирование рисков: шаманство или кибернетика?
26.12.2024

Максим Анненков, Борис Захир, Security Vision

 

Введение

 

В эпоху цифровизации и постоянно растущего количества киберугроз каждая компания стремится понять, сколько она вкладывает в кибербезопасность и какую отдачу это приносит. Кибербезопасность — небесплатное предприятие, и для эффективного управления рисками и оценки отдачи от инвестиций в безопасность требуется грамотный подход.

 

Один из ключевых аспектов такого подхода — оценка рисков. Это важный инструмент, который помогает понять соотношение затрат на меры защиты со степенью снижения подверженности угрозам, которой можно добиться за счет их внедрения. Оценка рисков может быть как качественной, так и количественной, но самое важное — извлечь из этого процесса полезные выводы, чтобы принять взвешенные и обоснованные решения.

 

рис 1.png 1.png

Такой подход, например, заложен в продукте Security Vision Risk Management и позволяет произвести оценку и сделать взвешенный выбор наиболее эффективных мер защиты.

 

Однако, стоит признать, что существующие методы оценки киберрисков могут вызывать путаницу. Они не всегда помогают ответственным за принятие решений лицам увидеть реальную подверженность компании киберугрозам. Кроме того, они редко дают четкое представление о том, какие меры контроля оказывают наибольшее влияние на снижение киберрисков. Поскольку этим методам часто не удается дать точный ответ на вопрос, какие ресурсы стоит сосредоточить на наиболее критичных областях, руководство компании может скептически относиться к их эффективности. Таким образом, ценность результатов оценки рисков не всегда превосходит затраченные усилия.

 

Ожидания от риск-ориентированного подхода к кибербезопасности

 

Как правило, при проведении оценки рисков на ее результаты возлагают следующие ожидания:

   ●   Систематизация и экономическая эффективность средств защиты: риск-ориентированный подход оценивает риски по вероятности и потенциальному влиянию на бизнес, что помогает создавать стратегии для их устранения и принимать обоснованные решения по распределению ресурсов.

   ●   Культура кибербезопасности: оценка рисков помогает ввести культуру кибербезопасности, что повышает осведомленность персонала о киберрисках и общее вовлечение бизнеса в кибербезопасность.

   ●   Проактивное снижение рисков: риск-ориентированный подход позволяет снизить вероятность и воздействие кибератак, идентифицируя и смягчая потенциальные риски до их возникновения.

   ●   Долгосрочная экономия: данный подход помогает принимать решения о наиболее выгодных инвестициях, фокусируясь на целевых и экономически эффективных мерах безопасности.

 

Однако такие ожидания не всегда оправдываются, поскольку в результате оценки мы получаем тепловые карты, светофоры или наборы страшных миллионных убытков при использовании количественной оценки.


рис 2.png 1.png 


Карты подобного рода дают плоскую картину, от которой, конечно, можно отталкиваться для более детального изучения и точного прогнозирования потенциальных негативных последствий. Но при этом они могут быть довольно обманчивы в силу субъективности восприятия оценочных шкал.

 

Таким образом, для реализации перечисленных выше ожиданий, важно использовать моделирование рисков, которое превращает числовые показатели в управляемые модели, помогающие в принятии обоснованных решений. С его помощью компании могут оценивать потенциальные угрозы и уязвимости, спрогнозировать частоту кибератак, их серьезность и стоимость необходимых инвестиций в безопасность.

 

Что дает моделирование рисков?

 

Когда речь заходит о вложениях в кибербезопасность, хотелось бы понимать каков будет эффект от этих инвестиций. При этом, работа с повышением уровня защищенности это всегда работа с неопределенностью. И здесь на помощь приходит моделирование рисков, которое позволяет компаниям лучше понимать воздействие различных сценариев атаки и делать более эффективные и действенные инвестиции в меры кибербезопасности.

 

Понимая финансовые последствия различных сценариев реализации киберрисков, организации могут принимать более разумные решения о том, куда инвестировать свои ресурсы для достижения максимального воздействия и долгосрочного возврата инвестиций (ROI). ROI можно измерить, умножив среднюю стоимость инцидента на общее количество возможных инцидентов, которые можно предотвратить с помощью инвестиций в кибербезопасность. Такой расчет дает количественную оценку отдачи от вложений в безопасность.

 

Также полезно учитывать и другие составляющие в расчетах ROI, такие как соответствие требованиям регуляторов и косвенное снижение рисков. Такой подход предоставит более полное представление о том, почему инвестиции в кибербезопасность оправданы. В конечном итоге, ROI для инвестиций в кибербезопасность имеет обратную зависимость — чем больше ресурсов вкладывается в технологии обнаружения и предотвращения, тем значительнее уменьшается потенциальный негативный эффект от инцидентов.

 

Также для расчета ROI в кибербезопасности существует формула, известная как ROSI, или "Return on Security Investment" (Возврат на инвестиции в безопасность), которая включает в себя расчет денежной стоимости снижения риска информационной безопасности. ROI обычно показывает ожидаемую прибыль за определенный период времени, например, три или пять лет. В расчёте рентабельности информационной безопасности (ROSI) ожидаемая прибыль заменяется на ожидание избежать потерь в течение года.


рис 3.png

 

Конечно, потери не гарантированы, поэтому представляется в виде оценки стоимости того, что вы защищаете (ожидаемые ежегодные убытки, Annual Loss Expectancy), в сочетании с оценкой эффективности вашей защиты (коэффициент снижения рисков, Mitigation Factor). Независимо от того, будет ли фактическая потеря или нет, решение всё равно придётся оплатить, поэтому его стоимость нужно вычесть из «дохода» так же, как в расчете ROI. Затем всё это делится на стоимость решения, получается показатель ROSI в виде процента, который можно сравнить напрямую с ROI.

 

Инструментарий моделирования рисков

 

Что известно о методах моделирования рисков? Конечно же, в идеале все должно проистекать из статистических данных о реализации тех или иных рисков. Но чем важнее риск для компании, тем меньше раз он происходил, а чаще всего - не происходил еще ни разу. Отказ сегмента корпоративного облака, останавливающий предоставление услуг на X дней, обнаружение комиссией несоответствия требованиям регуляторов и последующие финансовые санкции, утечка ПД пользователей, и так далее. На чем же тогда основываться?


Ключ в том, чтобы регулярно мониторить актуальный статус устойчивости своей системы безопасности. Например, результаты стресс-теста системы SIEM/UEBA могут отображать процент обнаруженных атак и долю реальных атак среди обнаруженных, а также эффективность фильтров в блокировке фишинговых писем. Эти данные можно использовать для создания вероятностной модели рисков, где ключевым элементом является соотношение между «реальными инцидентами» и «ложными срабатываниями». Это соотношение может служить основой для прогнозирования, позволяя аналитикам оценивать, как изменения в характеристиках трафика или атак могут влиять на безопасность системы. Особенно важно это для целевых оценок рисков, когда анализируются специфические типы инцидентов. В этом контексте становится возможным формирование более точной «картинки рисков», основываясь на детальном понимании динамики и пропорций различных типов инцидентов. Конечно, при условии, что данные о срабатываниях достаточно репрезентативны (как минимум 17-20 алертов) - тогда можно с высокой долей уверенности прогнозировать изменения в уровне актуальности угроз для компании. И да, по факту упомянутые выше данные тестирования систем безопасности - это арифметика над количественными значениями ключевых индикаторов риска - КИРов, которые являются уже общепризнанным инструментом мониторинга уровня рисков. Итак, что с этими данными делать? Разберемся на примере.


Во-первых, на основе полученных статистических выборок (истинные инциденты, ложные, инциденты из публичного поля) мы считаем вероятность определенных событий. Например, пропуска реального инцидента. Выборка по факту выглядит как последовательность нулей и единиц: [0, 1, 0, 0, …, 1, …], где 0 - это пропущенный инцидент (False Negative), а 1 - обнаруженный инцидент (True Positive). Далее - надо посчитать вероятность реализации риска на основе таких исходных данных. Пускай мы посчитали, что, с вероятностью 30% наш SOC пропускает распаковку вируса из фишинг письма внутри контура сети, а с вероятностью 20% мы пропускаем инцидент исполнения нелегитимного кода на серверах обработки запросов к базе данных клиентов компании, 25% - пропуск создания учетной записи хакером с админ-правами над БД. И 5% - на то что не будет замечена эксфильтрация данных из этой самой БД. Таким образом, имеем цепочку с начальным доступом, двумя вариантами продвижения/закрепления и одним вариантом импакта. Здесь нам на помощь придут байесовские сети. Они нужны для расчета вероятностей зависимых событий через формулу Байеса.

 

рис 4.png

 

Она, напомню, позволяет посчитать вероятность возникновения события A при возникновении события B. С помощью этого метода мы можем посчитать вероятность реализации риска утечки конфиденциальных данных двумя способами реализации угрозы прямого доступа к БД с этими сведениями (а есть еще перехват на условной форме регистрации пользователей, или вообще инсайдерский слив).


Ремарка - здесь мы принимаем вероятность инициации того или иного события злоумышленником как единицу ввиду сложности получения точной статистики подобного рода. Но так мы получаем верхнюю оценку вероятности, то есть имеем выводы с определенным запасом надежности.

 

рис 5.png

 

Итак, второе - мы имеем вероятность риска, но какой ущерб он может принести? Он определяется на основе экспертной оценки последствий риска. Если речь о каких-то поврежденных активах, то количественно здесь учитываются такие параметры, как стоимость простоя, рыночная стоимость, стоимость замещения и другие.


Подробно останавливаться на получении величины ущерба не будем, здесь обычно все более-менее понятно. Чаще всего по ее результатам у риска есть нижняя и верхняя оценка ущерба. Но для моделирования важно понимать, какой именно он будет - ближе к минимуму, к максимуму, или к среднему арифметическому? В общем случае, конечно, высокие потери от риска маловероятны. Поэтому нам идеально подойдет так называемое логнормальное распределение вероятностей. Формула для интересующихся:

 

рис 6.png

 

Да, это обычное нормальное распределение величины (в нашем случае ущерба), от значений которой взяли логарифм. Что это дает? Посмотрите на визуализацию распределения, и все поймете.

 

рис 7.png 1.png


В отличие от нормального распределения, 90% процентов значений величины в котором лежат в середине отрезка, логнормальное притянуто к левому краю - отдавая предпочтение небольшому ущербу, что для нашей ситуации оптимально. Но что, если по какому-то риску мы хотим учесть особенное распределение ущерба от него, смещенное, например, к высоким значениям? Тут нам поможет метод из фреймворка FAIR, разработанный в военно-морских силах США в 1950-х и называющийся PERT.

 

рис 8.png

 

Эта метрика позволяет учитывать не только минимальный и максимальный ущерб, но и тот, что вы экспертно считаете самым вероятным. Если его вероятность для вас приоритетна, то коэффициент 4 стоит у этого значения, и распределение получается следующим:

 

рис 9.png

 

Если по ущербу важнее максимум или минимум, коэффициент переносится к соответствующей переменной.

 

рис 10.png     рис 11.png

 

На самом деле, данный метод чрезвычайно гибкий, так как можно уменьшать/увеличивать крутизну горба, регулируя численные коэффициенты. У вас, конечно, возник вопрос - а распределение то, как построить, эти формулы его не задают. Формула построения распределения приводится здесь. Там мода \mode\m — это expected value. Покажу ее и здесь:

 

рис 12.png

Что за параметры a и b? Они характеризуют положение горба. Если назвать коэффициенты у min, mode и max как m, k и h, то рассчитываются они по следующим формулам:


рис 13.png      рис 14.png 


Итак, вероятность риска есть, и распределение вероятностей реализации той или иной величины ущерба тоже. Какой дальнейший шаг?


Ответ - построить модель. Для бизнеса будет понятно, если мы скажем, что с учетом всех вероятностей в следующем условно году произойдет столько-то инцидентов с таким-то суммарным ущербом. Поэтому давайте закроемся от этого ущерба, потратив столько-то денег (кстати, по модели Гордона-Лоеба, это должно быть не более 37% от ущерба). На роль такой модели идеально подходит широко известный метод Монте-Карло. Его суть буквально в том, что на заданном количестве итераций каждый раз подбрасывается «монетка» с учетом всех рассчитанных вероятностей, в результате которой для каждого риска определяется, реализовался ли он и с каким ущербом, если да. В качестве итераций можно брать дни (что слишком мелко, обычно), недели или месяцы. При этом важно исходить из того, за какой срок вы сформировали базовые вероятности событий - то есть за какой период считали вероятность пропусков различных инцидентов, пример с которыми мы рассматривали в контексте байесовской сети. Тот же период и должны обозначать итерации.


рис 15.png 1.png

Пример моделирования методом Monte Carlo последствий реализации рисков с помощью Security Vision Risk Management. На скриншоте показано, как алгоритм построил распределение частоты и потенциального ущерба по рискам, для которых в системе имеется базовая информация.

 

Выводы

 

Таким образом, имея на руках данные о реальных инцидентах, оценке вероятности их возникновения в будущем, потенциальном ущербе от них и моделируя ситуацию при внедрении мер защиты, в разной степени эффективности влияющих на вероятность возникновения инцидентов, у нас появляются все данные для расчета ROSI. Принимая во внимание различные конфигурации средств защиты, можно оценить, какое сочетание решений обеспечивает наибольшую экономическую отдачу. Это позволяет компании выбрать те СЗИ, которые не только эффективны в предотвращении угроз, но и экономически оправданы.

 

рис 16.png 1.png

 

К слову сказать, продукт Risk Management на платформе Security Vision предоставляет полноценный функционал для выявления, оценки, моделирования и обработки рисков. Одним из ключевых преимуществ данной системы является возможность хранить и повторно использовать полученные данные, что упрощает и ускоряет процесс управления рисками.

 

 

СЗИ Киберриски (Cyber Risk, CRS) Метрики ИБ

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Управление ИТ-активами
Управление ИТ-активами
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Пентесты
Пентесты

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Управление ИТ-активами
Управление ИТ-активами
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Пентесты
Пентесты