Личные блоги 
Ее строгость, наглядность, простота
настолько очевидна, что не просто радует глаз,
но и затуманивает разум
Что может быть прекрасней формулы расчета ИТ рисков
R = T x V x A, или более подробно Risk = Threat * Vulnerability * Asset Value
Очень красиво и наглядно. Не правда ли? Дело осталось за малым: понять, как ее использовать на практике.
И так, перед нами формула предназначенная помочь определить величину Риска. Здесь и дальше под риском будем понимать Риск информационной безопасности (information security risk) в терминах ISO/IEC 27005:2008:
information security risk - the potential that a given threat will exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organization. It is measured in terms of a combination of the probability of an event and its consequence. (потенциальная возможность того, что угроза будет использовать уязвимость актива или группы активов, причиняя таким образом ущерб организации)
Раз нам (нашей организации) может быть причинен ущерб, том хотелось знать его величину и очень было бы здорово, если бы эта «величина» была представлена в денежном выражении.
Казалось бы, какие проблемы? Формула уже есть, операции арифметические, не будем терять время.
Раунд №1
Вначале необходимо определить, что же нам подставить в качестве Threat, Vulnerability и Asset Value.
Одно из мнений, которое я встречал, и мне показалось достаточно распространенное, что в данной формуле фигурируют следующие переменные:
T – Threat– вероятность реализации угрозы (вероятность атаки)
V -Vulnerability– величина уязвимости, как вероятность, того что уязвимость может быть использована угрозой и активу будет нанесен вред
A - Asset Value– стоимость актива (а еще лучше Impact Vаlue – величина воздействия)
Данное предположение достаточно тесно перекликается с «Risk is a function of the likelihood of a given threat-source’s exercising a particular potential vulnerability, and the resulting impact of that adverse event on the organization.» (NIST SP800-30, 2002).
Трудно не согласиться, что риск - это функция угрозы, уязвимостии величины ущерба нанесенного активу. Правда пока не понятно, откуда следует, что данная зависимость именно такая, как это отражено в формуле?
Давайте попробуем, что ни будь посчитать.
Задача:То ли из опыта предыдущих периодов, то ли по прогнозу экспертов (источник данных в данном посте не рассматривается) 50% атакв месяц, которым мы подвергаемся, направленны на нашу систему «дистанционного банковского обслуживания (ДБО)». При этом, существует 20%-явероятность, того что «охотникам за деньгами» удастся воспользоваться уязвимостью, обойти защиту и завладеть нашими деньгами.
Сделаем предположение, что «охотники» самые злые и если уж доберутся до денег, то заберут все (Impact Value=Asset Value).
Если исходить из того, что атаке подвергается наш расчетный счет, где среднедневной остаток составляет 100 000 грн, то мы получаем:
R = T x V x A = 0.5 x 0.2 x 100 000 = 10 000 грн
Для меня самая главная сложность, после таких вычислений описать словами, что же здесь написано. Что? Угроза, реализуя известную нам уязвимость будет (в среднем) причинять нам ущерб 10 000 грн в месяц?
Ерунда какая-то. Уж если доберутся, то мы потеряем 100 000…
Что не так?
Раунд №2
Хорошо, 50% - это как то непонятно, попытаемся конкретизировать: пусть в месяц атакующие предпринимают 10 попытокатаковать нашу систему ДБО. Тогда при той же вероятности, что им удастся воспользоваться уязвимостью, получается
R = T x V x A = 10 x 0.2 x 100 000 = 200 000 грн
Вот это уже больше на что-то похоже, так как позволяет ответ сформулировать следующим образом: если мы ничего не будем предпринимать, то по мнению наших экспертов, мы можем терять до 200 000 грн ежемесячно.
Ну как? Вроде неплохо!
Естественно после таких расчетов раздается: Как 200 тысяч? Нет. Этого допустить нельзя, давайте действовать. Сколько надо на ликвидацию уязвимости? Неделя? (ага раз 200 тысяч в месяц, то за неделю 50 тысяч, ничего выдержим, но уже сделаем и забудем)Неделя? ОК. Действуем!
Каково же будет наше удивление, когда уже на второй деньстанет известно, что у нас похищено 200 000 грн…
Эксперты ошиблись? – Нет. Просто «полезность» формулыдостаточно ограничена.
Кстати неплохо, что я предложил пример с расчетным счетом, где деньги «уходят» и «приходят». А представим, что счет депозитный, чего стоит результат о возможных потерях в 200 000 если у нас всего 100 000?
Получилось «много слов», надо остановиться и подумать… Но как не крути 2:0 в пользу неопределенности.
Продолжение следует…
Подписка
Вирусы
Ну и как подсказывает Александр Левин, слишком простая формула, чтобы описывать такие сложные процессы как атаки и защита. Для этого существуют понятия случайная величина, распределение вероятности и весь математический аппарат теории вероятности и математической статистики. Эта формула является лишь введением в слоноведение.
- "..., а не как хрен знает что" - Что Вы имели ввиду?
- "... такая вероятность будет довольно низкая..." - а какая была бы более реалистична?
Определение вероятности раскроет смысл величин T и V.
V - вероятность того, что атака достигнет цели
T х V - вероятность того, что систему атакуют и атака достигнет цели
Очевидно, что вероятность может принимать значения от 0 до 1.
Ну а величина A имеет вполне понятный смысл.
Короче говоря, мы сейчас сформулировали простейшую вероятностную математическую модель того, как система противостоит хакерским атакам. Могут быть иные, более сложные модели, которые учитывают наши знания о процессах в хакерской среде (например, информация о появлении нового вируса, который наша система защиты точно не выдержит). Любая поступающая информация о процессах в идеале должна уточнять нашу математическую модель.
R = 10 000 грн. Это надо понимать, что в среднем через 10 месяцев актив взломают и унесут. Все, конечно, зависит от точности измерения вероятности. Вероятность измеряется по некоторому числу опытных данных, так что придется потратить некоторую часть активов
Короче, все не так просто...
"Вероятность измеряется по некоторому числу опытных данных, так что придется потратить некоторую часть активов"
Если Вы собираетесь получить вероятность опытным путем, то потребуется не "часть активов", а "множество активов"
А Вы уверены, что "атаки" (особенно последующие) у нас абсолютно не связаны с "уязвимостями" и их вероятности можно лихо перемножать?
1. На практике я бы просто регулярно пересматривал вероятности T и V по ходу получения оперативной информации. Вероятность - величина субъективная, и она меняется при поступлении той или иной важной информации.
2. Также нет смысла точно определять вероятности, достаточно определить уровни "низкий", "средний", "высокий" и даже можно чуть увеличить "разрешение": "очень высокий", "очень низкий"... Этого обычно достаточно, чтобы принять решение в отношении совершенствования защиты.
3. Раз вероятность определяется экспертным методом (путем опроса экспертов), то наверное нет смысла рассматривать отдельные вероятности T и V. Может просто сразу определить общую вероятность успешной атаки (V x T)? Для этого достаточно определить среднее время T, которое продержится актив не будучи взломанным... Обратная величина - 1/T - вероятность успешной атаки в единицу времени.
Следующие шаги - построение карты рисков (матрицы рисков), оценка приемлемости рисков, выработка решения, оценка остаточных рисков, оценка приемлемости остаточных рисков.
Сразу скажу, я в информационной безопасности полный ноль, мне подвластен только менеджмент рисков в целом. Поэтому ИМХО.
Задумывая пост (предварив его вопросом несколько недель назад) я хотел показать (своими рассуждениями), что нужно всегда думать, используя, даже казалось бы "годами проверенный", инструмент...
И даже если инструмент "хороший", он не всегда универсален, и может иметь ряд ограничений о которых уже давно не пишут (то ли не знают, то ли считают, что и так понятно).
Вот мы с Вами вспомнили Байеса, в другом случае нам потребуется вспомнить "закон исключённого третьего", а иначе вся теория вероятности полетит в трам-тарары
Касательно Байеса, хочу обратить на один момент (он мне кажется интересным) и спокойно порассуждать: я не зря процитировал вашу фразу где вы упоминали об опытном определении вероятности основанном на наблюдениях, а вот если бы Вы написали об "экспертах", то здесь может иметь место интересная метаморфоза: экперт давая оценку вероятности может сразу выдать ее как p(B/A)/p(B) (для человеческого мозга это нормально ИМХО) и мы вернемся к произведению.
Спасибо, буду рад если Вы будете находить время для дискуссий и в будущем...