14 Января, 2012

RA: В поисках \"формулы\": часть I-я

Владимир Гнинюк

Ее строгость, наглядность, простота 
настолько очевидна, что не просто радует глаз
но и затуманивает разум


Что может быть прекрасней формулы расчета ИТ рисков

R = T x V x A, или более подробно Risk = Threat * Vulnerability * Asset Value

Очень красиво и наглядно. Не правда ли? Дело осталось за малым: понять, как ее использовать на практике.





И так, перед нами формула предназначенная помочь определить величину Риска. Здесь и дальше под риском будем понимать Риск информационной безопасности (information security risk) в терминах  ISO/IEC 27005:2008:


information security risk - the potential that a given threat will exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organization. It is measured in terms of a combination of the probability of an event and its consequence. (потенциальная возможность того, что угроза будет использовать уязвимость актива или группы активов, причиняя таким образом ущерб организации)

Раз нам (нашей организации) может быть причинен ущерб, том хотелось знать его величину и очень было бы здорово, если бы эта «величина» была представлена в денежном выражении.

Казалось бы, какие проблемы? Формула уже есть, операции арифметические, не будем терять время.



Раунд №1
Вначале необходимо определить, что же нам подставить в качестве Threat, Vulnerability и Asset Value.

Одно из мнений, которое я встречал, и мне показалось достаточно распространенное, что в данной формуле фигурируют следующие переменные:
T – Threat– вероятность реализации угрозы (вероятность атаки)
V -Vulnerability– величина уязвимости, как вероятность, того что уязвимость может быть использована угрозой и активу будет нанесен вред
A - Asset Value– стоимость актива (а еще лучше Impact Vаlue – величина воздействия)

Данное предположение достаточно тесно перекликается с «Risk is a function of the likelihood of a given threat-source’s exercising a particular potential vulnerability, and the resulting impact of that adverse event on the organization.» (NIST SP800-30, 2002).

Трудно не согласиться, что риск - это функция угрозы, уязвимостии величины ущерба нанесенного активу. Правда пока не понятно, откуда следует, что данная зависимость именно такая, как это отражено в формуле?

Давайте попробуем, что ни будь посчитать.

Задача:То ли из опыта предыдущих периодов, то ли по прогнозу экспертов (источник данных в данном посте не рассматривается) 50% атакв месяц, которым мы подвергаемся, направленны на нашу систему  «дистанционного банковского обслуживания (ДБО)». При этом, существует 20%-явероятность, того  что «охотникам за деньгами»  удастся воспользоваться уязвимостью, обойти защиту и завладеть нашими деньгами.

Сделаем предположение, что «охотники» самые злые и если уж доберутся до денег, то заберут все (Impact Value=Asset Value).

Если исходить из того, что атаке подвергается наш расчетный счет, где среднедневной остаток составляет 100 000 грн, то мы получаем:

R = T x V x A = 0.5 x 0.2 x 100 000 = 10 000 грн


Для меня самая главная сложность, после таких вычислений описать словами, что же здесь написано. Что? Угроза, реализуя известную нам уязвимость будет (в среднем) причинять нам ущерб 10 000 грн в месяц?

Ерунда какая-то. Уж если доберутся, то мы потеряем 100 000… 
Что не так?




Раунд №2
Хорошо, 50% - это как то непонятно, попытаемся конкретизировать: пусть в месяц атакующие предпринимают 10 попытокатаковать нашу систему ДБО. Тогда при той же вероятности, что им удастся воспользоваться уязвимостью, получается

R = T x V x A = 10 x 0.2 x 100 000 = 200 000 грн


Вот это уже больше на что-то похоже, так как позволяет ответ сформулировать следующим образом: если мы ничего не будем предпринимать, то по мнению наших экспертов, мы можем терять до 200 000 грн ежемесячно.

Ну как? Вроде неплохо!

Естественно после таких расчетов раздается: Как 200 тысяч? Нет. Этого допустить нельзя, давайте действовать. Сколько надо на ликвидацию уязвимости? Неделя? (ага раз 200 тысяч в месяц, то за неделю 50 тысяч, ничего выдержим, но уже сделаем и забудем)Неделя? ОК. Действуем!

Каково же будет наше удивление, когда уже на второй деньстанет известно, что у нас похищено 200 000 грн

Эксперты ошиблись? – Нет. Просто «полезность» формулыдостаточно ограничена.

Кстати неплохо, что я предложил пример с расчетным счетом, где деньги «уходят» и «приходят». А представим, что счет депозитный, чего стоит результат о возможных потерях в 200 000 если у нас всего 100 000?



Получилось «много слов», надо остановиться и подумать… Но как не крути 2:0 в пользу неопределенности.


Продолжение следует…

или введите имя

CAPTCHA
15 Января, 2012
Первый вариант математически верен. Только вероятность 0,5 надо понимать как "вероятность того, что актив будет подвержен атаке в течение месяца", а не как хрен знает что. Очевидно, такая вероятность будет довольно низкая для реального интернет-объекта. Ну и как подсказывает Александр Левин, слишком простая формула, чтобы описывать такие сложные процессы как атаки и защита. Для этого существуют понятия случайная величина, распределение вероятности и весь математический аппарат теории вероятности и математической статистики. Эта формула является лишь введением в слоноведение.
0 |
  • Поделиться
  • Ссылка
15 Января, 2012
Спасибо, за прочтение написанного. Если позволите несколько вопросов: - "..., а не как хрен знает что" - Что Вы имели ввиду? - "... такая вероятность будет довольно низкая..." - а какая была бы более реалистична?
0 |
16 Января, 2012
Я Вам отвечу так: те, кто знаком с теорией вероятности, отлично понимают смысл всех величин, входящих в формулу R, T, V, A. Вы можете взять учебник по теорверу и найти определение математического ожидания. Это будет величина R. R - это математическое ожидание ущербаОпределение вероятности раскроет смысл величин T и V. T - вероятность того, что систему атакуют V - вероятность того, что атака достигнет цели T х V - вероятность того, что систему атакуют и атака достигнет цели Очевидно, что вероятность может принимать значения от 0 до 1. Ну а величина A имеет вполне понятный смысл. A - это ущербКороче говоря, мы сейчас сформулировали простейшую вероятностную математическую модель того, как система противостоит хакерским атакам. Могут быть иные, более сложные модели, которые учитывают наши знания о процессах в хакерской среде (например, информация о появлении нового вируса, который наша система защиты точно не выдержит). Любая поступающая информация о процессах в идеале должна уточнять нашу математическую модель. R = 10 000 грн. Это надо понимать, что в среднем через 10 месяцев актив взломают и унесут. Все, конечно, зависит от точности измерения вероятности. Вероятность измеряется по некоторому числу опытных данных, так что придется потратить некоторую часть активов . Ну и величину "в среднем" надо понимать четко: 1000 активов в среднем взломают за 10 месяцев. Если брать в расчет один объект из этой 1000, то взломать его могут в первый месяц, а могут через 5 лет. Короче, все не так просто...
0 |
16 Января, 2012
Михаил, "Вероятность измеряется по некоторому числу опытных данных, так что придется потратить некоторую часть активов" Если Вы собираетесь получить вероятность опытным путем, то потребуется не "часть активов", а "множество активов" А Вы уверены, что "атаки" (особенно последующие) у нас абсолютно не связаны с "уязвимостями" и их вероятности можно лихо перемножать?
0 |
16 Января, 2012
Все верно. Есть формула умножения вероятностей, согласно ей перемножаются не просто вероятности p(A) и p(B), а p(A) и p(B/A). p(B/A) - это вероятность события B при условии, что событие A заведомо произошло. То есть, если события A и B зависимые, то просто перемножить вероятности нельзя, нужно рассчитывать зависимость событий, то есть p(B/A). 1. На практике я бы просто регулярно пересматривал вероятности T и V по ходу получения оперативной информации. Вероятность - величина субъективная, и она меняется при поступлении той или иной важной информации. 2. Также нет смысла точно определять вероятности, достаточно определить уровни "низкий", "средний", "высокий" и даже можно чуть увеличить "разрешение": "очень высокий", "очень низкий"... Этого обычно достаточно, чтобы принять решение в отношении совершенствования защиты. 3. Раз вероятность определяется экспертным методом (путем опроса экспертов), то наверное нет смысла рассматривать отдельные вероятности T и V. Может просто сразу определить общую вероятность успешной атаки (V x T)? Для этого достаточно определить среднее время T, которое продержится актив не будучи взломанным... Обратная величина - 1/T - вероятность успешной атаки в единицу времени. Следующие шаги - построение карты рисков (матрицы рисков), оценка приемлемости рисков, выработка решения, оценка остаточных рисков, оценка приемлемости остаточных рисков. Сразу скажу, я в информационной безопасности полный ноль, мне подвластен только менеджмент рисков в целом. Поэтому ИМХО.
0 |
  • Поделиться
  • Ссылка
16 Января, 2012
Михаил, суппер, спасибо, что мы побороли эмоции и перешли в коструктивное русло. Задумывая пост (предварив его вопросом несколько недель назад) я хотел показать (своими рассуждениями), что нужно всегда думать, используя, даже казалось бы "годами проверенный", инструмент... И даже если инструмент "хороший", он не всегда универсален, и может иметь ряд ограничений о которых уже давно не пишут (то ли не знают, то ли считают, что и так понятно). Вот мы с Вами вспомнили Байеса, в другом случае нам потребуется вспомнить "закон исключённого третьего", а иначе вся теория вероятности полетит в трам-тарары Касательно Байеса, хочу обратить на один момент (он мне кажется интересным) и спокойно порассуждать: я не зря процитировал вашу фразу где вы упоминали об опытном определении вероятности основанном на наблюдениях, а вот если бы Вы написали об "экспертах", то здесь может иметь место интересная метаморфоза: экперт давая оценку вероятности может сразу выдать ее как p(B/A)/p(B) (для человеческого мозга это нормально ИМХО) и мы вернемся к произведению. Спасибо, буду рад если Вы будете находить время для дискуссий и в будущем...
0 |
13 Февраля, 2012
Я бы не заморачивался так с пониманием того, что такое Threat и Vulnerability. Вроде ж итак всем ясно, что это угроза и уязвимость. А произведение T и V - это вероятность реализации этой угрозы. Которая тем выше, чем выше и угроза и уязвимость (или подверженность ей). При этом их нужно именно перемножать, а не складывать, т.к. при нулевых угрозе или уязвимости вероятность вроде бы должна быть равна нулю. Оценивать угрозы и вероятности не обязательно с помощью значений, меньших единицы. Можно, например, по шкале от 1 (незначительный уровень) до 5 (наивысший уровень). А их произведение (т.е. вероятность) делать меньшим или равным единице с помощью соответствующего коэффициента (или множителя), зависящего от выбранной шкалы измерений. При этом надо вроде бы согласиться с тем, что при максимальных значениях параметров вероятность будет равна 1. В этом, обычно, и заключается наибольшая сложность. Т.к. предвидеть (предсказывать) вероятность, равную 1, сложно. Дать, например, обе 5-ки угрозе и уязвимости нетрудно. Но как доказать, что вероятность при этом будет равна 1? Или же, если дать одному из параметров (например, уязвимости) значение 0, то кто поручится, что вероятность будет равна 0? Ведь откуда мы знаем, какая она на самом деле - эта уязвимость? Поэтому я бы избегал 0-вых и наивысших оценок (дающих вероятности 0 и 1). Поэтому исходно и предложил начинать шкалу с 1, а не с 0, и не считать, что при всех наивысших оценках (например, 5-ках) вероятность будет равна 1. Пусть она при этом будет равна не 1, а 0,9 или 0,95 (как уж договоримся, в зависимости от степени нашего незнания или допустимой погрешности). В остальном же имеем, что Риск = Вероятность х Ущерб (или стоимость актива, которая может быть потеряна). Это формула, проще которой не существует. Ее можно критиковать до бесконечности. Но если больше пользоваться нечем, и нет желания искать, а также применять что-то более сложное, то можно пользоваться и ею. И я, например, использую ее для сравнения рисков, когда ущерб или активы тоже оцениваю качественно - в баллах, а не в чем-то более осязаемом. В деньгах при такой точности расчетов и сложности моделей как-то не хочется. Так что, как-то вот так. Вместо критика этих формул теперь выступлю еще и их адептом.
0 |
  • Поделиться
  • Ссылка