Дуглас У. Хаббард
Как оценить риски в кибербезопасности. Лучшие инструменты и практики

Посвящение Дугласа Хаббарда:

Моим детям Эвану, Мадлен и Стивену – постоянным источникам вдохновения в моей жизни. А также моей жене, Джанет, за все, что она делает, чтобы дать мне возможность писать, и за то, что она – потрясающий корректор.

Посвящение Ричарда Сирсена:

Всем дамам в моей жизни: Хелене, Каэле, Анике и Бренне. Спасибо за вашу любовь и поддержку как в жизни, так и в написании этой книги. С вами все легко и весело.

Даг и Ричард также хотели бы посвятить эту книгу военнослужащим и сотрудникам правоохранительных органов, специализирующимся в области кибербезопасности.

HOW TO MEASURE ANYTHING IN CYBERSECURITY RISK

Douglas Hubbard, Richard Seiersen, Daniel E. Geer, Stuart McClure

© 2016 by John Wiley & Sons, Inc.

All Rights Reserved. This translation published under license with the original publisher John Wiley & Sons, Inc.

© Райтман М.А., перевод на русский язык, 2023

© Оформление. ООО «Издательство «Эксмо», 2023

Предисловие

Нам повезло получить два предисловия от двух ведущих умов в области оценки рисков кибербезопасности: Дэниела Э. Гира – младшего и Стюарта Мак-Клара.

Дэниел Э. Гир – младший, доктор технических наук

Дэниел Гир занимается исследованием количественных характеристик безопасности. Его группа в Массачусетском технологическом институте разработала протокол Kerberos, затем было еще несколько стартап-проектов, а сейчас он продолжает работать этой области в качестве руководителя отдела информационной безопасности в компании In-Q-Tel. Дэниел пишет множество работ самого разного объема, и иногда их даже читают. Он инженер-электрик, статистик и человек, уверенный, что в споре рождается истина.

Я с удовольствием рекомендую книгу «Как оценить риски в кибербезопасности. Лучшие инструменты и практики». Тема бесспорно актуальная, я и сам уже долгое время пытаюсь к ней подступиться¹. Это сложная проблема, и, думаю, будет уместно процитировать бывшего госсекретаря США Джона Фостера Даллеса: «Мерилом успеха выступает не факт наличия сложной проблемы, требующей решения, а то, является ли она той же самой проблемой, что возникла у вас в прошлом году». Данная книга как минимум обещает помочь оставить позади часть старых и сложных проблем.

Практика кибербезопасности – это частично инженерия, а частично логические рассуждения. Главная истина инженерии заключается в том, что проектирование успешно тогда и только тогда, когда сама формулировка проблемы полностью понятна. Основная истина логических рассуждений гласит, что у любых данных есть изъяны, и вопрос в том, можно ли их исправить. И инженерия, и логические рассуждения полагаются на измерения. При достаточно хорошем уровне измерений можно говорить о метриках.

Я называю их метриками потому, что это производные от измерений. Метрика включает в себя измерения, выполняемые для подтверждения текущих решений. Мы с вами, дорогие читатели, занимаемся кибербезопасностью не ради науки, но тем, кто пришел в эту область, имея научный (или философский) интерес, понадобятся измерения для подтверждения теорий. Нам необходимы метрики, полученные на основе достоверных измерений, поскольку в масштабах нашей задачи имеющиеся инструменты требуют усиления. Что ни говори, а игроки не станут играть лучше, если не будет вестись счет.

На заре моей карьеры в банке-маркетмейкере состоялась встреча. Руководитель отдела информационной безопасности, в прошлом работавший в отделе внутреннего аудита и не испытывавший радости от назначения на новую должность, был чересчур резок даже по меркам нью-йоркского мира финансов. Свое выступление он начал не то чтобы мягко:

Вы, служба безопасности, настолько глупы, что не можете сказать мне:

• Насколько я в безопасности?

• В большей ли безопасности, чем был в то же время в прошлом году?

• Я трачу достаточное количество денег?

• Каково мое положение по сравнению с другими людьми моего уровня?

• Какие варианты перехода рисков у меня есть?

Двадцать пять лет спустя эти вопросы остаются актуальными. Ответы на них и подобные им можно получить только с помощью измерений. Вот почему нужна эта книга.

И даже если мы все согласны с причиной, настоящая ценность книги – в ответе не на вопрос «Почему?», а на вопрос «Как?». Как измерить, а затем выбрать нужный метод, как делать это последовательно и неоднократно и как двигаться вперед от одного метода к другому по мере совершенствования навыков?

Кто-то скажет, что обеспечить кибербезопасность невозможно, если вы столкнетесь с достаточно опытным противником. Так и есть, но это не важно. Наши противники в основном выбирают цели, которые дадут максимальный результат при затраченных усилиях. Это вежливый намек, что у вас, возможно, не получится противостоять самому целеустремленному противнику, для которого цель оправдывает любые средства, но определенно получится сделать так, чтобы другие цели казались гораздо привлекательнее вас. Как я уже говорил, игроки не станут играть лучше, если не будет вестись счет. Вот что предлагает данная книга – способ улучшить вашу игру.

Для этого нужны числа, ведь именно они являются единственными входными данными, как в инженерии, так и в логических рассуждениях. Не слова. И не цветовое кодирование. Если вас заботит собственное благополучие, если вам хочется быть независимыми и знать, каковы ваши позиции, то вы просто обязаны прочесть эту книгу от корки до корки. Ее текст понятен, объяснения просты, а возможность загрузить электронные таблицы не оставляет вам отговорок, чтобы не попытаться.

Убедительно ли я объяснил? Надеюсь, да.

Примечание

1. Daniel Geer, Jr., Kevin Soo Hoo, and Andrew Jaquith, “Information Security: Why the Future Belongs to the Quants,” IEEE Security & Privacy 1, no. 4 (July/August 2003): 32–40, geer.tinho.net/ieee/ieee.sp.geer.0307.pdf.

Предисловие

Стюарт Мак-Клар

Стюарт Мак-Клар – генеральный директор компании Cylance, бывший глобальный технический директор компании McAfee, а также ведущий автор серии книг «Секреты хакеров».

В университете профессора постоянно повторяли нам старую максиму: «Нельзя управлять тем, что невозможно измерить». Я, вчерашний подросток, каждый раз все никак не мог уловить ее смысл. Разумеется, на многочисленных занятиях по компьютерным наукам постоянно приходилось совершенствовать математические алгоритмы в программах, но я толком не понимал, как эти попытки количественной оценки могут пригодиться в управлении хоть чем-нибудь вообще, не говоря уже о киберпространстве.

Так я и строил карьеру в области информационных технологий и программирования, пытаясь найти применение своим уникальным талантам. Измерения в киберсфере меня совсем не привлекали, пока я не коснулся кибербезопасности. Мотивацией к поиску фундаментального способа измерить свои действия в области кибербезопасности стал извечный вопрос: «Защищены ли мы от атаки?»

Очевидный ответ на такой банальный, но вполне понятный вопрос: «Нет. Безопасность не бывает стопроцентной». И все же некоторые из вас отвечают так же, как и я временами, когда мне надоедает этот пустой вопрос: «Да, защищены». Почему? Потому, что на нелепые вопросы и ответы нелепые. Как нам в этом убедиться? Без метрик – никак.

По мере становления моей карьеры в области кибербезопасности сначала в компаниях InfoWorld и Ernst & Young, потом в основанной мной компании Foundstone, затем на руководящих должностях в компании McAfee, которая приобрела Foundstone, а сейчас в собственной компании Cylance у меня сформировалось своеобразное понимание старой фразы профессора, что нельзя управлять тем, что невозможно измерить. Пусть истинно объективной метрики не существует, но вполне возможно провести субъективные и локализованные измерения текущего уровня риска и вашего положения относительно вас самих в прошлом и других компаний вашего уровня.

Измерение рисков кибербезопасности, существующих в организации, – задача и без того нетривиальная, а когда требуется проводить количественные измерения вместо субъективных и качественных оценок, она становится даже пугающей.

В конечном счете для нас, специалистов в области безопасности, главными являются вопросы «С чего начать?» и «Как измерить эффективность и отдачу в сфере кибербезопасности?». Ответить на них возможно только с помощью количественных показателей. До сих пор область кибербезопасности с трудом поддавалась измерению. Помню, когда впервые спросили мое мнение о программе измерения риска безопасности, я ответил что-то вроде: «Нельзя измерить то, что не выражено количественно».

Авторы данной книги начали определять структуру и подбирать алгоритмы и метрики для того, что долгое время казалось невозможным или, по крайней мере, бесполезным в нашей сфере, – для измерения рисков безопасности. Наши измерения могут быть несовершенны, но мы можем определить набор стандартных метрик, обоснованных и поддающихся количественному измерению, а затем использовать те же самые показатели день за днем, чтобы убедиться, что ситуация улучшается. В этом и заключается главная ценность определения и применения набора показателей безопасности. Не надо быть совершенными. Надо всего лишь с чего-то начать и сравнивать свои показатели с теми, что были днем ранее.

Благодарности

Благодарим за помощь в написании книги:

Джека Джонса

Джека Фройнда

Джима Липкиса

Томаса Ли

Кристофера «Кипа» Бона

Скотта Стрэнски

Томаса Гирнюса

Джея Якобса

Сэма Сэвиджа

Тони Кокса

Майкла Мюррея

Патрика Хейма

Чен-Пин Ли

Майкла Сардарызадеха

Стюарта Мак-Клара

Рика Рэнкина

Антона Мобли

Винни Лю

Команду SIRA.org

Дэни Гира

Дэна Розенберга

Особая благодарность Бонни Норман и Стиву Абрахамсону за дополнительное редактирование.

Об авторах

Дуглас Хаббард – создатель метода прикладной информационной экономики и основатель компании Hubbard Decision Research. Он является автором одной из самых продаваемых на английском языке книг по статистике предприятий «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе»^[1] (How to Measure Anything: Finding the Value of «Intangibles» in Business), а также книг The Failure of Risk Management: Why It’s Broken and How to Fix It («Провал концепции управления рисками: Почему она не работает и как это исправить») и Pulse: The New Science of Harnessing Internet Buzz to Track Threats and Opportunities («Пульс: отслеживание угроз и возможностей в информационном шуме»). Его книги используются для обучения по многим дисциплинам в крупных университетах, они переведены на восемь языков, а их продажи превысили 100 000 копий. Опыт консультирования Хаббарда в области количественных характеристик анализа решений и проблем измерения насчитывает в общей сложности 27 лет и охватывает самые разные сферы, в том числе фармацевтику, страхование, банковское дело, коммунальный сектор, кибербезопасность, посредничество для развивающихся стран, горнодобывающую отрасль, федеральное правительство и правительства штатов, развлекательные СМИ, военное снабжение и промышленность. Статьи Хаббарда опубликованы в ряде периодических изданиях, среди которых Nature, The IBM Journal of R&D, Analytics, OR/MS Today, InformationWeek и CIO Magazine.

Ричард Сирсен – исполнительный директор по технологиям с почти 20-летним опытом работы в области информационной безопасности, управления рисками и разработки продуктов. В настоящее время является генеральным директором по вопросам кибербезопасности и конфиденциальности в компании GE Healthcare. Много лет назад, до начала карьеры в сфере технологий, он получил классическое музыкальное образование, если точнее, по курсу гитары. Сейчас Ричард живет с семьей в районе залива Сан-Франциско, все его родные тоже играют на струнных инструментах. В свободное время, которого немного, он медленно, но верно работает над получением степени магистра наук по прогностической аналитике в Северо-Западном университете США. Рассчитывает успеть до пенсии, после чего, по его мнению, будет неплохо снова заняться игрой на гитаре.

Введение

Почему эта книга и почему сейчас?

Представленная книга – первое продолжение серии, начатой другой очень успешной книгой Дугласа Хаббарда «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе». Для будущих книг этого цикла рассматривались темы вроде «Управление проектами» или определенные сферы деятельности, например здравоохранение. Требовалось лишь выбрать хорошую идею из длинного списка вариантов.

Риски кибербезопасности идеально подходили для книги новой серии. Тема чрезвычайно актуальна и изобилует проблемами измерений, решить которые часто представляется невозможным. Также нам она кажется крайне важной как для отдельного человека (ведь мы пользуемся платежными системами, у нас есть медицинские карты, данные клиентов, интеллектуальная собственность и т. д.), так и для экономики в целом.

Другим фактором, повлиявшим на выбор темы, стало появление подходящего соавтора. Так как Даг Хаббард – специалист по методам измерения – не может одновременно быть экспертом в любом из потенциальных ответвлений серии, он планировал найти соавтора, который хорошо разбирался бы в конкретной заданной тематике. Хаббарду повезло встретить энтузиаста-добровольца Ричарда Сирсена, имеющего многолетний опыт работы на самых высоких должностях в области управления кибербезопасностью в нескольких крупнейших организациях.

Итак, актуальность, сложность в проведении измерений, широкая и постоянно растущая целевая аудитория и наличие достойного соавтора сделали кибербезопасность идеальным вариантом.

О чем эта книга?

Несмотря на то что книга посвящена рискам кибербезопасности, у нее все же много общего с первым изданием серии «Как измерить все, что угодно», включая рассмотрение следующих вопросов:

• Как принимать наилучшие решения в случаях, когда вы не уверены в настоящем и будущем?

• Как снизить неопределенность даже в тех случаях, когда кажется, что данные недоступны или что цели измерения двусмысленны и неосязаемы?

В частности, в этой книге предлагается альтернатива набору глубоко укоренившихся методов оценки рисков, которые в настоящее время широко используются в сфере кибербезопасности, но не имеют в своей основе математических вычислений или научных методов. С нашей точки зрения, такие методы лишь мешают принятию решений по проблеме, что становится критически важной. И мы утверждаем, что методы, основанные на реальных доказательствах улучшения принимаемых решений, не только практичны, но уже применялись для широкого круга одинаково сложных проблем, в том числе и в кибербезопасности. Мы покажем, что можно начать с простых приемов, а затем развить их до необходимого уровня и при этом избежать проблем, присущих матрицам и шкалам риска. Так что не останется причин тотчас же не перейти на использование более эффективных методов.

Чего следует ожидать

Следует ожидать, что постепенно эффективность принимаемых решений повысится, что будет отражено количественно. В частности, это коснется ключевых решений, принимаемых в ситуации с высокой долей неопределенности, последствия которых при неверном выборе могут быть катастрофическими. Мы считаем, что безопасность охватывает все эти проблемы.

Читателям не обязательно быть экспертами по управлению рисками или кибербезопасности. Методы, применяемые нами в сфере безопасности, можно использовать и во многих других областях. Хотя, конечно, мы надеемся, что наши методики помогут прежде всего специалистам в сфере кибербезопасности более успешно строить защиту и разрабатывать ее стратегии. А также мы надеемся, что благодаря книге многие руководители начнут лучше осознавать риски безопасности и принимать более эффективные решения.

Подходит ли мне эта книга?

Если вы хотите быть уверены, что эта книга для вас, ниже описана целевая аудитория, на которую мы ориентировались.

• Вы – специалист, принимающий решения и стремящийся повысить число верно принятых важных решений (так чтобы это можно было проверить количественно).

• Вы – специалист по безопасности, желающий усовершенствовать свою стратегию борьбы со злоумышленниками.

• Вы не относитесь ни к одной из названных категорий, но хотите лучше понять область кибербезопасности и/или управления рисками, используя доступные количественные методы.

Профессиональные количественные аналитики могут пропустить разделы, посвященные исключительно анализу. Профессиональные хакеры могут не читать разделы о безопасности. Мы часто будем рассматривать хорошо знакомые вам области с новой точки зрения или, наоборот, повторять очевидное, поэтому читайте так, как будет удобнее.

Одних технологий недостаточно

Нам необходимо реже проигрывать в борьбе с преступниками. Или хотя бы проигрывать элегантнее, а восстанавливаться быстрее. Многие считают, что для этого нужны более совершенные технологии. Они требуют больше инноваций от поставщиков в области безопасности, даже несмотря на то что частота нарушений при этом не сокращается. На наш взгляд, для успешного противостояния угрозам безопасности нужно что-то не менее (а может, и более) важное, чем инновационные технологии. И под этим «что-то» подразумевается более эффективный способ количественного рассмотрения рисков.

Новые инструменты для тех, кто принимает решения

Нам нужны специалисты, которые последовательно принимали бы оптимальные решения благодаря повышению качества анализа, а также знали бы, как справляться с неопределенностью перед лицом надвигающейся катастрофы. Чтобы этого достичь, требуется инструментарий, элементы которого иногда называют современными модными терминами, такими как прогностическая аналитика, но в целом он включает в себя и науку о принятии решений, и анализ решений, и даже надлежащим образом применяемую статистику.

Как устроена эта книга

Первая часть закладывает основу для рассуждения о неопределенности в области безопасности. Здесь сформулированы определения таких понятий, как безопасность, неопределенность, измерения и управление риском, а также объясняется опасность неправильного их понимания. Нами будет обоснована необходимость более совершенного подхода к измерению риска кибербезопасности и, если уж на то пошло, к измерению эффективности самого анализа рисков кибербезопасности. Кроме того, мы познакомим читателей с весьма простым количественным методом, который может послужить отправной точкой, даже если вам очень не нравится все сложное.

Во второй части подробно раскрывается последовательность шагов для реализации очень простой количественной модели. Мы опишем, как усложнить эту модель и использовать даже минимальное количество данных для ее совершенствования.

Наконец, в третьей части речь пойдет о том, что необходимо для внедрения рассмотренных методов на практике. А кроме того, мы обсудим влияние данной книги на всю «экосистему» кибербезопасности, в том числе на организации по стандартизации и поставщиков.

Часть I. Почему для оценки риска в сфере кибербезопасности необходимы более эффективные инструменты измерения

Глава 1. Самая нужная «заплатка» в кибербезопасности

Ничто так не обманчиво, как слишком очевидные факты.

А. Конан Дойл. Тайна Боскомской долины^[2]

После 11 сентября 2001 года усиление мер безопасности вылилось в тщательные досмотры в аэропортах, черные списки пассажиров, появление воздушных маршалов и уничтожение лагерей подготовки террористов. Однако всего 12 лет спустя ФБР стало придавать особое значение совсем другой возникшей проблеме: киберугрозам. Директор ФБР Джеймс Б. Коми, давая 14 ноября 2013 года¹ показания в Комитете Сената США по внутренней безопасности и правительственным делам, заявил:

…мы ожидаем, что в будущем ресурсы, предназначенные для борьбы с киберугрозами, окажутся равны или даже превысят ресурсы, выделяемые на борьбу с терроризмом.

К такому смещению приоритетов нельзя не отнестись серьезно. Сколько организаций в 2001 году, готовясь противостоять угрозам, которые они считали основными в то время, могли бы представить себе, что киберугрозы не только сравняются с более традиционными террористическими угрозами, но и превзойдут их по степени опасности? А сейчас, на момент написания книги, это уже воспринимается как данность.

Следует признать, что люди, не имеющие отношения к миру кибербезопасности, могут подумать, что ФБР сеет семена страха, неуверенности и сомнений, преследуя политические цели. Но источников страха, неопределенности и сомнений, кажется, уже и так немало, зачем же тогда выделять киберугрозы? Для экспертов по кибербезопасности, разумеется, все вполне очевидно. Мы находимся под ударом, и ситуация, безусловно, станет еще хуже, прежде чем наступит перелом к лучшему.

Ресурсы при этом все еще ограничены. Поэтому специалисты в области кибербезопасности должны уметь эффективно определять отдачу от снижения риска. Неважно, удастся ли точно ее рассчитать, достаточно оценить, является ли выбранная стратегия защиты более рациональным вариантом распределения ресурсов, чем другие. Проще говоря, необходимо измерить и выразить в денежном эквиваленте риск и его снижение. Для этого специалистам не помешает инструкция по распределению ограниченных ресурсов для противодействия все возрастающим киберугрозам и использованию этих ресурсов для оптимального снижения степени риска. Поэтому здесь будут рассмотрены методы:

• измерения самих методов оценки риска;

• измерения степени снижения риска с помощью конкретного метода защиты, контроля, смягчения последствий или стратегии (использование более эффективных методов, как говорилось в предыдущем пункте);

• постоянного и измеримого повышения эффективности применяемых подходов за счет использования более продвинутых методов, которые читатели смогут взять на вооружение, когда будут готовы.

Давайте теперь уточним, чем наша книга не является. В ней не говорится о технической стороне безопасности. Если вам нужна книга об «этичном взломе», вы обратились не по адресу. Здесь не будет обсуждений, как добиться переполнения стека, обойти алгоритмы шифрования или внедрить SQL-код. Если подобные вопросы и будут подниматься, то только в контексте рассмотрения их как параметров в модели рисков.

И все же не разочаровывайтесь, если вы являетесь техническим специалистом. Мы обязательно затронем детали аналитики применительно к безопасности. Взглянем на них с позиции аналитика или руководителя, пытающегося сделать наилучший выбор в контексте возможных потерь в будущем. А пока давайте оценим масштаб имеющейся проблемы, рассмотрим, как решаем ее сейчас, и наметим направление для улучшений, изложенных в остальной части книги.