Как оценить риски в кибербезопасности. Лучшие инструменты и практики

После 11 сентября 2001 года усиление мер безопасности вылилось в тщательные досмотры в аэропортах, черные списки пассажиров, появление воздушных маршалов и уничтожение лагерей подготовки террористов. Однако всего 12 лет спустя ФБР стало придавать особое значение совсем другой возникшей проблеме: киберугрозам. Директор ФБР Джеймс Б. Коми, давая 14 ноября 2013 года¹ показания в Комитете Сената США по внутренней безопасности и правительственным делам, заявил:

…мы ожидаем, что в будущем ресурсы, предназначенные для борьбы с киберугрозами, окажутся равны или даже превысят ресурсы, выделяемые на борьбу с терроризмом.

К такому смещению приоритетов нельзя не отнестись серьезно. Сколько организаций в 2001 году, готовясь противостоять угрозам, которые они считали основными в то время, могли бы представить себе, что киберугрозы не только сравняются с более традиционными террористическими угрозами, но и превзойдут их по степени опасности? А сейчас, на момент написания книги, это уже воспринимается как данность.

Следует признать, что люди, не имеющие отношения к миру кибербезопасности, могут подумать, что ФБР сеет семена страха, неуверенности и сомнений, преследуя политические цели. Но источников страха, неопределенности и сомнений, кажется, уже и так немало, зачем же тогда выделять киберугрозы? Для экспертов по кибербезопасности, разумеется, все вполне очевидно. Мы находимся под ударом, и ситуация, безусловно, станет еще хуже, прежде чем наступит перелом к лучшему.

Ресурсы при этом все еще ограничены. Поэтому специалисты в области кибербезопасности должны уметь эффективно определять отдачу от снижения риска. Неважно, удастся ли точно ее рассчитать, достаточно оценить, является ли выбранная стратегия защиты более рациональным вариантом распределения ресурсов, чем другие. Проще говоря, необходимо измерить и выразить в денежном эквиваленте риск и его снижение. Для этого специалистам не помешает инструкция по распределению ограниченных ресурсов для противодействия все возрастающим киберугрозам и использованию этих ресурсов для оптимального снижения степени риска. Поэтому здесь будут рассмотрены методы:

• измерения самих методов оценки риска;

• измерения степени снижения риска с помощью конкретного метода защиты, контроля, смягчения последствий или стратегии (использование более эффективных методов, как говорилось в предыдущем пункте);

• постоянного и измеримого повышения эффективности применяемых подходов за счет использования более продвинутых методов, которые читатели смогут взять на вооружение, когда будут готовы.

Давайте теперь уточним, чем наша книга не является. В ней не говорится о технической стороне безопасности. Если вам нужна книга об «этичном взломе», вы обратились не по адресу. Здесь не будет обсуждений, как добиться переполнения стека, обойти алгоритмы шифрования или внедрить SQL-код. Если подобные вопросы и будут подниматься, то только в контексте рассмотрения их как параметров в модели рисков.

И все же не разочаровывайтесь, если вы являетесь техническим специалистом. Мы обязательно затронем детали аналитики применительно к безопасности. Взглянем на них с позиции аналитика или руководителя, пытающегося сделать наилучший выбор в контексте возможных потерь в будущем. А пока давайте оценим масштаб имеющейся проблемы, рассмотрим, как решаем ее сейчас, и наметим направление для улучшений, изложенных в остальной части книги.

Глобальная поверхность атаки

Государства, организованная преступность, хактивистские группировки и инсайдеры хотят заполучить наши секреты, наши деньги и нашу интеллектуальную собственность, а некоторые мечтают о нашем полном уничтожении. Звучит драматично? Что ж, если мы верно поняли, ФБР рассчитывает потратить на защиту нас от киберугроз столько же или больше, чем на защиту от тех, кто превращает самолеты, машины, скороварки и даже людей в бомбы. Так как вы читаете эту книгу, то, вероятно, уже осознаете серьезность ситуации. Тем не менее разъясним этот момент еще раз, хотя бы для того, чтобы помочь тем, кто уже разделяет данную точку зрения, доказывать свою правоту остальным.

Общемировое исследование рабочей силы в области информационной безопасности, проведенное в 2015 году с участием более 14 000 специалистов по вопросам безопасности, из которых 1800 являлись федеральными служащими, показало, что мы не просто несем потери, мы отступаем:

Учитывая объем усилий, потраченных за последние два года на повышение готовности федеральных систем к обеспечению безопасности, и общую позицию государства в вопросах безопасности, мы ожидали увидеть очевидный прогресс. Данные же показали, что на самом деле был сделан шаг назад.

(ISC)² о результатах исследования, 2015 год³

Данные из других источников подтверждают этот мрачный вывод. Страховой рынок Соединенного Королевства, Лондонский Ллойд, подсчитал, что кибератаки обходятся миру в 400 млрд долл. в год⁴. В 2014 году был скомпрометирован 1 млрд записей с личными данными пользователей, из-за чего журнал Forbes назвал его «годом взлома данных»⁵. К сожалению, название, вероятно, было дано преждевременно: ситуация запросто может ухудшиться.

Более того, основатель и глава компании XL Catlin, крупнейшего страховщика Лондонского Ллойда, заявил, что кибербезопасность – «самый большой и серьезный системный риск», с которым ему приходилось сталкиваться за 42 года работы в сфере страхования⁶. Потенциальные уязвимости широко используемого программного обеспечения, взаимосвязанный доступ к сети у компаний, поставщиков и клиентов, а также возможность осуществления масштабных скоординированных атак могут сильно повлиять не только на отдельную крупную компанию вроде Anthem, Target или Sony. Представители XL Catlin допускают вероятность одновременного воздействия на множество крупных организаций, которое скажется на всей экономике. По их мнению, если в течение короткого промежутка времени поступят обращения с несколькими значительными страховыми претензиями, то страховщикам будет не по силам покрыть все расходы.

Что вызывает такой резкий рост числа взломов и почему ожидается увеличение их количества? Все дело в поверхности атаки (attack surface). Обычно под ней понимают совокупность всех уязвимостей информационной системы. Поверхность атаки раскрывает ценную информацию ненадежным источникам. Не нужно быть профессионалом в области безопасности, чтобы это понять. У вашего дома, банковского счета, семьи, личности есть поверхность атаки. Если вы пользуетесь защитой от кражи личных данных, предоставляемой федеральным служащим или клиентам компаний Home Depot, Target, Anthem и Neiman Marcus, то получаете вы ее благодаря поверхности атаки, ведь эти компании поместили цифровые сведения о вас в зоне досягаемости преступников. Прямо или косвенно этому способствовал интернет. Перемены произошли быстро и без ведома всех заинтересованных сторон (организаций, служащих, клиентов или граждан).

Различные определения поверхности атаки описывают пути входа и выхода из системы, ее средства защиты, а иногда ценность имеющихся в системе данных^{7, 8}. В одних случаях термином обозначают поверхность атаки системы, а в других – поверхность атаки сети, но все эти определения слишком узкие даже для одной конкретной компании. Поэтому можно выделить поверхность атаки предприятия, которая включает не только все системы и сети в данной организации, но и воздействие третьих лиц. Речь идет обо всех в экосистеме предприятия, в том числе основных клиентах, поставщиках и, возможно, государственных учреждениях. Напомним, что в случае взлома компании Target источником уязвимости стала компания – поставщик систем отопления, вентиляции и кондиционирования воздуха.

Пожалуй, общая поверхность атаки, охватывающая всех граждан, потребителей и правительства, является своего рода глобальной поверхностью атаки: совокупным набором рисков кибербезопасности во всех системах, сетях и организациях. И с этим набором рисков мы сталкиваемся постоянно при оплате покупок банковской картой, просмотре сайтов в интернете, получении медицинских пособий или даже просто работая. Эта глобальная поверхность атаки – макроуровневое явление, возникновение которого обусловлено по меньшей мере четырьмя макроуровневыми причинами: увеличением числа пользователей по всему миру, разнообразием пользователей в мире, ростом числа обнаруженных и эксплуатируемых уязвимостей из расчета на каждый визит в сеть каждого пользователя, а также более тесным сетевым взаимодействием между организациями, что приводит к риску «каскадного отказа».

• Увеличение числа пользователей сети Интернет. Число интернет-пользователей во всем мире выросло в шесть раз за период с 2001 по 2014 год (от 500 млн до 3 млрд). Может быть неочевидно, что количество пользователей является параметром в некоторых поверхностях атаки, но есть другие показатели поверхности атаки, касающиеся ценности цели, которая частично связана с количеством пользователей (например, получение доступа к большему числу личных записей)⁹. Кроме того, в мировом масштабе увеличение числа интернет-пользователей действует как важный мультипликатор для остальных факторов.

• Число заходов каждого пользователя на онлайн-ресурсы. Разнообразие вариантов использования интернета, общее время, проведенное в сети, использование банковских карт и различных услуг, требующих хранения персональных данных для автоматизированных переводов средств, – все эти показатели постоянно растут. Для каждого человека. По всему миру. Например, с 2001 года число одних только веб-сайтов росло в пять раз быстрее, чем количество пользователей, достигнув к 2014 году 1 млрд. Устройства с выходом в интернет – еще один потенциальный способ использования Всемирной паутины даже без непосредственного участия человека. Согласно одному из прогнозов компании Gartner об интернете вещей, «количество подключенных к интернету устройств в 2015 году должно было вырасти на 30 % по сравнению с 2014-м и составить 4,9 млрд, а к 2020-му – достичь 25 млрд»¹⁰. Ключевой проблемой здесь является отсутствие согласованной системы безопасности в этих разработках. Консультативный комитет по связи в системе национальной безопасности (NSTAC) определил, что «осталось совсем небольшое окно, пока еще можно обеспечить функционирование интернета вещей таким образом, чтобы максимизировать безопасность и минимизировать риски, но это окно быстро закрывается. Если страна этого не сделает, ей придется бороться с последствиями в течение нескольких поколений»¹¹.

• Рост числа уязвимостей. Естественным следствием двух предыдущих факторов является увеличение количества способов использования таких возможностей со злым умыслом. Это происходит из-за роста количества систем и устройств с потенциальными уязвимостями, даже если число уязвимостей в одном устройстве не увеличивается. В любом случае будет расти количество обнаруженных уязвимостей, отчасти потому, что все больше людей их активно ищет и использует. И все чаще среди них встречаются хорошо организованные и хорошо финансируемые группы, работающие на различные государства.

• Возможность крупного каскада взломов. Все больше крупных организаций отмечают, что при более тесном взаимодействии эффективность работы повышается. Тот факт, что компанию Target взломали через ее поставщика, повышает вероятность того, что одна и та же атака может затронуть несколько организаций. У компаний вроде Target множество поставщиков, а у некоторых из них, в свою очередь, есть множество крупных корпоративных и правительственных клиентов. Составить карту связей такой киберэкосистемы практически невозможно, ведь для этого все задействованные организации должны будут разгласить конфиденциальную информацию. Вот почему для данного фактора не существует общепринятых метрик, которые можно было бы использовать, как в трех предыдущих случаях. Но есть подозрения, что большинство крупных организаций отделены друг от друга всего одним или двумя уровнями связей.

Кажется разумным, что в перечисленных четырех тенденциях более ранние усиливают последующие. В таком случае риск возникновения крупного каскада взломов может увеличиваться быстрее, чем происходит рост первых двух факторов.

Какова наша исходная и очевидная гипотеза? Поверхность атаки и взломы коррелируют. Если это так, самое страшное еще впереди. Мы движемся к историческому росту поверхности атаки и, следовательно, взлому, который затмит все случавшееся до сих пор. С учетом этого комментарии директора ФБР и заявления страховщиков Лондонского Ллойда нельзя считать паникерскими. Даже после таких мощных взломов, каким подверглись компании Target, Anthem и Sony, полагаем, «Большого взлома» мы еще не видели.

Ответ на киберугрозу

Ситуация кажется безвыходной, поскольку успех в бизнесе зависит от открытости. Банковские операции, покупки, медицинское обслуживание и даже трудоустройство связаны с раскрытием данных. Чтобы проводить транзакции, приходится сообщать свои данные, а чем активнее бизнес, тем больше поверхность атаки.

Когда данные открыты, на вас могут обратить внимание и повлиять неожиданными и злонамеренными способами. В целях защиты специалисты по кибербезопасности пытаются «укрепить» системы, т. е. удалить все несущественное, включая программы, пользователей, данные, привилегии и уязвимости. Укрепление сокращает поверхность атаки, но не устраняет ее. Однако даже такое частичное сокращение поверхности атаки требует значительных ресурсов, и, согласно текущим тенденциям, потребность в них будет только расти.

В целом внимание руководителей к рискам кибербезопасности возросло, а за вниманием следуют ресурсы. Советы директоров начинают задавать вопросы вроде «Взломают ли нас?», «Лучше ли мы, чем Sony?» или «Тратим ли мы достаточно на защиту от актуальных рисков?». Эти вопросы в итоге приводят к тому, что в некоторых компаниях вводится должность руководителя отдела информационной безопасности. Впервые она появилась в списке журнала Fortune (Fortune 100) более 20 лет назад, но с тех пор не было особого роста количества людей, занимающих эту должность. Журнал CFO Magazine признал, что еще в 2008 году должность руководителя отдела информационной безопасности посчитали бы «излишней»¹². Фактически крупные компании еще только начинают озадачиваться вопросом найма первых руководителей отдела информационной безопасности, и многие – лишь после того, как подвергнутся крупному взлому. К моменту написания этой книги компания Target наконец-то наняла руководителя отдела информационной безопасности¹³, то же самое сделала и компания JPMorgan, после того как ее взломали¹⁴.

Корпорации не только задают перечисленные выше вопросы и создают руководящие должности для специалистов по информационной безопасности, но и демонстрируют готовность (возможно, меньшую, чем хотелось бы специалистам по кибербезопасности) выделять серьезные ресурсы на решение этой проблемы.

• Сразу после терактов 11 сентября ежегодный рынок кибербезопасности в США составлял 4,1 млрд долл.¹⁵ К 2015 году бюджет министерства обороны США, выделяемый на информационные технологии, вырос до 36,7 млрд долл.¹⁶

• Это без учета 1,4 млрд долл. инвестиций в стартапы, занимающиеся кибербезопасностью¹⁷.

• Бюджеты, выделяемые на кибербезопасность, растут примерно в два раза быстрее, чем бюджеты сферы информационных технологий в целом¹⁸.

И как же организации используют новую руководящую должность и приток денег на обеспечение кибербезопасности? В основном они ищут уязвимости, выявляют атаки и устраняют нарушения. Конечно, размер поверхности атаки и объем уязвимостей, атак и нарушений означает, что организациям приходится делать трудный выбор. Не все удается исправить, остановить, восстановить и т. д., значит, обязательно будут определенные приемлемые (допустимые) потери. В документах часто не указано, какие риски являются приемлемыми, а когда они все же расписаны, формулировки обычно обтекаемы и не поддаются количественной оценке. Их нельзя толком использовать в расчетах для определения обоснованности тех или иных расходов.

В отношении уязвимостей это привело к появлению так называемого управления уязвимостями, а в плане атак – к управлению событиями, связанными с безопасностью, которое еще обобщенно называют управлением безопасностью. Совсем недавно добавилась «разведка угроз» и, соответственно, новое словосочетание «управление угрозами». Все они относятся к сфере тактических решений в области безопасности, в то время как руководителю необходимо представление о дальнейших действиях. Так каким образом осуществляется управление безопасностью? Как расставляются приоритеты распределения значительных, но ограниченных ресурсов при расширении списка уязвимостей? Другими словами, как организации принимают решения по кибербезопасности, связанные с распределением ограниченных ресурсов для борьбы с такими неопределенными и растущими рисками?

Безусловно, важную роль здесь играет профессиональное чутье, что не редкость в управленческой деятельности. Но при более систематическом подходе подавляющее большинство организаций, озабоченных проблемой кибербезопасности, прибегает к определенному методу подсчета, при котором риски отображаются на «матрице». Так работают и с проблемами тактического уровня, и со стратегическими, суммарными рисками. Например, если у приложения множество уязвимостей, все они объединяются в одну оценку. Затем аналогичными методами группы приложений объединяются в портфель, и строится матрица для него и других портфелей. Процесс агрегирования при этом, как правило, представляет собой некую форму выдуманной математики, неведомой ни актуариям, ни статистикам, ни математикам.

В одном широко применяемом подходе «вероятность» и «воздействие» оценивают субъективно, скажем по шкале от 1 до 5, и эти два значения используются для указания конкретного риска на матрице (называют ее по-разному: матрицей рисков, тепловой картой, картой рисков и т. д.). После матрицу часто дополнительно делят на секции низкого, среднего и высокого риска, подобно тому как показано на рис. 1.1. События, характеризующиеся высокой вероятностью и высокой степенью воздействия, окажутся в правом верхнем углу «высокого риска», в то время как события с низкой вероятностью и слабым воздействием будут в противоположном углу «низкого риска». Идея в том, что чем больше число, тем важнее событие и тем раньше нужно обратить на него внимание. Возможно, интуитивно такой подход кажется вам разумным, если так, то вы не одиноки.

Продолжить чтение