Январский выпуск Forbes Украина предложил использовать методы оценки финансовых опционов в оценке корпоративных проектов вместо классических показателей (например, NPV).
Предложение базировалось на признании изменчивости экономических условий, а значит большой волатильности фактического NPV проектов по сравнению с плановым. В ИБ ровно то же самое - факт очень часто расходится с планом (поэтому многие мудрые CISO делают весьма размытые планы).
Применим же логику одного методов оценки опционов что попроще (предлагаемый ВШЭ), а именно биномиальную модель оценки опционов, которая фактически учитывает разные сценарии формирования конечной цены. Например, планируемая цена опциона будет равна 100 если с вероятностью 30% наш опцион будет 300 (300*0,3 = 90) и с вероятностью 70% наш опцион будет опцион будет 14 (14*0,7=10).
Этот вроде бы фантастический сценарий отлично описывает разницу между целевым фишингом и каким-нибудь спамом "перевыпустите свою кредитку в банке JPMorgan". В первом случае нас взломают почти наверняка, и задача состоит в управлении ущербом, во втором мы можем даже не заметить такие письма среди тысяч зафильтрованных антиспамом сообщений.
Однако, перейдем к практическому внедрению биноминальной модели в оценку рисков ИБ. Возьмем классическую формулу оценки риска Риск = Ущерб Х Вероятность инцидента. Оставим в покое Ущерб, и внедрим биноминальную модель в Вероятность, В = Угроза Х Уязвимость Х Защитная мера.
Обычно наиболее непонятными элементами являются Угроза (мы точно знаем кто нас и когда атакует? PayPal и платежные системы не были готовы к атакам Анонимуса в конце 2010) и Защитная мера (часто зависит от волатильного человеческого фактора). Поэтому применим нашу модель именно к этим моделям, возьмем вектор атаки "Засылка фишингового письма" и у нас получится 4 варианта:
Применение биноминальной модели дает 5 бенефитов для системы ИБ:
Предложение базировалось на признании изменчивости экономических условий, а значит большой волатильности фактического NPV проектов по сравнению с плановым. В ИБ ровно то же самое - факт очень часто расходится с планом (поэтому многие мудрые CISO делают весьма размытые планы).
Применим же логику одного методов оценки опционов что попроще (предлагаемый ВШЭ), а именно биномиальную модель оценки опционов, которая фактически учитывает разные сценарии формирования конечной цены. Например, планируемая цена опциона будет равна 100 если с вероятностью 30% наш опцион будет 300 (300*0,3 = 90) и с вероятностью 70% наш опцион будет опцион будет 14 (14*0,7=10).
Этот вроде бы фантастический сценарий отлично описывает разницу между целевым фишингом и каким-нибудь спамом "перевыпустите свою кредитку в банке JPMorgan". В первом случае нас взломают почти наверняка, и задача состоит в управлении ущербом, во втором мы можем даже не заметить такие письма среди тысяч зафильтрованных антиспамом сообщений.
Однако, перейдем к практическому внедрению биноминальной модели в оценку рисков ИБ. Возьмем классическую формулу оценки риска Риск = Ущерб Х Вероятность инцидента. Оставим в покое Ущерб, и внедрим биноминальную модель в Вероятность, В = Угроза Х Уязвимость Х Защитная мера.
Обычно наиболее непонятными элементами являются Угроза (мы точно знаем кто нас и когда атакует? PayPal и платежные системы не были готовы к атакам Анонимуса в конце 2010) и Защитная мера (часто зависит от волатильного человеческого фактора). Поэтому применим нашу модель именно к этим моделям, возьмем вектор атаки "Засылка фишингового письма" и у нас получится 4 варианта:
- Угроза среднего уровня (обычный спам), Защитная мера эффективна (пользователи бдят)
- Угроза среднего уровня (обычный спам), Защитная мера неэффективна (не бдят)
- Угроза высокого уровня (целевая атака), Защитная мера эффективна (пользователи бдят)
- Угроза высокого уровня (целевая атака), Защитная мера неэффективна (не бдят)
- 2*0,1 = 0,2, вероятность такого сценария оценим в 45%, ведь вероятность обычной атаки среди всех атак 90%, а вероятность бдительности пользователей при такой атаке 50%
- 2*1 = 2, вероятность сценария 18%, так как лишь 20% - вероятность, что все пользователи не бдят на таком виде атаки
- 3*0,1=0,3, вероятность сценария 3%, ведь 10% вероятности целевой атаки умножаются на 30% - вероятности достаточной бдительности пользователей
- 3*1=3, вероятность сценария 8%, так как 80% - вероятность, что пользователи не бдят при такой атаке
- 0,2*0,61 = 0,12
- 2*0,24 = 0,48
- 0,3*0,04 = 0,01
- 3*0,11 =0,33
Применение биноминальной модели дает 5 бенефитов для системы ИБ:
- Позволяет точнее оценить риск, попробовать уйти от когнитивного искажения
- Позволяет понять драйверы и структуру риска (например, что ключевая проблема пользователи) - выбрать эффективные контрмеры (вместо антиспама - обучение пользователей)
- Позволяет сделать оценку риска понятной и прозрачной для бизнеса
- Позволяет визуализировать гипотезы, что лежат в основе оценки риска
- Позволяет повысить качество оценки риска, вычленив компоненты которые можно отдать на оценку другим экспертам\подразделениям (например, вероятность бдения пользователей хорошо знает helpdesk)
Комментариев нет:
Отправить комментарий