среда, 10 февраля 2016 г.

Опыт финансовых рынков: Биномиальная модель оценки рисков ИБ

    Январский выпуск Forbes Украина предложил использовать методы оценки финансовых опционов в оценке корпоративных проектов вместо классических показателей (например, NPV).
    Предложение базировалось на признании изменчивости экономических условий, а значит большой волатильности фактического NPV проектов по сравнению с плановым. В ИБ ровно то же самое - факт очень часто расходится с планом (поэтому многие мудрые CISO делают весьма размытые планы).

    Применим же логику одного методов оценки опционов что попроще (предлагаемый ВШЭ), а именно биномиальную модель оценки опционов, которая фактически учитывает разные сценарии формирования конечной цены. Например, планируемая цена опциона будет равна 100 если с вероятностью 30% наш опцион будет 300 (300*0,3 = 90) и с вероятностью 70% наш опцион будет опцион будет 14 (14*0,7=10).
    Этот вроде бы фантастический сценарий отлично описывает разницу между целевым фишингом и каким-нибудь спамом "перевыпустите свою кредитку в банке JPMorgan". В первом случае нас взломают почти наверняка, и задача состоит в управлении ущербом, во втором мы можем даже не заметить такие письма среди тысяч зафильтрованных антиспамом сообщений.
    Однако, перейдем к практическому внедрению биноминальной модели в оценку рисков ИБ. Возьмем классическую формулу оценки риска Риск = Ущерб Х Вероятность инцидента. Оставим в покое Ущерб, и внедрим биноминальную модель в Вероятность, В = Угроза Х Уязвимость Х Защитная мера.
    Обычно наиболее непонятными элементами являются Угроза (мы точно знаем кто нас и когда атакует? PayPal и платежные системы не были готовы к атакам Анонимуса в конце 2010) и Защитная мера (часто зависит от волатильного человеческого фактора). Поэтому применим нашу модель именно к этим моделям, возьмем вектор атаки "Засылка фишингового письма" и у нас получится 4 варианта:
  1. Угроза среднего уровня (обычный спам), Защитная мера эффективна (пользователи бдят)
  2. Угроза среднего уровня (обычный спам), Защитная мера неэффективна (не бдят)
  3. Угроза высокого уровня (целевая атака), Защитная мера эффективна (пользователи бдят)
  4. Угроза высокого уровня (целевая атака), Защитная мера неэффективна (не бдят)
    Для возможности проведения качественных рассчетов определим контекст - мы не банк, не компания федерального уровня, мы обычный свечной заводик. Присвоим среднему и высокому уровню Угрозы коэффициенты 2 и 3, неэффективной Защитной мере коэффициент 1, эффективной - 0,1. Получим следующие 4 рассчета вероятности:
  1. 2*0,1 = 0,2, вероятность такого сценария оценим в 45%, ведь вероятность обычной атаки среди всех атак 90%, а вероятность бдительности пользователей при такой атаке  50%
  2. 2*1 = 2, вероятность сценария 18%, так как лишь 20% - вероятность, что все пользователи не бдят на таком виде атаки
  3. 3*0,1=0,3, вероятность сценария 3%, ведь 10% вероятности целевой атаки умножаются на 30% - вероятности достаточной бдительности пользователей
  4. 3*1=3, вероятность сценария 8%, так как 80% - вероятность, что пользователи не бдят при такой атаке
    Нормировав вероятности сценариев к 100% (умножив на 1,35, ведь у нас сумма 74%) и учтя нормированные вероятности получим слагаемые итогового риска:
  1. 0,2*0,61 = 0,12
  2. 2*0,24 = 0,48
  3. 0,3*0,04 = 0,01
  4. 3*0,11  =0,33
    В итоге интуитивное понимание "нас поломают" разбивается о простую математику, и итоговая вероятность взлома низкая (меньше 1 по шкале от 1 до 3). Но мы не просто понимаем что она "низкая", мы понимаем когда она может встать высокой (например, мы выйдем на федеральный уровень) и можем удерживать ее низкой за счет контроля эффективности защитной меры (обучая пользователей и проверяя их бдительность).
    Применение биноминальной модели дает 5 бенефитов для системы ИБ:
  1. Позволяет точнее оценить риск, попробовать уйти от когнитивного искажения
  2. Позволяет понять драйверы и структуру риска (например, что ключевая проблема пользователи) - выбрать эффективные контрмеры (вместо антиспама - обучение пользователей)
  3. Позволяет сделать оценку риска понятной и прозрачной для бизнеса
  4. Позволяет визуализировать гипотезы, что лежат в основе оценки риска
  5. Позволяет повысить качество оценки риска, вычленив компоненты которые можно отдать на оценку другим экспертам\подразделениям (например, вероятность бдения пользователей хорошо знает helpdesk)

Комментариев нет:

Отправить комментарий