Управление рисками обзор употребительных подходов

       

Возможные трактовки и способы вычисления рисков


Риски и управление ими исследуются в нескольких предметных областях, таких как страхование, экономика, управление, медицина, исследование операций, инженерия, и рассматриваются с разных точек зрения.

В простейшем случае риск приравнивается к возможному негативному событию и определяется как "событие, представляющее материальную угрозу чьему-либо состоянию". Иными словами, риски приравниваются к возможным нежелательным событиям (или к возможному снижению полезности). В контексте управления рисками под "чьим-либо состоянием" понимается благополучие организации. С этой точки зрения управлять рисками можно, применяя страхование и получая компенсацию, если негативное событие произойдет. Другой возможный подход — планирование бесперебойной работы, позволяющее продолжить функционирование после нежелательных событий.

В некоторых предметных областях, таких как медицина, акцент делается на вероятности негативных событий, а не на их последствиях, поскольку последние зачастую являются необратимыми, фатальными (например, смерть пациента в результате инфаркта) и заострять внимание на них нет смысла. Определяются факторы, влияющие на вероятности (наследственность, вредные привычки и т.п.), а риск трактуется как "вероятность опасного неблагоприятного исхода". Данный подход применяется при страховании жизни, где для получения оценок вероятностей используются таблицы смертности, а "приемлемый риск" относится к людям с низкой вероятностью умереть в течение страхового периода (и, соответственно, с низкой вероятностью выплаты компенсации страховой компанией).

Финансисты считают риском вариацию распределения исходов, а мерой риска — диапазон колебаний. Риск определяется как непостоянство стоимости портфеля ценных бумаг, а управление рисками означает решение минимаксной задачи — выбор между риском и доходами. Портфель ценных бумаг пытаются комплектовать так, чтобы обеспечить наивысшие ожидаемые доходы при заданном уровне рисков и наименьший уровень рисков для заданного ожидаемого дохода.

При страховании от несчастных случаев (в частности, при страховании автомобилей) риск трактуется как ожидаемые потери и определяется как произведение возможного ущерба на его вероятность. И ожидаемый ущерб, и его вероятность могут меняться в широких пределах (от незначительного до полной утраты автомобиля, от очень небольшой для аккуратных водителей до заметной для лихачей).

При проведении анализа рисков важно различать риски экзогенные и эндогенные. Первые не поддаются управлению, они не зависят от чьих-либо действий. Примером могут служить землетрясения. Можно в какой-то степени влиять на размер ущерба, строя здания по определенным стандартам, но предотвратить землетрясение пока невозможно. Эндогенные риски зависят от действий людей. Многие риски, например, риск автомобильной аварии, являются смешанными. Водитель не может влиять на поведение других участников движения, но от его собственного поведения, его манеры езды (и от выбора автомобиля) зависит многое, в том числе ущерб от аварии, если таковая произойдет. Чтобы стимулировать поведение водителей, минимизирующее эндогенные риски, в страховой сумме предусматривают удерживаемую составляющую. Будучи ответственным за часть ущерба, водитель должен действовать с осторожностью.

Инструментальные средства управления рисками реализуются с учетом различия между экзогенными и эндогенными рисками. Например, финансисты считают неопределенность экзогенным риском и для управления рисками применяют такие методы, как диверсификация, страхование и распределение активов. Нет возможности непосредственно повлиять на вероятности событий. В медицине и инженерии часть рисков всегда являются эндогенными, поддающимися уменьшению. Пациентов информируют о том, на что они могут вилять, им рекомендуют здоровый образ жизни и специальные диеты. Работников знакомят с правилами техники безопасности, принимают меры по снижению аварийности и травматизма.

В информационных технологиях принят по сути тот же взгляд на риски, что и при страховании от несчастных случаев. Суммарный риск определяется как математическое ожидание ущерба, то есть как сумма произведений вероятностей каждого из негативных событий на величины потерь от них:

R = Сумма (по i) {P (Ui) * L (Ui)}

Несмотря на кажущуюся простоту и очевидность, приведенная формула не подчиняется обычным арифметическим законам, поэтому желательно рассматривать не только итоговую величину риска, но и ее составляющие. Причин тому несколько.

Оценка рисков действует на протяжении определенного периода. Чтобы иметь основания применять аппарат теории вероятностей, этот период должен быть достаточно большим (три-пять лет). Если вероятность события (например, пожара) мала, рассматриваемый период следует еще увеличить. Но за это время ИС существенно изменится и старые оценки потеряют смысл. Следовательно, при оценке рисков событиями с вероятностью меньше определенного порогового значения можно пренебречь, несмотря на то, что потенциальный ущерб от них может быть велик. Отметим, что это противоречит традиционной практике, когда руководители склонны уделять чрезмерное внимание рискам с большим ущербом и малой вероятностью. На самом деле, на первом плане должны быть риски с умеренным ущербом, но высокой вероятностью (например, атаки вредоносного программного обеспечения), многократно реализующиеся в течение рассматриваемого периода.

Вероятность негативного события нет возможности оценить сколько-нибудь точно. Для этого нет ни теоретических предпосылок, ни накопленного статистического базиса. Нет возможности и для обоснованной оценки влияния контрмер на вероятности; можно воздействовать на факторы, от которых вероятности зависят, но количественный эффект воздействий предсказать нельзя.

Наконец, негативные события могут не быть независимыми. Одно из них может исключать другое (например, пожар и затопление) или, напротив, вызывать каскадный эффект, как это бывает при перегрузке критически важных компонентов.

В силу приведенных здесь соображений целесообразно трактовать риски не как числовые значения, а как точки на плоскости, где координатными осями служат вероятности и потери (см. ). Линиями уровня для функции риска служат гиперболы.

Рисунок 2. Представление рисков в виде точек на координатной плоскости.




Риск события U1 относится к числу обычно переоцениваемых руководителями; на практике, в силу низкой вероятности, большей частью подобных рисков целесообразно пренебречь.

Управлению рисками соответствует перемещение точек по плоскости. Обычно стремятся приблизиться к началу координат вдоль одной оси, не меняя значения другой координаты. Впрочем, если удастся уменьшить сразу обе координаты, это будет еще лучше.

Обоснованное управление рисками возможно только в сравнительно узких областях, когда известны возможные негативные события, когда число их относительно невелико (обозримо, в пределах нескольких десятков) и когда существуют реалистичные оценки вероятностей и потерь. В других случаях экономическая целесообразность нейтрализации рисков может оцениваться только интуитивно. Правда, нейтрализация многих рисков требуется действующим законодательством (например, обеспечение противопожарной безопасности), поэтому соответствующие контрмеры можно считать обязательными.

Одной из областей, важных с практической точки зрения и хорошо проработанных в плане управления рисками, является аутсорсинг по управлению информационной системой (в частности, контроль ее информационной безопасности). Здесь выделены восемь угроз:
  1. Непредвиденно высокие затраты на переход на новую дисциплину управления ИС. "Уязвимостями" (то есть факторами, способствующими негативному событию) являются отсутствие у организации опыта аутсорсинга, неопределенность в законодательстве.
  2. Затраты на переход на обслуживание другой организацией (включая попадание в заложники обслуживающей организации, возврат к исходному состоянию и переход на обслуживание новой организацией). Уязвимости: специфичность ИС, узкий выбор обслуживающих организаций, размеры и сложность ИС, взаимосвязь разных видов деятельности.
  3. Дорогостоящие поправки к контракту. Уязвимости: неопределенность, технологический разрыв, сложность задачи.
  4. Споры и тяжбы с обслуживающей организацией. Уязвимости: проблемы измеримости, недостаток опыта (у одной или обеих сторон) по заключению контрактов на аутсорсинг, неопределенность законодательства, недостаток культуры.
  5. Снижение качества обслуживания. Уязвимости: взаимосвязь разных видов деятельности, недостаток опыта, слишком большой размер и/или финансовая нестабильность обслуживающей организации, проблемы измеримости.
  6. Превышение затрат. Уязвимости: недостаток опыта по управлению контрактом на аутсорсинг, проблемы измеримости, недостаток опыта у поставщика услуг.
  7. Потеря компетенции. Уязвимости: размеры и сложность ИС, близость к основной деятельности организации, взаимосвязь разных видов деятельности.
  8. Скрытые затраты на обслуживание. Уязвимости: сложность разных видов деятельности, проблемы измеримости.




Рассмотрим управление идентифицированными рисками на примере страховой компании, отдавшей на аутсорсинг решение проблемы 2000 года для своих унаследованных систем. Вероятности и потери оценивались по семибалльной шкале. В и на рис. показаны риски до и после применения мер управления.

Таблица 2. Риски при аутсорсинге проекта Y2K до и после применения мер управления.
Номер риска

Вероятности:

Потери:=

до

после

до

после1111121141311224113351153611417421181111

Рисунок 3. Риски при аутсорсинге проекта Y2K до и после применения мер управления.



Из таблицы и рисунка видно, что удалось снизить три риска с номерами (2), (5) и (6), причем в первых двух случаях уменьшались только возможные потери, а в последнем — и вероятность, и потери. Отметим, что единственным серьезным был риск номер (6), хотя руководители в первую очередь обращали внимание на риски (2) и (5), игнорируя их относительно небольшую вероятность.

Чтобы не стать заложником внешней организации (управление риском (2)), страховая компания разбила проект на этапы и заключала отдельный контракт для каждого из них. Тем самым каждый контракт имел обозримый срок, а его результаты могли реально контролироваться. Если работа внешней организации оказалась бы неудовлетворительной, отношения с ней могли быть оперативно прекращены. Со снижением качества обслуживания (риск (5)) страховая компания боролась, предусмотрев в контракте систему штрафов (в пять раз превышающих общую стоимость контракта). Для противодействия превышению затрат, страховая компания заранее оговорила гарантированную плату и методику измерения дополнительных расходов с учетом особенностей отдельных компонентов ИС. Тем самым понижалась и вероятность, и воздействие риска.

Представление рисков в виде точек на плоскости является удачным с психологической точки зрения, поскольку оно разделяет два разных аспекта риска — вероятность и воздействие, и наглядно показывает, с чем в первую очередь нужно бороться и насколько это удалось.

Можно воспользоваться еще одним представлением рисков — в виде деревьев уязвимостей, угроз и контрмер (см. ). Здесь Vi — уязвимости, Ti,j — угрозы, эксплуатирующие уязвимости, Ci,j — контрмера, нейтрализующая угрозу i,j, Li,j — недостаток контрмер для угрозы i,j.

Рисунок 4. Представление рисков в виде дерева уязвимостей, угроз и контрмер.





Значение для Vi, Ti,j, Li,j и Ci, j целесообразно нормировать, так чтобы суммы по i Vi и Ti,j равнялись 1, а также Li,j + Ci,j = 1.

Кроме вероятностных параметров, в оценке рисков участвуют константы — критичность активов (CA) и их стоимость (CC). Общая ожидаемая сумма потерь выражается соотношением

Общий остаточный риск * CA * CC

Предположим, имеется домашний компьютер, по отношению к которому рассматриваются пять уязвимостей с вероятностями 0.2, 0.2, 0.1, 0.05 и 0.45. Первую из них могут использовать две угрозы с вероятностями 0.35 и 0.65, вторую — три (0.4, 0.2, 0.4), третью — две (0.3, 0.7), Четвертую — три (0.25, 0.25, 0.5), пятую — две (0.3, 0.7). Пусть, наконец, значения недостатков контрмер оцениваются как 0.3, 0.4, 0.4, 0.1, 0.25, 0.25, 0.15, 0.25, 0.4, 0.4, 0.2, 0.15. Тогда общий остаточный риск составит 0.239375. Если критичность компьютера оценена как 0.4, а стоимость — как 2500, то ожидаемая сумма потерь составляет 239.38.

Можно предложить и другие формализмы для управления рисками. Предположим, имеется M пар (актив, угроза). Для каждой такой пары риск вычисляется по обычной формуле

Rk = Pi * Ij

Здесь k — номер пары, Pi — вероятность реализации угрозы по отношению к "парному" активу, Ij — воздействие реализации этой угрозы на актив, Rk — величина риска.

Пусть, далее, риски считаются допустимыми, если для всех k Rk

&nbsp &nbsp &nbsp &nbsp &nbsp &nbsp / Rk — Ra, если Rk > Ra

rk =

&nbsp &nbsp &nbsp &nbsp &nbsp &nbsp \ 0, если Rk

Пусть N — число положительных rk, то есть число пар (актив, угроза), риски которых нуждаются в нейтрализации. Отбросим нулевые избыточные риски и перенумеруем оставшиеся. Можно вычислить среднее значение избыточного риска rMean, воспользовавшись формулой

rMean = ((сумма по k от 1 до N) rk) / N

Значение rMean можно рассматривать не только как средний избыточный риск, но и как оценку безопасности информационной системы в целом. Эту оценку можно нормализовать, воспользовавшись формулой

rMeanNrorm = rMean / (Rmax — Ra)

где Rmax — максимальный из возможных рисков Rk, то есть произведение максимального из возможных значений Pi и Ij в выбранной шкале измерений.

Значения rMeanNrorm, близкие к 0, характеризуют уровень информационной безопасности ИС как весьма высокий. Близкие к 1 значения, напротив, характерны для слабо защищенных информационных систем. При желании отрезок [0, 1] можно разбить на интервалы, выделив тем самым нужное число уровней безопасности.

Кроме среднего арифметического, можно вычислить среднее квадратичное значение положительных избыточных рисков:

sigma = кв.корень (((сумма по k от 1 до N) (rk*rk)) / N)

Как и средний избыточный риск, среднее квадратичное значение можно нормализовать:

sigmaNorm = sigma / (Rmax — Ra)

Нормализованное среднее квадратичное значение, как и величину rMeanNrorm, можно напрямую использовать для оценки уровня информационной безопасности организации, если разбить отрезок [0, 1] на соответствующее число интервалов. Значения, близкие к 0, свидетельствуют о высоком уровне защищенности, близкие к 1 — о низком. Преимущество среднего квадратичного значения по сравнению со средним арифметическим в том, что первое более устойчиво к добавлению пар с небольшими избыточными рисками и более чувствительно к аномально высоким рискам.

Рассмотрим пример. Пусть вероятности и воздействия оцениваются по шестибалльной шкале, от 0 до 5, а приемлемым считается риск, равный 8. Тогда Ra = 8, Rmax = 25 (5*5). Пусть, далее, имеются две организации. Для первой из них рассматриваются следующие пары (актив, угроза) и ассоциированные с ними характеристики (см. ).

Таблица 3. Таблица рисков для первой организации.
Актив / угроза

Уровень вероятности

Уровень воздействия

Риск

Избыточный рискОтдел кадров / вирусы35157Отдел кадров / физический доступ сотрудников25102Отдел кадров / физический доступ внешних лиц552517Бухгалтерская система / шпионское ПО25102Бухгалтерская система / поломка1110





Пусть для второй организации аналогичная таблица выглядит так (см. ).

Таблица 4. Таблица рисков для второй организации.
Актив / угроза

Уровень вероятности

Уровень воздействия

Риск

Избыточный рискОтдел кадров / вирусы35157Отдел кадров / физический доступ сотрудников35157Отдел кадров / физический доступ внешних лиц 34124Бухгалтерская система / шпионское ПО44168

Средние значения рисков сведены в . Видно, что нормализованные средние арифметические значения избыточных рисков у двух организаций близки, в то время как нормализованное среднее квадратичное значение у первой организации заметно выше (а уровень безопасности, соответственно, ниже). Причина в аномально высоком риске внешнего физического вторжения, то есть в наличии ярко выраженного слабого звена.

Таблица 5. Средние значения избыточных рисков для рассматриваемых организаций.
Средние значения избыточных рисков

Организация 1

Организация 2Среднее арифметическое76.5Нормализованное среднее арифметическое0.410.38Среднее квадратичное9.306.67Нормализованное среднее квадратичное0.550.39

Для оценки прогресса организации в области информационной безопасности важны не абсолютные значения рисков, а их уменьшение в результате выбора и реализации контрмер. При этом в качестве количественной меры риска может быть использовано время, требующееся на успешную атаку системы при заданных мотивации и квалификации злоумышленника. Увеличение этого времени свидетельствует о повышении уровня безопасности.

Рассматриваются два варианта информационной системы — первоначальный и укрепленный, то есть полученный в результате выбора и реализации контрмер. Методология оценки времени, требующегося на успешную атаку, включает следующие шаги:

  • формирование анализируемой конфигурации системы;
  • формирование количественной модели рисков для анализируемой конфигурации системы;
  • формирование и ранжирование требований безопасности для анализируемой конфигурации системы;
  • идентификация уязвимостей;
  • категорирование уязвимостей каждого компонента системы по типу компрометации;
  • оценка времени компрометации каждого компонента системы;
  • генерация графа компрометации и путей атаки;
  • нахождения путей атак с минимальным временем;
  • повторение предыдущих шагов для первоначальной и укрепленной конфигурации системы;
  • получение оценки снижения рисков.




На первом шаге, при формировании анализируемой конфигурации системы предлагается ограничиться двумя типами компонентов.

К первому относятся граничные устройства, то есть устройства, входящие в систему и непосредственно (без маршрутизации, экранирования, фильтрации и т.п.) доступные из внешних сетей. Во второй тип входят основные цели потенциальных злоумышленников, то есть устройства, контроль над которыми дает атакующим нужную степень контроля над всей ИС организации.

Количественная модель рисков базируется на стандартной формуле

R = P * D

где R — величина риска, P — вероятность успешной атаки, D — ущерб от нее.

Вероятность P можно представить в виде произведения следующих условных вероятностей:

P = Pi * Pa * Pb * Pc * Pd

где

  • Pi — вероятность того, что данная информационная система попадет в список возможных целей злоумышленника;
  • Pa — вероятность того, что система будет выбрана из списка и атакована;
  • Pb — вероятность того, что будут взломаны граничные компоненты;
  • Pc — вероятность того, что атака окажется успешной, то есть достигшей основных целей;
  • Pd — вероятность того, что злоумышленником будет нанесен предполагаемый ущерб.


Снижение рисков путем выбора и реализации контрмер воздействует на вероятности Pb и Pc взлома граничных и целевых систем; их и требуется оценить. Предполагается, что укрепление системы не влияет ни на другие вероятности, ни на размер ущерба. Далее, можно считать, что вероятность успешной атаки обратно пропорциональна времени, которое на подобную атаку требуется (чем длительнее атака, тем больше шансов обнаружить и пресечь ее). Таким образом, в конечном счете снижение рисков определяется увеличением общего времени, требующегося на успешные атаки цепочки компонентов ИС, начинающейся граничным устройством и оканчивающейся основной целью.

Формирование и ранжирование требований безопасности для анализируемой конфигурации системы необходимо для того, чтобы определить понятие успешной атаки. Обычно требования выражаются в терминах доступности, конфиденциальности и целостности. Например, для систем управления на первом плане находятся доступность и целостность; конфиденциальность не имеет особого значения.

Идентификация уязвимостей может выполняться с помощью средств анализа защищенности и путем анализа общедоступных источников соответствующей информации. В специфических случаях требуется привлечение специальных знаний об особенностях системы и ее конфигурации.

Категорирование уязвимостей каждого компонента системы по типу компрометации необходимо для того, чтобы связать с каждым ребром графа компрометации набор уязвимостей, делающих переход по данному ребру возможным. Граф компрометации — это направленный граф, вершины которого соответствуют стадиям атаки, а ребра — переходам между стадиями; с каждым ребром связывается время, требующееся на успешное проведение очередной стадии атаки.

Каждая вершина графа компрометации относится к одному из следующих типов:



  • Старт. На этой стадии злоумышленник ничего не знает об устройстве целевой системы. Это — единственная входная вершина графа.
  • Начало атаки. Собрано достаточно данных, чтобы начать разработку программ использования уязвимостей или применить известные средства взлома. Для каждого граничного устройства в графе имеется один узел этого типа (точка развертывания потенциальной атаки).
  • Получение привилегий обычного пользователя. Это состояние относится к конкретной машине, на которой атакующий сумел стать обычным пользователем. Для каждой машины целевой информационной системы имеется только одно состояние этого типа.
  • Получение привилегий суперпользователя. Это состояние относится к конкретной машине, на которой атакующий сумел стать суперпользователем. Для каждой машины целевой информационной системы имеется только одно состояние этого типа.
  • Целевой узел. Любое состояние, означающее успех атаки.


Ребра графа представляют этапы успешной компрометации и помечаются длительностью этапа, которая зависит от сложности эксплуатации имеющихся уязвимостей (с учетом квалификации злоумышленника). Естественно считать, что вероятность перехода по данному ребру обратно пропорциональна ассоциированной с ним длительности. Ребра (и уязвимости, позволяющие осуществлять соответствующие переходы между состояниями) подразделяются на следующие типы:

  • Разведка (зондирование) (Р).
  • Нарушение (взлом) (Н). Это ребра, выходящие из узла начала атаки.
  • Проникновение (П). Это ребра, выходящие и из узлов с привилегиями обычного пользователя или суперпользователя, и входящие в узлы того же типа.
  • Эскалация (Э). Эти ребра означают получение дополнительных привилегий на той же машине.
  • Нанесение ущерба (У). Эти ребра входят в целевой узел.


Оценка времени компрометации каждого компонента системы (T) означает оценку времени на получение атакующим каких-либо пользовательских привилегий на данном устройстве. Компрометация моделируется случайным процессом, который подразделяется на три подпроцесса:

  • Подпроцесс 1 осуществляется в ситуации, когда известна по крайней мере одна уязвимость, и атакующий располагает средствами ее использования.
  • Подпроцесс 2 осуществляется в ситуации, когда имеются известные уязвимости, но атакующий не располагает средствами их использования.
  • Подпроцесс 3 состоит в идентификации новых уязвимостей и средств их эксплуатации. Он может функционировать в фоновом режиме параллельно с подпроцессами двух первых типов. Злоумышленник может быть пользователем или участником подпроцессов данного типа, то есть он может ждать, когда станет известно о новых уязвимостях и средствах их эксплуатации, или разрабатывать и пробовать их.




Каждый из перечисленных подпроцессов характеризуется своим распределением вероятностей. Подпроцессы 1 и 2 являются взаимоисключающими. Подпроцесс 3 можно считать непрерывным.

Для оценки времени T можно воспользоваться следующей формулой:

T = t1 * P1 + t2 * (1 — P1) * P2 + t3 * (1 — P1) * (1 — P2)

здесь

  • t1 — ожидаемое время завершения подпроцесса 1 (обычно — 1 день);
  • t2 — ожидаемое время завершения подпроцесса 2, которое вычисляется по эмпирической формуле:


t2 = 5.8 * (ожидаемое число неудачных попыток взлома), причем ожидаемое число неудачных попыток взлома обратно пропорционально числу имеющихся уязвимостей и прямо пропорционально среднему числу уязвимостей, для которых средства использования могут быть найдены или созданы злоумышленником с данным уровнем квалификации;

  • t3 — ожидаемое время завершения подпроцесса 3, которое можно считать прямо пропорциональным числу имеющихся уязвимостей и обратно пропорциональным среднему числу уязвимостей, для которых средства использования могут быть найдены или созданы злоумышленником с данным уровнем квалификации;
  • P1 — вероятность успешного завершения подпроцесса 1;
  • P2 — вероятность успешного завершения подпроцесса 2.


Генерация графа компрометации и путей атаки выполняется с использованием полученных оценок.

Нахождения путей атак с минимальным временем означает оценку максимального риска. Подобный путь всегда проходит через компонент ИС с наибольшим числом уязвимостей.

На приведен пример фрагмента графа компрометации. Время указано в днях. Кратчайший путь показан сверху.

Рисунок 5. Фрагмент графа компрометации.



Повторение предыдущих шагов для первоначальной и укрепленной конфигурации системы требует генерации двух графов компрометации. Если в укрепленной системе уязвимостей меньше, а кратчайший путь успешной атаки имеет большую длину для произвольной квалификации злоумышленников, можно переходить к оценке снижения рисков.

Получение оценки снижения рисков основывается на предположении, что вероятность успешной атаки на укрепленную систему задается следующим соотношением:

Pnew = Pold * ("Старое_время" / "Новое_время")

где



  • Pold — вероятность успешной атаки на ИС в базовой (старой) конфигурации;
  • "Старое_время" — ожидаемое время успешной атаки с минимальной длительностью на ИС в базовой (старой) конфигурации;
  • "Новое_время" — ожидаемое время успешной атаки с минимальной длительностью на ИС в укрепленной (новой) конфигурации (естественно предполагать, что "Новое_ время" не меньше, чем "Старое_время").


Нормализованное снижение риска определяется как

dR = 1 — (Pnew / Pold) = 1 — ("Старое_время" / "Новое_время")

Оно стремится к 1, если "Новое_время" стремится к бесконечности. Напротив, если "Новое_время" и "Старое_время" совпадают, снижение риска оказывается нулевым.

Время успешной атаки имеет постоянную и переменную составляющие. К первой относятся длительности разведки и нанесения ущерба, ко второй — нарушение (взлом), проникновение и эскалация. Можно предположить, что укрепление системы влияет только на переменную часть. Если постоянная часть велика, существенного снижения рисков добиться не удастся, но это означает лишь то, что система и так хорошо защищена (в эшелонированной обороне имеются хорошо укрепленные рубежи — первый и последний).

Укрепление системы может достигаться путем уменьшения числа уязвимостей и увеличения длительности нахождения и/или создания средств их использования. Первый путь сам по себе не дает заметного эффекта: почти полное устранение уязвимостей увеличивает длину кратчайшего пути лишь на несколько процентов. Это понятно: для успешного взлома достаточно одной уязвимости.

На риски и уменьшающие их контрмеры можно смотреть не только со стороны защищающейся организации, но и со стороны атакующего злоумышленника. Чем сильнее регуляторы безопасности затрудняют вредоносную активность, тем более удачным можно считать их выбор. В качестве формализма, поддерживающего данный подход, целесообразно использовать графы атак, вершины которых помечены возможными контрмерами и их количественной экономической оценкой с точки зрения защищающегося и атакующего.

Однократный ущерб на ресурс будем определять по формуле

SLE = AV * EF

где AV — ценность ресурса, в которую входят все виды затрат на него (установка, сопровождение и т.п.), а EF — доля этой величины, утрачиваемая в результате вредоносного действия (относительный ущерб от однократной компрометации ресурса).

Поскольку не все угрозы равновероятны, введем годичную частоту реализации угрозы (ARO). Тогда ожидаемый годовой ущерб от данной угрозы будет вычисляться по формуле

ALE = SLE * ARO

Оценка значения ARO может производиться на основе анализа статистики нарушений информационной безопасности.

Экономический эффект от реализации контрмеры (то есть от расходов на информационную безопасность) можно оценить по формуле

ROI = ((ALE * RM) — CSI) / CSI

где RM — коэффициент уменьшения риска в результате реализации контрмеры (лежит в промежутке от 0 до 1), а CSI — стоимость этой реализации. При положительном значении ROI реализация регулятора безопасности является экономически оправданной; в противном случае в ней нет смысла. ROI — это инструмент экономической оценки эффективности действий (защищающейся) организации в области информационной безопасности. Цель состоит в максимизации значения ROI.

Экономическая эффективность действий атакующего оценивается с помощью величины ROA, вычисляемой по формуле

ROA = GI / (EBS + EAS)

где GI — ожидаемая выгода от успешной атаки, EBS — затраты на компрометацию ресурса до реализации контрмеры S, EAS — дополнительные затраты на компрометацию после реализации контрмеры S. Цель защищающейся организации состоит в минимизации значения ROA, то есть в уменьшении привлекательности ресурсов организации как объектов возможных атак.

Атаки проводятся путем использования уязвимостей. В графах атак уязвимости ассоциируются с концевыми вершинами, то есть вершинами, из которых не выходит ни одного ребра. С этими же вершинами ассоциируются контрмеры, ликвидирующие или уменьшающие уязвимости.

Графы атак называют также И-ИЛИ графами, так как для успешного проведения атаки может быть достаточно одного из нескольких условий (связка ИЛИ), либо требуется одновременное выполнение всех условий из некоторого множества (связка И). Из технических соображений (упрощения перебора различных сценариев атак) графы атак целесообразно представлять в дизъюнктивной нормальной форме, при которой связка И может относиться только к концевым вершинам. Преобразование к дизъюнктивной нормальной форме основывается на логическом тождестве

(A ИЛИ B) И C = (A И C) ИЛИ (B И C)

Рассмотрим пример компрометации конфиденциальных данных путем кражи сервера, на котором они хранятся (см. ). Чтобы украсть сервер, нужно сначала проникнуть в серверную комнату, а затем незаметно вынести сервер. Чтобы проникнуть в серверную комнату, можно взломать дверь или раздобыть (подобрать) ключи.

Рисунок 6. Фрагмент графа атак, аннотированного контрмерами и показателями экономической эффективности.





Пусть стоимость сервера составляет 100000 условных единиц, относительный ущерб от однократной компрометации (EF) при взломе двери и применении ключей равняется, соответственно, 0.9 и 0.93 (умный злоумышленник, сумевший заполучить в свое распоряжение ключи от серверной комнаты, опаснее прямолинейного вредителя, идущего к цели в буквальном смысле напролом), а годичная частота реализации угрозы (ARO) — 0.1. Тогда SLE составит, соответственно, 90000 и 93000 у.е., а ALE — 9000 и 9300 у.е.

В качестве контрмер против проникновения в серверную комнату можно установить надежный замок, к которому трудно подобрать ключи (RM = 0.2, CSI = 300 у.е.) или поставить стальную дверь, которую трудно взломать (RM = 0.7, CSI = 1500 у.е.). Чтобы противодействовать незаметному выносу сервера, можно установить аппаратуру видеонаблюдения (RM = 0.1, CSI = 3000 у.е.) или учредить пост охраны (RM = 0.5, CSI = 12000 у.е.). Значение ROI для каждой из контрмер вычисляется по приведенной выше формуле. Например, для стальной двери оно составит:

ROI = ((ALE * RM) — CSI) / CSI = ((9000 * 0.7) — 1500) / 1500 = 3.20

Чтобы противодействовать всем возможным (идентифицированным) атакам необходимо установить регуляторы безопасности на каждом пути в графе атак от концевых вершин к целевой (точнее, как минимум одна контрмера нужна для каждой связки И), отдавая предпочтение контрмерам с максимальным значением ROI. Если один регулятор безопасности противодействует нескольким атакам, затраты на него следует поделить поровну между соответствующими вариантами атак.

При рассмотрении ситуации с точки зрения атакующего предположим, что экономическая выгода от кражи сервера (GI) составляет 30000 у.е., затраты на первый вариант атаки (взломать дверь) (EBS) — 4000 у.е., затраты на второй — 4200 у.е. Для проведения успешной атаки при применении контрмеры в виде стальной двери от злоумышленника потребуется дополнительно 2000 у.е. (EAS), на борьбу с надежным замком понадобится дополнительно 200 у.е., с аппаратурой видеонаблюдения — 1000 у.е., с постом охраны — 1500 у.е. Таким образом, показатель экономической эффективности (ROA) первого варианта атаки после установки стальной двери составит:

ROA = GI / (EBS + EAS) = 30000 / (4000 + 2000) = 5.00

Анализ экономической эффективности контрмер для ROA проводится сходным с ROI образом, только значение ROA следует не максимизировать, а минимизировать (атаки на ресурсы организации должны иметь для злоумышленника минимальную привлекательность). Если одновременная максимизация ROI и минимизация ROA невозможна, для осуществления выбора регуляторов безопасности необходимо привлечь дополнительные соображения.

Для первой атаки (взломать дверь) контрмера c1 доминирует остальные, поскольку на ней достигается максимум ROI и минимум ROA. Для второй атаки (добыть ключи) доминирующей контрмеры нет: на c4 достигается максимум ROI, на c6 — минимум ROA. Отметим, что регулятор безопасности "установить пост охраны" уменьшает риск обеих атак и минимизирует ROA для второй атаки, но у него слишком мал показатель ROI, поэтому в данном случае целесообразно предпочесть комбинацию контрмер c1 и c4: поставить стальную дверь с надежным замком.


Содержание раздела