Как оценить риски в кибербезопасности

Дуглас У. Хаббард

Посвящение Дугласа Хаббарда:

Моим детям Эвану, Мадлен и Стивену – постоянным источникам вдохновения в моей жизни. А также моей жене, Джанет, за все, что она делает, чтобы дать мне возможность писать, и за то, что она – потрясающий корректор.

Посвящение Ричарда Сирсена:

Всем дамам в моей жизни: Хелене, Каэле, Анике и Бренне. Спасибо за вашу любовь и поддержку как в жизни, так и в написании этой книги. С вами все легко и весело.

Даг и Ричард также хотели бы посвятить эту книгу военнослужащим и сотрудникам правоохранительных органов, специализирующимся в области кибербезопасности.

HOW TO MEASURE ANYTHING IN CYBERSECURITY RISK

Douglas Hubbard, Richard Seiersen, Daniel E. Geer, Stuart McClure

© 2016 by John Wiley & Sons, Inc.

All Rights Reserved. This translation published under license with the original publisher John Wiley & Sons, Inc.

© Райтман М.А., перевод на русский язык, 2023

© Оформление. ООО «Издательство «Эксмо», 2023

Предисловие

Нам повезло получить два предисловия от двух ведущих умов в области оценки рисков кибербезопасности: Дэниела Э. Гира – младшего и Стюарта Мак-Клара.

Дэниел Э. Гир – младший, доктор технических наук

Дэниел Гир занимается исследованием количественных характеристик безопасности. Его группа в Массачусетском технологическом институте разработала протокол Kerberos, затем было еще несколько стартап-проектов, а сейчас он продолжает работать этой области в качестве руководителя отдела информационной безопасности в компании In-Q-Tel. Дэниел пишет множество работ самого разного объема, и иногда их даже читают. Он инженер-электрик, статистик и человек, уверенный, что в споре рождается истина.

Я с удовольствием рекомендую книгу «Как оценить риски в кибербезопасности. Лучшие инструменты и практики». Тема бесспорно актуальная, я и сам уже долгое время пытаюсь к ней подступиться1. Это сложная проблема, и, думаю, будет уместно процитировать бывшего госсекретаря США Джона Фостера Даллеса: «Мерилом успеха выступает не факт наличия сложной проблемы, требующей решения, а то, является ли она той же самой проблемой, что возникла у вас в прошлом году». Данная книга как минимум обещает помочь оставить позади часть старых и сложных проблем.

Практика кибербезопасности – это частично инженерия, а частично логические рассуждения. Главная истина инженерии заключается в том, что проектирование успешно тогда и только тогда, когда сама формулировка проблемы полностью понятна. Основная истина логических рассуждений гласит, что у любых данных есть изъяны, и вопрос в том, можно ли их исправить. И инженерия, и логические рассуждения полагаются на измерения. При достаточно хорошем уровне измерений можно говорить о метриках.

Я называю их метриками потому, что это производные от измерений. Метрика включает в себя измерения, выполняемые для подтверждения текущих решений. Мы с вами, дорогие читатели, занимаемся кибербезопасностью не ради науки, но тем, кто пришел в эту область, имея научный (или философский) интерес, понадобятся измерения для подтверждения теорий. Нам необходимы метрики, полученные на основе достоверных измерений, поскольку в масштабах нашей задачи имеющиеся инструменты требуют усиления. Что ни говори, а игроки не станут играть лучше, если не будет вестись счет.

На заре моей карьеры в банке-маркетмейкере состоялась встреча. Руководитель отдела информационной безопасности, в прошлом работавший в отделе внутреннего аудита и не испытывавший радости от назначения на новую должность, был чересчур резок даже по меркам нью-йоркского мира финансов. Свое выступление он начал не то чтобы мягко:

Вы, служба безопасности, настолько глупы, что не можете сказать мне:

• Насколько я в безопасности?

• В большей ли безопасности, чем был в то же время в прошлом году?

• Я трачу достаточное количество денег?

• Каково мое положение по сравнению с другими людьми моего уровня?

• Какие варианты перехода рисков у меня есть?

Двадцать пять лет спустя эти вопросы остаются актуальными. Ответы на них и подобные им можно получить только с помощью измерений. Вот почему нужна эта книга.

И даже если мы все согласны с причиной, настоящая ценность книги – в ответе не на вопрос «Почему?», а на вопрос «Как?». Как измерить, а затем выбрать нужный метод, как делать это последовательно и неоднократно и как двигаться вперед от одного метода к другому по мере совершенствования навыков?

Кто-то скажет, что обеспечить кибербезопасность невозможно, если вы столкнетесь с достаточно опытным противником. Так и есть, но это не важно. Наши противники в основном выбирают цели, которые дадут максимальный результат при затраченных усилиях. Это вежливый намек, что у вас, возможно, не получится противостоять самому целеустремленному противнику, для которого цель оправдывает любые средства, но определенно получится сделать так, чтобы другие цели казались гораздо привлекательнее вас. Как я уже говорил, игроки не станут играть лучше, если не будет вестись счет. Вот что предлагает данная книга – способ улучшить вашу игру.

Для этого нужны числа, ведь именно они являются единственными входными данными, как в инженерии, так и в логических рассуждениях. Не слова. И не цветовое кодирование. Если вас заботит собственное благополучие, если вам хочется быть независимыми и знать, каковы ваши позиции, то вы просто обязаны прочесть эту книгу от корки до корки. Ее текст понятен, объяснения просты, а возможность загрузить электронные таблицы не оставляет вам отговорок, чтобы не попытаться.

Убедительно ли я объяснил? Надеюсь, да.

1. Daniel Geer, Jr., Kevin Soo Hoo, and Andrew Jaquith, “Information Security: Why the Future Belongs to the Quants,” IEEE Security & Privacy 1, no. 4 (July/August 2003): 32–40, geer.tinho.net/ieee/ieee.sp.geer.0307.pdf.

Предисловие

Стюарт Мак-Клар

Стюарт Мак-Клар – генеральный директор компании Cylance, бывший глобальный технический директор компании McAfee, а также ведущий автор серии книг «Секреты хакеров».

В университете профессора постоянно повторяли нам старую максиму: «Нельзя управлять тем, что невозможно измерить». Я, вчерашний подросток, каждый раз все никак не мог уловить ее смысл. Разумеется, на многочисленных занятиях по компьютерным наукам постоянно приходилось совершенствовать математические алгоритмы в программах, но я толком не понимал, как эти попытки количественной оценки могут пригодиться в управлении хоть чем-нибудь вообще, не говоря уже о киберпространстве.

Так я и строил карьеру в области информационных технологий и программирования, пытаясь найти применение своим уникальным талантам. Измерения в киберсфере меня совсем не привлекали, пока я не коснулся кибербезопасности. Мотивацией к поиску фундаментального способа измерить свои действия в области кибербезопасности стал извечный вопрос: «Защищены ли мы от атаки?»

Очевидный ответ на такой банальный, но вполне понятный вопрос: «Нет. Безопасность не бывает стопроцентной». И все же некоторые из вас отвечают так же, как и я временами, когда мне надоедает этот пустой вопрос: «Да, защищены». Почему? Потому, что на нелепые вопросы и ответы нелепые. Как нам в этом убедиться? Без метрик – никак.

По мере становления моей карьеры в области кибербезопасности сначала в компаниях InfoWorld и Ernst & Young, потом в основанной мной компании Foundstone, затем на руководящих должностях в компании McAfee, которая приобрела Foundstone, а сейчас в собственной компании Cylance у меня сформировалось своеобразное понимание старой фразы профессора, что нельзя управлять тем, что невозможно измерить. Пусть истинно объективной метрики не существует, но вполне возможно провести субъективные и локализованные измерения текущего уровня риска и вашего положения относительно вас самих в прошлом и других компаний вашего уровня.

Измерение рисков кибербезопасности, существующих в организации, – задача и без того нетривиальная, а когда требуется проводить количественные измерения вместо субъективных и качественных оценок, она становится даже пугающей.

В конечном счете для нас, специалистов в области безопасности, главными являются вопросы «С чего начать?» и «Как измерить эффективность и отдачу в сфере кибербезопасности?». Ответить на них возможно только с помощью количественных показателей. До сих пор область кибербезопасности с трудом поддавалась измерению. Помню, когда впервые спросили мое мнение о программе измерения риска безопасности, я ответил что-то вроде: «Нельзя измерить то, что не выражено количественно».