Перейти к содержанию

Типичные ошибки при оценке киберрисков


Рекомендуемые сообщения

Никто не захочет тратить миллионы долларов на защиту компании, если ущерб в случае инцидента не превысит несколько тысяч. Столь же глупо экономить сотню долларов, если в случае утечки данных счет пойдет на сотни тысяч. Но на основании какой информации можно рассчитать примерный ущерб, который понесет компания в результате киберинцидента? А также саму вероятность такого инцидента?
На конференции Black Hat 2020 двое исследователей — профессор Вейд Бейкер из Политехнического университета Виргинии и Дэвид Северский, старший аналитик в Cyentia Institute, представили свое видение проблемы оценки рисков. Мы решили, что их аргументы достойны внимания.

На любых курсах по кибербезопасности рассказывают, что для оценки рисков нужно учитывать два основных фактора — вероятность инцидента и средние потери в случае аналогичного инцидента. Но откуда следует брать эти данные, а главное, как их интерпретировать? Ведь неверная оценка возможного ущерба приведет к некорректным выводам и, как следствие, к неоптимальным стратегиям защиты.

Показательно ли среднее арифметическое?

Многие компании, работающие в сфере информационной безопасности (и мы тут не исключение), время от времени проводят исследования ущерба в результате инцидентов, связанных с потерей данных. В «ключевые находки» обычно попадают средние цифры — потери компаний сопоставимого размера суммируются, а затем делятся на количество учтенных инцидентов. Математически это абсолютно верно, и для громкого заголовка в прессе эта цифра вполне подходит. Но можно ли опираться на нее для расчета рисков?

Если те же данные представить в виде графика, где по горизонтальной оси учитываются суммы потерь, а по вертикальной — количество инцидентов, то становится очевидно, что среднее арифметическое тут вовсе не показатель. В результате 90% инцидентов компании теряют значительно меньше, чем показывает это самое среднее арифметическое.

Если говорить о потерях, которые понесет среднестатистический бизнес, то скорее имеет смысл смотреть на другие показатели — медиану (число, разделяющее выборку на две равные части так, чтобы половина элементов была выше этого числа, а вторая половина — ниже), а также среднее геометрическое (оно же среднее пропорциональное). Большая часть компаний несет именно такие потери. А вот среднее арифметическое может сильно сбивать с толку из-за небольшого количества инцидентов с аномально большими потерями.

Распределение потерь от инцидентов, связанных с утечками данных.

Распределение потерь от инцидентов, связанных с утечками данных. Источник

Средняя стоимость утекшей записи

Еще один пример сомнительного результата от использования «среднего» — расчеты потерь от инцидентов, связанных с утечкой данных, путем перемножения количества затронутых записей и среднего ущерба от утечки одной записи. Как показывает практика, в результате применения такого метода потери в небольших инцидентах недооцениваются, а в крупных — серьезно переоцениваются.

Некоторое время назад по многим сайтам с аналитикой прошла новость о том, что неправильно сконфигурированные облачные сервисы стоили компаниям почти 5 триллионов долларов. Если изучить, откуда взялась такая астрономическая сумма, то становится понятно, что люди, насчитавшие 5 триллионов, просто перемножили количество «утекших» записей и средний ущерб от потери одной записи, полученный в результате исследования Cost of a Data Breach Study 2019, проведенного Ponemon Institute, — 150 долларов.

Но в этом исследовании, во-первых, учитывались далеко не все инциденты, а во-вторых, даже на этой выборке среднее арифметическое не дает четкого представления о потерях, поскольку там учитывались случаи с записями, потеря которых наносила ущерб и в 10 000 долларов, и в 1 цент. Более того, в методологии этого исследования подчеркивалось, что данное среднее значение неверно для инцидентов, в которых было затронуто более 100 тысяч записей. Поэтому перемножать количество всех записей, утекших из-за некорректно сконфигурированных облачных сервисов, на 150 было в корне неправильно.

Чтобы применять подобный метод для реальной оценки рисков, необходимо учитывать еще один показатель: вероятность потерь в зависимости от масштабов инцидента. Примерно так:

ALT/caption: Зависимость вероятности потерь от количества затронутых в инциденте записей.

ALT/caption: Зависимость вероятности потерь от количества затронутых в инциденте записей. Источник

Эффект «кругов по воде»

Еще один фактор, о котором часто забывают при расчете стоимости инцидента: в современных условиях все чаще утечка данных затрагивает интересы больше чем одной компании. Во множестве инцидентов суммарный ущерб, который несут сторонние компании (партнеры, подрядчики, поставщики), превышает фактический ущерб, причиненной компании, допустившей утечку.

А количество таких инцидентов с каждым годом увеличивается, поскольку всеобщая «цифровизация экономики» ведет к увеличению взаимной зависимости бизнес-процессов разных компаний. Согласно результатам исследования Ripples Across the Risk Surface, проведенного совместными усилиями RiskRecon и Cyentia Institute, 813 инцидентов такого рода привели к потерям у 5437 организаций. То есть на каждую компанию, допустившую утечку данных, в среднем приходится более четырех компаний, пострадавших от этого инцидента.

Практические советы

Так что экспертам, работающим в сфере оценки киберрисков, имеет смысл прислушаться к следующим советам:

  • Не стоит доверять громким новостным заголовкам: даже если какие-то данные перепечатываются множеством сайтов, это не обязательно значит, что они не ошибочны. Стоит всегда искать источник и анализировать методологию исследователей.
  • Не используйте в оценке рисков результаты исследований, которые вы не понимаете.
  • Не забывайте, что инцидент в вашей компании может повлечь за собой потерю данных и у других организаций. Если утечка произойдет по вашей вине, то они наверняка предъявят претензии, что увеличит ущерб от инцидента.
  • Точно так же не следует забывать, что и ваши данные могут утечь у партнеров и подрядчиков (то есть в инцидентах, на которые вы никак не можете повлиять).

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alex_01_02_03
      Автор alex_01_02_03
      Здравствуйте, я уже видел несколько решений данной проблемы. но мне они не помогли уже два дня пытаюсь её решить. Сначала просканировал систему нашёл пару троянов и разные ошибки. Устранил их. Перезагрузил пк не помогло. Далее следовал указаниям изложенным по данной проблеме на вашем сайте. Ничего не помогало. Редактор реестров не запускается, в командной строке, при выполнении команд, возникает данная ошибка. Итак же многие другие службы не запускаются, например не могу даже восстановить систему, появляется эта ошибка. Появилась она когда я захотел обойти блокировку discord м Youtube.
       Farbar Recovery Scan Tool вообще запускается и сразу закрывается, тоже самое с браузером яндекс, чтобы его запустить Farbar Recovery Scan Tool мне нужно выключить пк и включить и как только он включится запустить сканирование в течении 10-15 секунду, при сканировании вылетает ошибка 0xc0000017  раза три, но продолжает сканировать.

      CollectionLog-2025.04.24-22.39.zip
    • biden
      Автор biden
      Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который понарастающе нагружает память на 99%, если отключить этот процесс, он запускается снова, потом не включается до определенного момента, потом снова запускается. Я так понимаю, что в процессе работы в компьютере при открытии определенных вещей (каких не выяснил) инициализируется запуск этого процесса, но что то идет не так и он просто нагружает мне память и компьютер умирает. Если компьютер просто включен или на нем работает одна определённая программа, в которой не запускается этот процесс, то и сам процесс соответственно тоже не запускается. Сначала думал, что это майнер поэтому обратился на другую тему, просматривал в журнале событий, вроде чего то критического, из-за чего это может быть, не наблюдал. Можно ли определить из-за чего это всё происходит и как это можно устранить?
    • gexxxagon
      Автор gexxxagon
      При любой работе с пк (при работе с дисками, некоторыми командами в строке и тд) выходит эта ошибка.
      В Dr.Web CureIt чисто, все что было исправлено.
      Вручную через регистр пытались исправить некоторые ошибки, что-то исправилось, а что-то нет.
       
      Предполагаю, что возникло после установки обхода ограничений ютуба и дискорда, как многие говорят.
       
      Прилагаю файл, который обычно просят.
      FRST.txt
    • DarkMeF
      Автор DarkMeF
      Добрый день, подскажите как решить данную проблему. Думал что только на удаленку не заходит. а оказалось командная строка тоже не все команды выполняет(та же ошибка) и службы вообще не открываются
       

    • biden
      Автор biden
      Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который нагружает память на 99%, можно без всяких препятствий выключить эту задачу через диспетчер, при этом он запускается снова, снова снимаешь задачу и он на некоторое время затихает, потом запускается снова и так в течение работы компьютера. У меня стоит платный каспер, ничего не нашел, пробовал с доктором вебом, тоже ноль результата и с curelt пробовал и с автономным дефом. Запускал в безопасном режиме, все равно запускается, повреждения через консоль винда не нашла. При этом сам процесс находится в system32 и с сертификатом майка, ничего не блокирует, на все антивирусы могу зайти, диспетчер задач постоянно держу открытым чтобы мониторить. В последнее время ничего не скачивал, что могло привести к таким последствиям. Это что то вредоносное или что то в винде полетело, нужно ли идти на тему по удалению майнера или переустанавливать винду?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
×
×
  • Создать...