Domanda:
Come affrontare i rischi a bassa probabilità ad alto impatto?
David Bryant
2018-07-24 16:30:24 UTC
view on stackexchange narkive permalink

C'è una questione strategica contro la quale stiamo sbattendo la testa nel mio reparto IT, che essenzialmente si riduce a questo:

  • C'è un tipo di attacco contro i nostri sistemi che può causare molti danni se mancato o non affrontato correttamente. Più precisamente, ciò potrebbe causare un duro colpo alle operazioni dell'azienda e potenzialmente rovinare l'intera attività.

  • La probabilità di un simile attacco è molto bassa. Tuttavia accade regolarmente (ma raramente) ad altre aziende del settore. Non è ancora successo ai nostri sistemi.

  • Per poter mitigare l'attacco, dobbiamo assumere un altro dipendente e spendere altri 8 % (almeno) del nostro budget ogni anno. Entrambi sono investimenti significativi.

  • Di solito misuriamo tali problemi moltiplicando la probabilità di accadimento per il danno atteso, ma in questo caso siamo persi cercando di moltiplicare un numero tendente a zero di un numero che tende all'infinito per ottenere una risposta coerente.

  • Sulla stessa linea, il nostro team si divide in due fazioni: una pensa che l'attacco non avverrà mai e l'investimento di tempo e denaro andrà sprecato; l'altro campo pensa che l'attacco arriverà domani. Tutti concordano, tuttavia, che le misure a metà saranno sia uno spreco di risorse che non proteggeranno dall'attacco: o andiamo all-in o non ci preoccupiamo affatto.

In qualità di team leader, vedo il merito in entrambe le opinioni: potremmo operare per i prossimi 20 anni senza incontrare un simile attacco, e potremmo averlo oggi (di punto in bianco, come accade di solito). Ma devo ancora decidere in che modo procedere.

A questo proposito, vorrei chiederti se hai incontrato questi enigmi e qual è l'approccio dell'industria per affrontarli.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/80706/discussion-on-question-by-david-bryant-how-to-deal-with-low-probability-high-imp).
Quindici risposte:
#1
+74
Philipp
2018-07-24 16:54:39 UTC
view on stackexchange narkive permalink

Ora di solito abbiamo valutato tali problemi moltiplicando la probabilità di accadimento per il danno atteso, ma in questo caso siamo persi nel tentativo di moltiplicare un numero tendente a zero per un numero tendente all'infinito e trovare una risposta coerente.

Sfortunatamente questo è ciò che devi fare in questo caso. Ma non credo che questo calcolo sia davvero così difficile come sembra.

Il rischio può essere stimato stimando prima quante aziende affrontano la stessa minaccia alla sicurezza e non prendono la precauzioni necessarie. Quindi scorri le notizie per verificare quante aziende ne vengono colpite ogni anno (oltre a un'ipotesi plausibile quante di loro sono riuscite a impedire che il caos diventasse pubblico). Dividi il secondo numero per il primo e avrai una percentuale di rischio.

Il tuo danno non tende all'infinito. L'evento che si avvicinerebbe di più al "danno infinito" sarebbe un collasso dell'intero continuum tempo / spazio dell'universo (e anche questo è un evento in cui potresti fare una stima di fermi per quantificare il danno in dollari, se sei annoiato e interessato all'astrofisica). Il danno più alto che potresti causare realisticamente è il fallimento della tua azienda. Forse potresti causare ancora più danni se rendi conto anche dei danni causati ad altre persone. Ma quando la tua azienda è in bancarotta, non può pagare quelle passività. Quindi puoi utilizzare il patrimonio netto dell'azienda come limite massimo del danno previsto.

.... e poiché la formula è commutativa e conosci il costo, potresti invece iniziare calcolando il livello di soglia di rischio al quale la mitigazione è efficace in termini di costi, quindi è possibile iniziare presto la ricerca di una stima del rischio.A proposito, spero che la mia centrale nucleare locale non limiti le stime dei danni sul valore della loro azienda.
@symcbean: Siate certi che la centrale elettrica ha una grande assicurazione, se non con una vera compagnia di assicurazioni, attraverso la ricchezza collettiva di tutti i contribuenti più l'economia che sostiene il valore di qualsiasi valuta fiat emessa dal governo.; -]
@DavidFoerster Potrei sbagliarmi, ma da quello che ricordo, l'impianto ha un'assicurazione "normale" per i danni che potrebbe causare all'interno di un paese, e il governo fornisce l'assicurazione per ciò che si riversa oltre i confini.
@mbrig: Almeno dove vivo, le assicurazioni delle centrali nucleari hanno un limite assoluto a seconda delle dimensioni / produzione (credo) e non è nemmeno * così * alto.Gli impianti sono solitamente di proprietà di società controllate dalle grandi società elettriche per limitare la responsabilità "a monte".Tutti i danni di cui sopra che sono coperti dal contribuente o da chi li subisce.
È vero, la formula del valore atteso è matematicamente corretta in questa situazione.Tuttavia, non è molto utile per gestire eventi ad alto costo e bassa probabilità.Se prendi le probabilità molto basse di un impatto di un asteroide a livello di estinzione, moltiplicale per la popolazione della Terra e prendi in considerazione l'aspettativa di vita di una persona alla nascita, ottieni la previsione matematicamente corretta che hai circa un 3%possibilità di essere ucciso da un asteroide.Quanto spendi per le difese degli asteroidi?
@symcbean Non so se sia ancora così, ma le compagnie petrolifere lo organizzavano in modo che le petroliere fossero di proprietà di compagnie separate, che avevano esattamente una risorsa: la petroliera.Ciò significava che in caso di disastro di una petroliera, il danno finanziario era limitato a quella compagnia, che ora non aveva beni.
* Il tuo danno non tende all'infinito. * - In questo caso, qualsiasi numero che è al di là della capacità di recupero dell'azienda è effettivamente infinito per questa azienda.
@Chad No, non lo è.Una misura di sicurezza che costa $ 100.000 al mese potrebbe essere ridicola per proteggere un piccolo negozio di mamme e pop dal fallimento, ma giustificata per proteggere una società globale dallo stesso rischio.Ma se presumi `fallito == $ ∞`, non arriveresti a quella conclusione.Se si inserisce ∞ nelle formule standard di valutazione del rischio, la matematica dice che qualsiasi misura che protegge dal fallimento è giustificata, non importa quanto piccolo sia il rischio.
Una soluzione che costa 10k al mese potrebbe anche essere $ ∞ al mese ... questo è il punto che stavo facendo.Esiste un limite per x in qualsiasi attività commerciale dove f (x) = f (∞) dove x <∞
@Chad un altro modo di vedere questo: il rischio per "l'azienda" non è in realtà ciò che ci interessa."L'azienda" non è un essere senziente."L'azienda" non sente nulla quando viene liquidata.Ciò che conta in realtà è il danno agli esseri umani che hanno delle partecipazioni in azienda.E quando si tratta di una società per azioni, il danno è limitato a quanto vale la società.Quando si tratta di una società illimitata, il danno è limitato al valore dell'azienda + il patrimonio personale dei proprietari.
@Philipp - Capisco quello che stai dicendo, solo che non sono d'accordo sul fatto che la tua prospettiva sia più valida della prospettiva dell'OP.Niente nella tua risposta invalida la prospettiva dell'OP, sembra solo ignorare quella prospettiva come irrilevante.Penso che sminuisca la tua risposta altrimenti ottima.
#2
+56
usul
2018-07-24 23:07:35 UTC
view on stackexchange narkive permalink

Un avvertimento che questa risposta proviene dalla teoria, non dall'esperienza.

  1. Ci sono conseguenze etiche riguardo all'impatto del brutto evento sugli altri? Ferirà i tuoi utenti? Considera anche i dipendenti dell'azienda che potrebbero essere feriti se viene rovinata da un attacco. In tal caso, potresti ritenere di avere l'obbligo etico di mitigare.

  2. Se mitighi l'attacco, la tua azienda può utilizzarlo come punto di vendita o vantaggio competitivo?

  3. L'assicurazione potrebbe non funzionare se il danno sarà alla reputazione della tua azienda; l'assicurazione non può davvero aiutarti a riprenderti da questo. Dipende dalla forma che assume il danno, forse l'assicurazione è una buona opzione.

  4. Massimizzare i risultati monetari attesi non è necessariamente un buon modo per prendere decisioni tranne che nei problemi di bassa posta in gioco. Supponiamo di poter correre un rischio con una probabilità del 99% di mandare in bancarotta l'azienda, ma con l'1% di possibilità di moltiplicare il suo patrimonio netto per 200. "in aspettativa" raddoppi il valore dell'azienda, ma quasi certamente sarai senza lavoro.

  5. Invece del valore atteso, potresti considerare obiettivi come la sopravvivenza a lungo termine dell'azienda. Ad esempio, con le due opzioni (mitigare o no), per quanto tempo prevedi che la compagnia sia presente? (a) Se l'azienda è in difficoltà ed è probabile che un aumento del budget dell'8% la faccia fallire, non hai altra scelta che ignorare il problema e sperare di essere fortunato. Se sopravvive a questo periodo e prospera, puoi investire a quel punto. (b) Se l'azienda sta andando bene, sembra che possa permettersi di giocare sul sicuro. (c) Se da qualche parte nel mezzo, la decisione da questa prospettiva diventa difficile.

  6. Sembra improbabile che i superiori desiderino che una tale decisione venga presa senza il loro contributo o controllo ...

Il punto 6 è la risposta a questa domanda.
Il [criterio di Kelly] (https://en.wikipedia.org/wiki/Kelly_criterion) spiega il punto 4. Essenzialmente, puoi massimizzare l'ev quando la posta in gioco è una quota molto piccola del tuo bankroll totale.Per le puntate più alte, una perdita influenzerebbe la tua capacità di guadagnare in futuro, quindi scegliere un'opzione EV più bassa potrebbe essere la scelta ottimale
@TomK.Esatto, ma il PO deve comunicare lo scenario (principalmente il punto 5) ai superiori (in una forma che possano capire).
#3
+25
nerdfever.com
2018-07-25 03:43:23 UTC
view on stackexchange narkive permalink

Dovresti tenere conto del fatto che il tuo team conosce questo vettore di attacco.

Se il semplice conoscere la vulnerabilità rende più facile eseguire l'attacco, potresti hai un problema più grande di quanto pensassi. (Ad esempio, una backdoor difficile da trovare nota alla tua squadra.)

In questo caso, i membri della tua squadra sono in cima alla lista degli avversari di cui preoccuparti e la probabilità di essere attaccati potrebbe essere molto più alto di quanto sarebbe se il tuo team non lo sapesse.

I dipendenti possono e spesso si arrabbiano. Tienilo in considerazione.

#4
+16
user182846
2018-07-24 23:03:40 UTC
view on stackexchange narkive permalink

Ottieni un'assicurazione che copra tale rischio. Poiché è molto bassa, è difficile valutare per te, quindi invece di creare un'assicurazione individuale, provi a farla diventare un'assicurazione che copre i rischi più banali. Fondamentalmente, controlli quale assicurazione di cui hai già o di cui hai probabilmente bisogno è più probabile che la copra e, in caso contrario, prova a negoziare un accordo aggiuntivo in cui rientrerebbe nella copertura.

L'assicurazione riguarda la conversione di un rischio di riepilogo inferiore (probabilità dell'evento moltiplicato per il costo monetario di mitigazione dell'evento) in un rischio riepilogativo più elevato (probabilità di 1 volte il costo monetario dell'assicurazione) convertendo un rischio operativo più elevato (probabilità dell'evento moltiplicato per i danni finali di tutte le conseguenze l'attività) in uno inferiore (costo monetario dell'assicurazione).

Ciò ha senso solo sia per il venditore di assicurazioni che per l'acquirente quando il danno senza mitigazione è superiore al costo di mitigazione, vale a dire quando il danno senza mitigazione metterebbe a repentaglio la continuità degli affari.

Questo ha l'ulteriore vantaggio di spingere gran parte della responsabilità nella stima del rischio alla compagnia di assicurazioni.Possono dire che possiamo assicurarti ma ti costerà.Oppure possono dire che hai bisogno di queste mitigazioni prima che te lo assicuriamo.Oppure possono differenziare il prezzo a seconda delle mitigazioni che hai in atto.
#5
+13
Serge Ballesta
2018-07-24 19:57:28 UTC
view on stackexchange narkive permalink

Hai scelto l'approccio corretto:

Ora di solito abbiamo valutato tali problemi moltiplicando la probabilità di accadimento per il danno atteso ...

e appena affrontato i suoi limiti:

siamo persi nel tentativo di moltiplicare un numero tendente a zero per un numero tendente all'infinito

Direi che stai affrontando un rischio inaccettabile ( potrebbe causare un duro colpo alle operazioni dell'azienda e potenzialmente rovinare l'intera attività ) con un'occorrenza molto bassa.

La mia opinione è che ti trovi di fronte a un decisione strategica. In qualità di team leader, il tuo ruolo è trasmettere il problema al tuo capo, insieme ai suoi elementi: cosa succederà se la tua organizzazione subisce quell'attacco, quanti attacchi sono stati visti negli ultimi anni, quali sono le possibili mitigazioni per quegli attacchi e qual è il loro costo. Quando si tratta di un rischio importante e di un costo importante, la decisione normalmente spetta al capo principale.

#6
+11
Tom
2018-07-25 14:02:27 UTC
view on stackexchange narkive permalink

Il primo passo sarebbe eseguire un'analisi dei rischi adeguata, quantitativa . Altre risposte hanno già fornito indicazioni qui, in particolare desidero sostenere la menzione di "How to Measure Anything in Cybersecurity Risk", un libro brillante. Puoi anche considerare FAIR un metodo quantitativo.

Tuttavia, la gestione del rischio non inizia né termina con l'analisi del rischio. Soprattutto per i rischi del "cigno nero", entrano in gioco altri fattori. Coprili con propensione al rischio e criteri di rischio definiti.

La tua azienda deve definire la sua propensione al rischio , che afferma come si rapporta al rischio (preferisce essere prudente ed evitare rischi, preferisce essere più aggressivo e accettare rischi, ecc.). Ciò potrebbe definire che i rischi oltre un certo impatto sono inaccettabili anche se la loro probabilità o frequenza è bassa. In genere, i rischi che distruggerebbero sicuramente l'azienda rientrano in questa categoria.

Questi sono buoni candidati da mitigare tramite assicurazioni, se possibile. L '"evento raro ma impatto catastrofico" è il territorio di origine delle assicurazioni.

La seconda definizione di cui hai bisogno è criteri di rischio che definiscono i tipi di rischi per i quali non sei disposto ad accettare ragioni etiche, ragioni di responsabilità legale o altro. Ad esempio, potresti definire che il rischio per la vita umana è inaccettabile anche se la quantificazione rientra nell'intervallo accettabile. O che una potenziale pena detentiva per i dirigenti di livello C è inaccettabile, indipendentemente dal valore di rischio quantificato.

Con queste tre cose fatte - analisi del rischio, propensione al rischio e criteri di rischio - dovresti ottenere un risultato utilizzabile. Il tuo cigno nero sarà inaccettabile per appetito o definizioni di criteri, o in caso contrario è semplicemente un altro rischio che deve essere trattato come un altro. L'analisi può essere particolarmente volatile a causa della bassa frequenza e dell'insicurezza nel valutarla correttamente, ed è qui che entra in gioco un metodo quantitativo adeguato che può tenere conto a) intervallo di valori eb) fiducia delle stime, che ti aiuterà . (* vedi sotto)

Ad esempio, nell'analisi dei rischi che faccio di solito, utilizzo un metodo Monte Carlo e uno dei miei output è un grafico a dispersione di tutti i risultati dello scenario. Eventuali cigni neri si presenteranno come singoli (e rari) valori anomali e io posso identificarli e vederli nel contesto.

Alla fine, soprattutto per i rischi ad alto impatto, prepari la decisione . Qualcuno con l'autorità appropriata prende la decisione in base alle tue informazioni, quindi il tuo dovere è fornire loro il quadro completo senza sovraccaricarli con informazioni non vitali per il processo decisionale.


Ancora un'osservazione sul trattamento del rischio . Puoi guardare oltre l'analisi e controllare le possibili opzioni di trattamento. Se riesci a identificare un trattamento che cambia drasticamente i tuoi valori di input con un piccolo sforzo, potrebbe valere la pena farlo allo scopo di avvicinare i tuoi campi. Ad esempio, se esiste una misura che riduca l'impatto dalla distruzione catastrofica dell'azienda a quella seria ma sopravvivibile, e puoi trasformare il tuo cigno nero in un normale rischio ad alto impatto.


(*)

Poiché molte persone non hanno mai visto una corretta analisi quantitativa del rischio, quello che stai cercando è qualcosa che non prenda un valore come input, ma un intervallo e un parametro di forma. PERT è un metodo: identifichi il valore ragionevolmente probabile più basso, il valore ragionevolmente probabile più alto e il valore più probabile. Conosciuto anche come ottimista-realistico-pessimista. Un altro approccio consiste nello specificare in modo esplicito un valore di confidenza che modella la curva. In una distribuzione beta questo sarebbe il valore lambda.

Guarda Fair-U per un esempio. Mi piace abbastanza il metodo FAIR, ma ce ne sono altri. Basta non accettare meno di un approccio quantitativo adeguato (a volte chiamato statistico) per risolvere questi scenari di rischio più complicati.

#7
+7
Will Barnwell
2018-07-26 03:51:53 UTC
view on stackexchange narkive permalink

tl; dr: Quando si tratta di un vuln di sicurezza, un impatto sufficientemente elevato significa che dovrebbe essere mitigato, non importa quanto bassa sia la probabilità. Inoltre, quella probabilità non è statica, ma è in costante, forse radicalmente, crescente.


C'è un libro The Black Swan: The Impact of the Highly Improbabile di Nassim Taleb che trae la maggior parte dei suoi esempi dalla finanza, ma è un libro sul problema che devi affrontare in cui

  • L'evento è raro, potenzialmente sul punto di non accadere mai
  • Se l'evento si verifica, l'impatto sarebbe grave

Il libro presenta un ampio argomento filosofico sul motivo per cui strumenti di valutazione del rischio semplici / comuni come "Moltiplica la probabilità per impatto" sono malati adatto a valutare i rischi posti da tali casi estremi e portare a una sottovalutazione del rischio.

Taleb incoraggia la minimizzazione dell'esposizione a eventi ad alto impatto negativo, anche se la probabilità di un evento è incredibilmente piccola, la mossa giusta sta mitigando una potenziale catastrofe.


Mi piacciono le idee di Taleb e credo che abbia anche menzionato la sicurezza informatica e come le aziende fossero sottovalutate rischio informatico nella sua appendice a questo libro, ma ecco la mia opinione come persona con almeno un interesse passeggero per la sicurezza.

Se la tua azienda è vulnerabile a una minaccia che viene attivamente sfruttata in natura, la probabilità che quell'attacco venga attivato contro la tua organizzazione cresce geometricamente con il tempo. Gli attacchi non scompaiono, diventano solo più sofisticati e più facili da rilevare e automatizzare. Ciò che richiede un po 'di riflessione e manipolazione da parte di un cracker intelligente oggi è solo a pochi anni dall'essere rilevato e sfruttato automaticamente da un bot. Quel salto tecnologico potrebbe avvenire dall'oggi al domani e il giorno successivo verrai colpito.

Tutto questo per dire che, a differenza di alcuni giorni 0 unici nella tua applicazione, la probabilità di attacco nella tua situazione non è un numero fisso, ma sta crescendo. Inoltre, quella probabilità non sarà qualcosa che cresce a un ritmo costante, ma può e probabilmente farà rapidi passi da gigante.

Non sono d'accordo sulla parte tl; dr.Se la probabilità è ridicolmente bassa, puoi rinunciare alla mitigazione.Ad esempio, la maggior parte dei siti non adotta misure per mitigare l'impatto di un meteorite.Inoltre, ci sono parametri ** contesto ** che entrano in gioco.Ad esempio, la maggior parte delle aziende non ha misure di mitigazione contro una guerra termonucleare, non solo perché (per fortuna) la probabilità è bassa, ma anche perché se ciò accade, non importa molto se l'azienda è interessata.
Ma la probabilità di una guerra termonucleare e dell'impatto di meteoriti non cresce nello stesso modo coerente di un rischio di un attacco noto.Inoltre, essere hackerati è una di quelle catastrofi di cui devi preoccuparti, perché sei ancora vivo.
Concordato.Ecco perché ho detto "Non sono d'accordo ** con la parte dl; dr **".La dichiarazione generale come pubblicata non è vera.L'elaborazione di seguito è molto buona.
Lo modifico, perché hai ragione e nemmeno a me piacciono le dichiarazioni generali
Penso davvero che questa sia la risposta giusta.Le altre risposte parlano della stima della probabilità di accadimento, ma non esiste un modo * efficace * per farlo.
#8
+3
o.m.
2018-07-25 23:20:41 UTC
view on stackexchange narkive permalink
  • Per quanto riguarda i possibili danni, parla con alcuni avvocati qualificati su chi potrebbe essere ritenuto responsabile e come. Il rischio per un'azienda come entità commerciale può essere limitato al patrimonio netto dell'azienda, ma ci sono alcuni scenari in cui gli amministratori delegati o anche i dipendenti potrebbero essere personalmente responsabili in diritto civile o penale se dovessero avere noto il problema. (A seconda della tua giurisdizione, ovviamente. Sto pensando a violazioni delle norme sulla privacy per aumentare i profitti, ad esempio.)
  • A seconda di quanti dipendenti IT hai e di cosa fanno, assumere un altro dipendente potrebbe aumentare notevolmente il fattore bus del tuo dipartimento. Saggiamente non hai spiegato cosa stai facendo in un forum pubblico, ma avere un altro amministratore potrebbe permetterti di introdurre una regola dei due uomini su più procedure, o gestire assenze pianificate o non pianificate e così via. Quindi potrebbe non essere corretto dire che affrontare questo rischio costa l'8% più un dipendente. Sarebbe più come l'8% più un dipendente, possiamo proteggerci da questo e da molti altri rischi.
#9
+3
pie
2018-07-27 23:13:46 UTC
view on stackexchange narkive permalink

Ecco l'affare:

Se hai solo i tuoi dati da proteggere, fai quello che vuoi, ma se hai qualcun altro dei dati nel tuo sistema che potrebbero essere compromessi, farai uno dei segue:

  1. Proteggi i dati con qualsiasi standard o raccomandazione del settore.
  2. Informa i tuoi clienti / clienti / prodotti che stai proteggendo i dati a cui ti affidano con fede che gli aggressori non attaccheranno i tuoi sistemi.

Con questo, arrivi a una semplice conclusione: proteggi i tuoi sistemi in modo tale da poter dire ai tuoi clienti / clienti / prodotti come sei proteggere i loro dati senza che smettano di essere tuoi clienti / clienti / prodotti.

Meno di questo e sei ingannevole nei confronti dei tuoi stakeholder (questo può essere una sorpresa, ma sì, i tuoi clienti / clienti / prodotti di cui stai memorizzando i dati sono parti interessate nella tua attività, anche persone normali, soprattutto quando si tratta della disponibilità di tali dati a soggetti t queste parti interessate potrebbero non voler che accadano e tu sei responsabile di assicurarti che i dati siano adeguatamente protetti, per non dire loro che stai usando mezze misure per proteggere i loro dati quando li inviano).

Inoltre a tutto il resto: non lasciarti accecare da semplici formule che calcolano le tue possibilità di essere bersaglio di un attacco; Il bersaglio di un attacco non viene scelto a caso tra tutte le società disponibili per tentare un attacco (un'analisi statistica ingenua userebbe questo elenco per creare la possibilità statistica di essere attaccato), ma finisce per essere uno (potrebbe anche essere TUTTO) dall'elenco delle aziende vulnerabili all'attacco.

Questo può creare l'illusione che tu non debba preoccuparti di proteggerti perché la possibilità di essere l'obiettivo è così bassa, ma in realtà ti stai solo mettendo nel gruppo a rischio di bersagli vulnerabili e non puoi saperlo le tue effettive possibilità di essere un obiettivo in quanto le aziende non pubblicizzano esattamente il loro livello di difesa (per ovvie ragioni). Se questo concetto è difficile da comprendere, considera il seguente scenario: su 100 aziende, 1 azienda viene attaccata con successo ogni anno. A tua insaputa, 90 di queste aziende utilizzano una forte protezione contro gli attacchi e gli aggressori li lasciano semplicemente in pace dopo aver tentato di attaccarli. Quasi tutti gli attacchi riusciti sono contro le restanti 10 società che utilizzano mezze misure. Tu come nuovo arrivato in questa scena guarderai le statistiche e determinerai che non è necessario proteggere i tuoi sistemi perché c'è solo una probabilità di 1/100 che la tua azienda sia bersaglio di un attacco, quando in realtà le tue modifiche sono 0 se stai usando protezioni forti e 1 su 11 se usi mezze misure. Il tuo calcolo interno del rischio sarebbe completo spazzatura.

TLDR; Non è possibile applicare analisi statistiche sull'opportunità o meno di proteggere i propri sistemi, perché non si dispone di informazioni sufficienti per farlo. Dovresti farlo in modo tale da poter dire ai tuoi stakeholder (ciò significa assicurarti che lo capiscano, non nascondere loro le informazioni) cosa stai facendo per proteggere i loro dati e non passeranno a un altro fornitore di servizi.

#10
+2
Graham
2018-07-26 21:01:48 UTC
view on stackexchange narkive permalink

In qualità di ingegnere che ha dedicato molto tempo al lavoro relativo alla sicurezza, probabilmente vorrai esaminare FMEA. FMEA applica il metodo di "moltiplicazione" che descrivi, ma raggruppa intervalli di tassi di effetto / probabilità / rilevamento prima di moltiplicare. Questi intervalli sono ben definiti, quindi supponendo che tu abbia un'idea di queste probabilità, puoi ottenere un punteggio RPN affidabile dal sistema.

Ovviamente, devi ancora giustificare la spesa! Ma almeno hai identificato formalmente i tuoi rischi.

#11
+1
Angelo Schilling
2018-07-27 22:48:18 UTC
view on stackexchange narkive permalink

Ti darò una risposta completamente diversa.

Penso che tu lo stia valutando completamente sbagliato. Non so come sia arrivato a un rischio / vulnerabilità che richiede un costo monetario abbastanza specifico (e molto elevato) e FTE da gestire, ma sembra che ti venga venduto uno strumento specifico per "risolvere" un problema.

Se il costo dell'8% deriva dalla conoscenza del costo della licenza di uno strumento, o l'FTE è richiesto per gestire uno strumento (ad es. "il nostro ragazzo EDR") ... Voglio dire, non c'è strumento disponibile che risolverà un rischio da solo.

Se il costo elevato ti trattiene, invece di sprecare tempo cercando di giustificare il rischio richiedendo la spesa, perché non esaminare la causa principale e come risolverla con una spesa minore. EDR, DLP ... non esiste area di sicurezza (o vulnerabilità) che abbia una soluzione con una costo.

#12
+1
Sayan
2018-07-29 09:21:43 UTC
view on stackexchange narkive permalink

L'industria si avvicina alla maggior parte delle decisioni di "investimento per il controllo del rischio" con l '"analisi quantitativa" e i seguenti sono il modo standard di affrontare questa analisi. La tabella seguente illustra le matrici utilizzate durante questo processo decisionale.

enter image description here

Di seguito è solo un esempio per mostrare come applica queste formule:

Supponiamo che la tua azienda venda telefoni cellulari online e abbia subito molti attacchi DoS (Denial of Service). La tua azienda realizza un profitto medio di $ 30.000 a settimana e un tipico attacco DoS riduce le vendite del 50%. In media, subisci sette attacchi DoS all'anno. Un servizio di mitigazione DoS è disponibile per una quota di abbonamento di $ 15.000 al mese. Hai testato questo servizio e credi che mitigherà gli attacchi. La domanda è se valga la pena cercare questo servizio e mitigare il rischio o accettare il rischio e non fare nulla?

Facciamo l'analisi:

AV = $ 40.000

EF = 50%

SLE = AV * EF = $ 20.000

ARO = 7

ALE = SLE * ARO = $ 140.000

TCO (1 anno) = abbonamento DDoS * 12 mesi = $ 180.000

ROI (1 anno) = ALE - TCO = - $ 40.000 (negativo)

Poiché il ROI è negativo (- $ 40.000 all'anno), puoi raccomandare con i fatti la decisione di non investire sulla riduzione del rischio (in questo caso l'abbonamento Anti DDoS) e di accettare il rischio.

Nota: in uno scenario pratico potrebbe essere necessario valutare questo con l'impatto di altri valori (ad esempio, danno alla reputazione del marchio, ecc.).

Fare riferimento: https://resources.infosecinstitute.com/quantitative-risk-analysis/#gref

Quindi, nel tuo caso se puoi identificare AV, EF, ARO, ecc., sarai in grado di supportare la tua decisione (almeno approssimativamente) con f atti.

Anche se per una probabilità molto bassa (diciamo che per il rischio minimo ARO è 0,001), l'impatto potrebbe essere molto alto ($ 10.000.000) e l'ALE sarebbe considerevolmente alto. Se il costo del controllo di mitigazione è inferiore a questo valore, è possibile procedere con la distribuzione del controllo di mitigazione con i fatti.

#13
-1
Jonah Benton
2018-07-25 10:00:57 UTC
view on stackexchange narkive permalink

La simulazione è una tecnica che può aiutare a costruire intuizioni più forti su questioni strategiche in cui vi è una notevole quantità di incertezza.

Nel contesto della domanda, un modo semplice per iniziare è:

  1. Scegli una serie di intervalli di tempo distinti in base a qualunque sia l'agilità decisionale dell'organizzazione. Cioè, se l'organizzazione può prendere decisioni su questo problema negli ambiti 3/6/12 mesi, pianifica di eseguire modelli per ciascuno di questi periodi di tempo.

  2. Interagisci con colleghi per raccogliere dati che consentano di produrre dati per la probabilità di accadimento entro un determinato periodo di tempo, costo di mitigazione, costo di impatto.

    Una delle altre risposte descrive un processo ragionevole per farlo: ottenere un elenco di colleghi, parlare con loro / studiare le notizie per determinare se / quando hanno visto un attacco simile e imparare quanto hanno speso per mitigare / evitare, o quanto hanno speso per la risposta e il costo dell'impatto.

    Ci saranno problemi intrinseci con questi dati, ma va bene. La simulazione aiuta a risolvere questi problemi.

  3. Per ogni periodo di tempo, crea un foglio di lavoro che abbia:

    • intervallo di costi di impatto, dal minimo al massimo, con una confidenza del 90% ( IOW- l'esperto ha il 90% di fiducia che il costo dell'impatto sarà compreso tra il minimo e il massimo)
    • probabilità di accadimento dell'incidente specifico entro il periodo di tempo

    Utilizza il dati raccolti dai colleghi per produrre una gamma di probabilità e intervalli di costi di impatto e scegliere una probabilità specifica e un intervallo specifico.

  4. Con quei dati minimi inseriti in un foglio di lavoro, utilizza la generazione di numeri casuali per produrre altre 2 celle:

    • il problema si verifica effettivamente
    • se si verifica, quale impatto finanziario ha
  5. Fare quella randomizzazione una volta è una prova. Ricablare il foglio di lavoro in modo da poter eseguire 10.000 o 100.000 prove e raccogliere e rappresentare graficamente tutti i risultati di tali prove.

  6. Ripeti con diverse probabilità e intervalli di impatto che riflettono interpretazioni diverse dei dati raccolti tra pari e ripeti per periodi di tempo diversi.

A un certo punto è sufficiente fare una chiamata, ma una simulazione deliberata con visualizzazione può illuminare ipotesi e implicazioni in modi che non è possibile fare continuamente per la stanza in modalità discussione.

Questa e molte altre tecniche di simulazione sofisticate per la valutazione del rischio in compsec sono trattate in un ottimo libro:

How to Measure Anything in Cybersecurity Risk

https://www.amazon.com/How-Measure-Anything-Cybersecurity-Risk-ebook/dp/B01J4XYM16/ https://www.howtomeasureanything.com/ sicurezza informatica /

Ciò equivale a una risposta di solo link: "leggi il libro".Puoi espandere * come * costruire i modelli ed eseguire le simulazioni?
#14
-1
Carsogrin
2018-07-25 12:41:13 UTC
view on stackexchange narkive permalink

• Non hai l'alternativa di avere solo (cioè solo) un piano di ripristino e un processo nel caso in cui l'attacco in questione si verifichi - un backup, per così dire?

Detto questo ... da dalla tua formulazione sembra che tu possa subire un attacco di questo tipo senza nemmeno saperlo, a meno che non spendi soldi solo per poterlo rilevare. ... Quindi forse quanto sopra è un concetto vuoto.

• Più soggettivamente, sembra che questo abbia quella caratteristica standard (e incredibilmente fastidiosa) delle decisioni difficili, essendo che coinvolge incognite. Se sapessi X (in questo caso, che un attacco potrebbe / non accadrebbe), faresti sicuramente Y (in questo caso, spendere un sacco di soldi per un contatore o no). A volte può essere utile riconoscere che davvero non si hanno le informazioni necessarie per indicare da che parte si salta; poi, lanci una moneta e salti ... invece di spendere enormi quantità di energia torcendoti le mani. (In situazioni estreme, gli esseri umani tendono a comportarsi sulla base del fatto che l'eventualità sarà ciò in cui spererebbero, per quanto improbabile possa essere.)

C'è valore, per il tuo personale, nell'avere solo un persona che si assume la responsabilità dell'oscuro sconosciuto.

Vorrei fare un cenno alla risposta di Will Barnwell (e al citato Nassim Taleb). Non significa assolutamente insulto a "ampi argomenti filosofici //" ... tali non sono necessariamente corretti. Il problema per me è che è facile immaginare che potrebbero esserci da due a tre di queste bestie entro pochi anni, il che significa che il costo delle contromisure aumenta da significativo a paralizzante. Indipendentemente ... se ci si può ragionevolmente aspettare che il rischio aumenti, ciò cambia i parametri (dati) della decisione.

Da un lato abbiamo il costo dell'attacco. Come ha osservato Philipp, esiste un limite massimo fissato dal valore dell'azienda; sarebbe fuorviante spendere 10 milioni di dollari per ricostruire un'azienda che vale solo 1 milione di dollari. Sfortunatamente, questo ignora il costo combinato per i clienti dell'azienda. Sebbene non sia sensato per un'azienda da 1 milione di dollari valutare un potenziale problema più del proprio valore, resta vero che il significato del problema potrebbe facilmente essere (diciamo) 50 milioni di dollari.

Dall'altro lato, c'è la dimensione del rischio. Anche in questo caso, un contabile (per così dire) potrebbe semplicemente scoprire quante aziende sono vulnerabili al tipo di attacco in questione e quante di queste sono state colpite in ciascuno degli ultimi anni, e derivare direttamente una probabilità di qualsiasi azienda colpita in un dato anno. Una versione leggermente più sofisticata includerebbe una stima di quanti sono stati colpiti e riusciti a mantenerla segreta, se questo è ragionevolmente possibile. Una versione ancora più sofisticata determinerebbe quante di queste aziende vale la pena attaccare ... il che può includere o meno la questione se hanno preso individualmente contromisure ... tranne che sarebbe un segreto ... ed è, con una certa probabilità, noto a un aggressore.

Poi c'è la possibilità che, da un lato, possa diventare disponibile una difesa intelligente ed economica e, dall'altro, che gli attaccanti possano essere più o meno motivati ​​o numerosi in cinque anni, oppure potrebbe trovare una vulnerabilità in un sottoinsieme dei possibili obiettivi e così via. Inoltre, potrebbe venire alla luce che alcune aziende sono state attaccate in questo o in un modo simile, e non lo sanno (e alcune potrebbero scoprirlo dopo l'evento, se mai).

Inoltre, c'è il rischio cumulativo. Va benissimo calcolare il rischio come dato annuale, se il rischio è ragionevolmente alto e la domanda è quanto spendere per prevenirlo e mitigarlo. Se, viceversa, l'effetto sarebbe tale da estromettere l'intera azienda, allora un dato annualizzato è meno significativo.

L'OP ha detto che questo tipo di attacco è raro, ma accade. L'intera ragione per cui OP ha posto una domanda su questo sito è che non è vero che il rischio è incredibilmente piccolo, e non è vero che il rischio è abbastanza alto da dare per scontato.

Immaginiamo che l'azienda decida di non fare nulla. Supponiamo inoltre che ciò sia oggettivamente ragionevole (per un osservatore ideale). Se viene colpito in pochi anni, il costo sarà devastante non solo per l'azienda, ma anche per molti dei suoi clienti (immagino). C'è il rischio che questo non sia irrilevante, e forse non banalmente piccolo.

Immaginiamo, al contrario, che l'azienda decida di spendere notevoli somme di denaro per prevenire e mitigare questo attacco e, ancora una volta, che ciò sia ragionevole. Se non viene colpito, mai, il costo (della prevenzione) è da significativo a molto significativo. C'era il rischio di essere attaccati, ma era molto piccolo e il denaro assomiglia molto a una perdita significativa.

Infine, c'è la possibile quasi-cattura-22 che gli aggressori vedranno e guarderanno altrove, se ha contromisure, e viceversa.

Potrei anche notare che ricevere un rimborso assicurativo che è (diciamo) uguale al valore (contabile) dell'attività non è idoneo a risolvere il problema se la linfa vitale dell'attività - i dati - viene persa o altrimenti compromessa.

Questo è sicuramente qualcosa che puoi fare, quando sei in gita insieme e non sei sicuro di quale ostello stare, ma questo non è sicuramente un buon consiglio di affari.
@Tom K .: Stavo pensando a un'atmosfera da esploratore marittimo, con presunti mostri enormi e la possibilità di navigare oltre il bordo;è molto più romantico.
Si prega di non punteggiare la risposta con reclami e commenti ad altri
#15
-2
Paddy
2018-07-26 20:53:15 UTC
view on stackexchange narkive permalink

Se riformuliamo leggermente il problema per affermare che se ciò si verifica (e sembra che potrebbe), sarai senza lavoro e mitigare questo problema significa aumentare leggermente la spesa IT delle aziende, quindi penso che il la risposta diventa un po 'più facile da trovare.

ie se non lo faccio, e succede, sarò senza lavoro (forse con la reputazione a brandelli). Se fai qualcosa al riguardo, la tua azienda dovrà pagare un po 'più di denaro.

A me sembra un gioco da ragazzi.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...