Скачать книгу
Если нет возможности читать онлайн, скачайте книгу Как оценить риски в кибербезопасности. Лучшие инструменты и практики файлом для электронной книжки и читайте офлайн.
Дуглас У. Хаббард, Ричард Сирсен
Как оценить риски в кибербезопасности. Лучшие инструменты и практики
Посвящение Дугласа Хаббарда:
Моим детям Эвану, Мадлен и Стивену постоянным источникам вдохновения в моей жизни. А также моей жене, Джанет, за все, что она делает, чтобы дать мне возможность писать, и за то, что она потрясающий корректор.
Посвящение Ричарда Сирсена:
Всем дамам в моей жизни: Хелене, Каэле, Анике и Бренне. Спасибо за вашу любовь и поддержку как в жизни, так и в написании этой книги. С вами все легко и весело.
Даг и Ричард также хотели бы посвятить эту книгу военнослужащим и сотрудникам правоохранительных органов, специализирующимся в области кибербезопасности.
HOW TO MEASURE ANYTHING IN CYBERSECURITY RISK
Douglas Hubbard, Richard Seiersen, Daniel E. Geer, Stuart McClure
© 2016 by John Wiley & Sons, Inc.
All Rights Reserved. This translation published under license with the original publisher John Wiley & Sons, Inc.
© Райтман М.А., перевод на русский язык, 2023
© Оформление. ООО «Издательство «Эксмо», 2023
Предисловие
Нам повезло получить два предисловия от двух ведущих умов в области оценки рисков кибербезопасности: Дэниела Э. Гира младшего и Стюарта Мак-Клара.
Дэниел Э. Гир младший, доктор технических наук
Дэниел Гир занимается исследованием количественных характеристик безопасности. Его группа в Массачусетском технологическом институте разработала протокол Kerberos, затем было еще несколько стартап-проектов, а сейчас он продолжает работать этой области в качестве руководителя отдела информационной безопасности в компании In-Q-Tel. Дэниел пишет множество работ самого разного объема, и иногда их даже читают. Он инженер-электрик, статистик и человек, уверенный, что в споре рождается истина.
Я с удовольствием рекомендую книгу «Как оценить риски в кибербезопасности. Лучшие инструменты и практики». Тема бесспорно актуальная, я и сам уже долгое время пытаюсь к ней подступиться
1
Практика кибербезопасности это частично инженерия, а частично логические рассуждения. Главная истина инженерии заключается в том, что проектирование успешно тогда и только тогда, когда сама формулировка проблемы полностью понятна. Основная истина логических рассуждений гласит, что у любых данных есть изъяны, и вопрос в том, можно ли их исправить. И инженерия, и логические рассуждения полагаются на измерения. При достаточно хорошем уровне измерений можно говорить о метриках.
Я называю их метриками потому, что это производные от измерений. Метрика включает в себя измерения, выполняемые для подтверждения текущих решений. Мы с вами, дорогие читатели, занимаемся кибербезопасностью не ради науки, но тем, кто пришел в эту область, имея научный (или философский) интерес, понадобятся измерения для подтверждения теорий. Нам необходимы метрики, полученные на основе достоверных измерений, поскольку в масштабах нашей задачи имеющиеся инструменты требуют усиления. Что ни говори, а игроки не станут играть лучше, если не будет вестись счет.
На заре моей карьеры в банке-маркетмейкере состоялась встреча. Руководитель отдела информационной безопасности, в прошлом работавший в отделе внутреннего аудита и не испытывавший радости от назначения на новую должность, был чересчур резок даже по меркам нью-йоркского мира финансов. Свое выступление он начал не то чтобы мягко:
Вы, служба безопасности, настолько глупы, что не можете сказать мне:
Насколько я в безопасности?
В большей ли безопасности, чем был в то же время в прошлом году?
Я трачу достаточное количество денег?
Каково мое положение по сравнению с другими людьми моего уровня?
Какие варианты перехода рисков у меня есть?
Двадцать пять лет спустя эти вопросы остаются актуальными. Ответы на них и подобные им можно получить только с помощью измерений. Вот почему нужна эта книга.
И даже если мы все согласны с причиной, настоящая ценность книги в ответе не на вопрос «Почему?», а на вопрос «Как?». Как измерить, а затем выбрать нужный метод, как делать это последовательно и неоднократно и как двигаться вперед от одного метода к другому по мере совершенствования навыков?
Кто-то скажет, что обеспечить кибербезопасность невозможно, если вы столкнетесь с достаточно опытным противником. Так и есть, но это не важно. Наши противники в основном выбирают цели, которые дадут максимальный результат при затраченных усилиях. Это вежливый намек, что у вас, возможно, не получится противостоять самому целеустремленному противнику, для которого цель оправдывает любые средства, но определенно получится сделать так, чтобы другие цели казались гораздо привлекательнее вас. Как я уже говорил, игроки не станут играть лучше, если не будет вестись счет. Вот что предлагает данная книга способ улучшить вашу игру.
Для этого нужны числа, ведь именно они являются единственными входными данными, как в инженерии, так и в логических рассуждениях. Не слова. И не цветовое кодирование. Если вас заботит собственное благополучие, если вам хочется быть независимыми и знать, каковы ваши позиции, то вы просто обязаны прочесть эту книгу от корки до корки. Ее текст понятен, объяснения просты, а возможность загрузить электронные таблицы не оставляет вам отговорок, чтобы не попытаться.
Убедительно ли я объяснил? Надеюсь, да.
Примечание
1. Daniel Geer, Jr., Kevin Soo Hoo, and Andrew Jaquith, Information Security: Why the Future Belongs to the Quants, IEEE Security & Privacy 1, no. 4 (July/August 2003): 3240, geer.tinho.net/ieee/ieee.sp.geer.0307.pdf.
Предисловие
Стюарт Мак-Клар
Стюарт Мак-Клар генеральный директор компании Cylance, бывший глобальный технический директор компании McAfee, а также ведущий автор серии книг «Секреты хакеров».
В университете профессора постоянно повторяли нам старую максиму: «Нельзя управлять тем, что невозможно измерить». Я, вчерашний подросток, каждый раз все никак не мог уловить ее смысл. Разумеется, на многочисленных занятиях по компьютерным наукам постоянно приходилось совершенствовать математические алгоритмы в программах, но я толком не понимал, как эти попытки количественной оценки могут пригодиться в управлении хоть чем-нибудь вообще, не говоря уже о киберпространстве.
Так я и строил карьеру в области информационных технологий и программирования, пытаясь найти применение своим уникальным талантам. Измерения в киберсфере меня совсем не привлекали, пока я не коснулся кибербезопасности. Мотивацией к поиску фундаментального способа измерить свои действия в области кибербезопасности стал извечный вопрос: «Защищены ли мы от атаки?»
Очевидный ответ на такой банальный, но вполне понятный вопрос: «Нет. Безопасность не бывает стопроцентной». И все же некоторые из вас отвечают так же, как и я временами, когда мне надоедает этот пустой вопрос: «Да, защищены». Почему? Потому, что на нелепые вопросы и ответы нелепые. Как нам в этом убедиться? Без метрик никак.
По мере становления моей карьеры в области кибербезопасности сначала в компаниях InfoWorld и Ernst & Young, потом в основанной мной компании Foundstone, затем на руководящих должностях в компании McAfee, которая приобрела Foundstone, а сейчас в собственной компании Cylance у меня сформировалось своеобразное понимание старой фразы профессора, что нельзя управлять тем, что невозможно измерить. Пусть истинно объективной метрики не существует, но вполне возможно провести субъективные и локализованные измерения текущего уровня риска и вашего положения относительно вас самих в прошлом и других компаний вашего уровня.