خطاهای رایج حین ارزیابی تهدیدهای سایبری
وقتی آسیبی واقعی -در صورت وقوع یک رخداد- بیش از چند هزار دلار خرج برنمیدارد پس مسلم است که هیچ کس دلش نمیخواهد میلیونها دلار خرج محافظت از شرکتش کند (این کار تا حدی احمقانه است). و اگر هم خسارات احتمالی نشت داده در شرکتی بتواند صدها هزار دلار هزینه بردارد پس صرفهجویی افراطی در بخش امنیت نیز میتواند درست به همان اندازه احمقانه باشد. اما برای محاسبهی خسارات تقریبی وارد آمده به یک شرکت باید از چه قِسم اطلاعاتی استفاده کرد و چطور میشود میزان احتمال وقوع چنین رخدادی را سنجید؟ در کنفرانس 2020 بلکهت دو محقق با نامهای وید بیکر استاد دانشکده فنی ویرجینیا و دیوید سوروسکی تحلیلگر ارشد مؤسسهی ساینشیا دیدگاه خود را در خصوص ارزیابی ریسک ارائه دادند که در این خبر قصد داریم نظرات آنها را مورد بررسی قرار دهیم. با ما همراه بمانید.
در هر دورهی امنیت سایبری اینطور آموزش داده میشود که ارزیابی خطر بر دو عامل اصلی متکی است: احتمال وقوع رخداد و خسارات بالقوهاش. اما این دست دادهها از کجا میآید؟ و مهمتر اینکه چطور باید آنها را تفسیر و تعبیر کرد؟ از اینها گذشته، ارزیابی نادرست خسارات احتمالی به نتیجهگیریهای نادرستی نیز منتهی میشود و همین خود استراتژیهای محافظتی غلط را در پی خواهد داشت.
ریاضی شاقول درستی برای گرفتن میانگین خطرات و خسارات نیست
بسیاری از شرکتها روی خسارات مالی ناشی از رخدادهای نقض داده بررسی کردهاند. «یافتههای کلیدی» آنها معمولاً متوسط خسارات شرکتهایی با اندازهی قابلمقایسه هستند. نتیجه به لحاظ ریاضیاتی معتبر است و این رقم میتواند حتی در سرخط خبرها جذاب و چشمگیر هم به نظر بیاید؛ اما آیا واقعاً میشود در محاسبهی خطرات روی چنین یافتههایی حساب باز کرد؟ همان دادهها را اگر با نمودار نشان دهیم –با خسارات در محور افقی و تعداد رخدادهایی که علت چنین خساراتی بودند- درخواهیم یافت که حساب و ریاضی نمیتواند شاخص درست و مناسبی باشد.
در 90 درصد از رخدادها، متوسط خسارات کمتر از میانگین ریاضیاتی هستند.
اگر داریم در مورد خساراتی میگوییم که یک کسب و کار متوسط متحمل شده است پس عقل حکم میکند به سایر شاخصها نگاه کنیم- خصوصاً میانگین (عددی که نمونه را به دو بخش مساوی تقسیم میکند بطوریکه نیمی از ارقام گزارششده بالاتر و نیمی از آنها کمتر باشد) که در واقع حالت عددی متناسبی است.
بیشتر شرکتها دقیقاً چنین خساراتی را متحمل میشوند. میانگین حسابی[1] میتواند -به دلیل تعداد اندک رخدادهای دور از مرکز با خساراتی به طور غیرطبیعی نجومی- رقم بسیار گیجکنندهای را تولید کند.
متوسط هزینهی ثبت دادههای نشتشده
نمونه دیگری از یک میانگین مشکوک میتواند نمونهای باشد برگرفته از متود محاسبهی خسارات ناشی از رخدادهای نشت، آن هم با ضرب تعداد سوابق اطلاعات آلودهشده با میزان متوسط خسارات یکی از موارد نشت داده. تمرینات اینطور نشان داده که در این متود، خسارات رخدادهای کوچک را دستکم و به طور جدیای خسارات رخدادهای بزرگ دست بالا گرفته میشود.
بگذارید مثالی بزنیم: چندی پیش، خبری در کل سایتهای تحلیلی پیچید. در این خبر ادعا شده بود که سرویسهای کلود با تنظیماتی نادرست حدود 5 تریلیون دلار هزینه روی دست شرکتها گذاشتهاند. اگر هم سرچ کنید که چنین رقم نجومی از کجا سر و کلهاش پیدا شده اس متوجه خواهید شد که این 5 تریلیون دلار فقط با ضرب تعداد سوابق نشتشده با متوسط خسارات ناشی از یک پرونده (150 دلار) محاسبه شده است.
با این حال، باید به ماجرا از چندین بعد نگاه کرد. اول از همه اینکه این مطالعه تمامی رخدادها را مد نظر قرار نداده است. دوم اینکه حتی وقتی تنها نمونهی بکارگرفتهشده را هم لحاظ میکنیم، میانگین حسابی باز تصویر واضح و مشخصی در مورد این خسارات ندارد به ما نمیدهد؛ تنها مواردی را که خسارتی کمتر از 10 هزار دلار و بیش از 1 سنت داشتهاند لحاظ کرده است.
افزون بر این، از متودولوژی این تحقیق معلوم است که این متوسط برای رخدادهایی که در آنها بیش از 100 هزار مورد آلوده وجود دارد معتبر نیست. بنابراین، ضرب تعداد کل سوابق نشتشده در نتیجهی تنظیمات نادرست سرویسهای کلود با 150 از اساس اشتباه بوده است. اگر این متود قرار است ارزیابی ریسک واقعی تولید کند باید شاخص دیگری را نیز شامل شود: شاخص احتمال خسارات بسته به مقیاس رخداد. چنین شاخصی به طور تقریبی از قرار زیر خواهد بود:
اثر موجی[2]
عامل دیگر که اغلب موقع محاسبهی هزینه یک رخداد نادیده گرفته میشود این است که نشتیهای مدرن اطلاعاتی روی منافع بیش از یک شرکت واحد تأثیر میگذارند. در بسیاری از رخدادها، مجموع خسارات واردشده به شرکتهای طرفسوم (شرکا، پیمانکاران و تأمینکنندگان) از میزان خسارات واردشده به خود شرکت که در اصل داده از همانجا نشت شده بیشتر میشود.
تعداد چنین رخدادهایی هر سال رو به افزایش است؛ ترند کلی دیجیتاسیون فقط سطح وابستگی متقابل را میان فرآیندهای شرکت در سازمانهای مختلف افزایش میدهد. بر طبق نتایج مطالعهی Ripples Across the Risk Surface–مشترکاً انجامشده توسط RiskRecon و Cyentia Institute- 813 رخداد از این دست منجر برای 5437 سازمان خسارت به بار آورد. بدینمعنا که برای هر شرکت که از نشت داده رنج میبرد –به طور متوسط- بیش از 4 شرکت آلودهی چنین رخدادی میشوند.
توصیه عملی
نکته مهم: آن کارشناس معقولی که ریسکهای سایبری را ارزیابی میکند باید موارد زیر را لحاظ کند:
• به عنوانهای خبری جذاب و فریبنده اعتماد نکند. حتی اگر بسیاری از سایتها اطلاعات مشخصی دادند این لزوماً به معنای اعتبار و صحت آن خبر نیست. همیشه نگاهش به منبعی باشد که این ادعا را حمایت کرده و خودش متودولوژی محققین را تحلیل کند.
• تنها از نتایج محققی استفاده کند که تماماً در ارزیابی ریسک خودش آن را درک میکند.
• در نظر داشته باشد که رخدادی در شرکت شما ممکن است برای سایر شرکتها نیز خساراتی در پی داشته باشد. اگر نشتی صورت گیرد –در صورتی که مقصرش شما باشید- پس سایر طرفها ممکن است به دنبال مراجع قانونی برای شکایت از شما بروند (و این حتی خسارات شما را بیشتر نیز میکند).
• همینطور فراموشش نشود که شرکا و پیمانکاران نیز میتوانند در رخدادهایی که نمیتوانید رویشان تأثیر بگذارید دادههای شما را نشت کنند.
[1] arithmetic mean
[2] The ripple effect
منبع: کسپرسکی آنلاین
تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)
- ۹۹/۰۶/۰۳