By 
هیچ کس نمی خواهد میلیون ها دلار برای محافظت از یک شرکت هزینه کند اگر آسیب واقعی در صورت بروز حادثه از چند هزار نفر تجاوز نکند. و اگر خسارت های احتمالی یک نشت داده می تواند در کل صدها هزار دلار باشد ، قطع گوشه ها برای صرفه جویی در امنیت 100 دلار بسیار ساده است. اما از چه اطلاعاتی باید برای محاسبه خسارت تقریبی یک شرکت در برابر یک سایبر سایبری استفاده کنید و چگونه احتمال واقعی چنین حادثه ای را ارزیابی می کنید؟ در کنفرانس Black Hat 2020 ، دو محقق – پروفسور وید بیکر از ویرجینیا فناوری و دیوید سورسکی ، یک تحلیلگر ارشد در موسسه سینتیا – دیدگاه خود را در مورد ارزیابی ریسک ارائه دادند. ما استدلال های آنها را شایسته بحث بیشتر دانستیم.
هر دوره امنیت سایبری به ارزش نمک آن می آموزد که ارزیابی ریسک به دو عامل اصلی متکی است: احتمال یک حادثه و ضررهای احتمالی آن. اما این داده ها از کجا به دست می آید و مهمتر از آن ، چگونه باید تفسیر شود؟ از این گذشته ، ارزیابی خسارات احتمالی نادرست منجر به نتیجه گیری نادرست می شود ، که منجر به استراتژی های محافظت غیر غیرطبیعی می شود.
آیا این حساب معنی نشانگر است؟
بسیاری از شرکت ها مطالعات مربوط به خسارات مالی ناشی از حوادث نقض داده را انجام می دهند. "یافته های کلیدی" آنها معمولاً به طور متوسط ضرر شرکت های با اندازه قابل مقایسه است. نتیجه از نظر ریاضیات معتبر است و این رقم می تواند در عناوین جذاب جذاب به نظر برسد ، اما آیا واقعاً می توانیم به آن اعتماد کنیم تا خطرات را محاسبه کند؟
همان داده ها را در یک نمودار ، با خسارات در امتداد محور افقی و تعداد حوادثی که باعث خسارات در امتداد محور عمودی شده است ، ارائه کنید و آشکار می شود که میانگین حسابی نشانگر مناسبی نیست.
در 90٪ حوادث ، متوسط خسارتها كمتر از میانگین حسابی است.
اگر ما در مورد ضررهایی صحبت می كنیم كه متوسط مشاغل متحمل می شوند ، بنابراین معقول تر است كه به شاخص های دیگر – به طور خاص ، نگاه كنیم. متوسط (عددی که نمونه را به دو قسمت مساوی تقسیم می کند بطوریکه نیمی از ارقام گزارش شده بالاتر و نیمی از آنها پایین تر است) و میانگین هندسی (میانگین متناسب). بیشتر شرکت ها دقیقاً چنین ضررهایی را متحمل می شوند. میانگین حسابی می تواند به دلیل تعداد اندک از حوادث دور افتاده با خسارات غیرعادی زیاد ، رقم بسیار گیج کننده ای ایجاد کند.
توزیع تلفات ناشی از حوادث نقض داده. منبع
میانگین هزینه ضبط داده های فزاینده
نمونه دیگر از یک "میانگین" سوال برانگیز از روش محاسبه تلفات ناشی از حوادث نقض داده ها با ضرب تعداد سوابق داده های آسیب دیده با میانگین ضرب خسارت ناشی از تلفات ناشی می شود. یک ضبط داده. تمرین نشان داده است که این روش کمترین تلفات حوادث کوچک را دست کم می گیرد و به طور جدی زیان های بزرگ را بیش از حد ارزیابی می کند.
مثالی در اینجا وجود دارد: چند وقت پیش ، یک خبر منتشر شده در بسیاری از سایت های تحلیلی پخش شد و ادعا کرد سرویس های ابری متناسب با پیکربندی شده ، هزینه ای بالغ بر 5 تریلیون دلار برای شرکت ها داشته است. اگر تحقیق کنید که این مبلغ نجومی از کجا آمده است ، مشخص می شود که رقم 5 تریلیون دلاری ناشی از صرف ضرب تعداد سوابق "بیرون رفته" به طور متوسط از خسارت یک رکورد (150 دلار) است. این رقم دوم ناشی از هزینه یک مطالعه نقض اطلاعات در سال 2019 توسط موسسه Ponemon است.
با این حال ، داستان باید با چندین احتیاط همراه باشد. اول از همه ، این مطالعه تمام حوادث را در نظر نگرفته است. دوم ، حتی هنگامی که ما فقط نمونه مورد استفاده را در نظر می گیریم ، میانگین حسابی ایده روشنی از ضررها ارائه نمی دهد؛ این فقط پرونده های مربوط به سوابق را در نظر می گرفت که ضرر آنها کمتر از 10000 دلار و بیشتر از 1 درصد باشد. علاوه بر این ، از روش مطالعه مشخص است که میانگین در مورد حوادثی که بیش از 100000 پرونده در آن رخ داده ، معتبر نیست. بنابراین ، ضرب تعداد کل سوابق که در نتیجه سرویس های ابری نادرست پیکربندی شده توسط 150 به بیرون درز کرده بودند ، اساساً اشتباه بود.
اگر این روش یک ارزیابی خطر واقعی را ایجاد کند ، باید بسته به مقیاس حادثه ، شاخص دیگری از احتمال خسارت را درج کند. تقریباً به شرح زیر خواهد بود:
وابستگی به احتمال تلفات از تعداد سوابق در اثر این حادثه. منبع
تأثیر موج
عامل دیگری که اغلب هنگام محاسبه هزینه یک حادثه نادیده گرفته می شود این است که نشت داده های مدرن بیش از یک شرکت واحد بر منافع بیشتر تأثیر می گذارد. در بسیاری از حوادث ، کل خسارت های وارد شده توسط شرکت های شخص ثالث (شرکا ، پیمانکاران و تأمین کنندگان) بیش از خسارت وارده به شرکتی است که از آن اطلاعات به بیرون درآمده است.
هر ساله تعداد چنین حوادثی افزایش می یابد. روند کلی "دیجیتالی شدن" تنها سطح وابستگی متقابل بین فرآیندهای تجاری در شرکتهای مختلف را افزایش می دهد. طبق نتایج Ripples Across the Risk Surface که به طور مشترک توسط RiskRecon و موسسه Cyentia انجام شده است ، 813 حادثه از این نوع منجر به خسارت هایی برای 5،437 سازمان شده است. یعنی برای هر شرکتی که دچار نقض داده شده است ، به طور متوسط بیش از چهار شرکت تحت تأثیر این واقعه قرار دارند.
مشاوره عملی
نکته اصلی این است که کارشناسان معقول که سایبری را ارزیابی می کنند ، باید به توصیه های زیر توجه کنند:
- به عناوین خبری گزنده اعتماد نکنید. حتی اگر بسیاری از سایت ها اطلاعات خاصی را در اختیار داشته باشند ، لزوماً درست نیستند. همیشه به منبعی که ادعا می کند نگاه کنید و روش خود پژوهشگران را تحلیل کنید.
- فقط از نتایج تحقیقاتی استفاده کنید که در ارزیابی ریسک خود کاملاً درک کنید.
- به خاطر داشته باشید که یک حادثه در شرکت شما ممکن است منجر به از دست رفتن داده برای مشاغل دیگر شود. اگر نشتی به دلیل خطای شما رخ دهد ، احتمالاً طرفهای دیگر به دنبال تجدیدنظر قانونی علیه شما هستند و خسارتهای ناشی از این حادثه را افزایش می دهند.
- به همین ترتیب ، فراموش نکنید که شرکا و پیمانکاران می توانند داده های شما را در حوادثی فاش کنند که شما به هیچ وجه نمی توانید روی آن تأثیر بگذارید.
! .fbq) بازگشت ؛ n = f.fbq = تابع () n.callMethod؟
n.callMethod.apply (n ، argument): n.queue.push (آرگومان)}؛ if (! f._fbq) f._fbq = n؛
n.push = n؛ n.loaded =! 0؛ n.version = '2.0'؛ n.queue = []؛ t = b.createElement (e)؛ t.async =! 0؛
t.src = v؛ s = b.getElementsByTagName (e) [0]؛ s.parentNode.insert قبل از (t ، s)} (پنجره ،
سند ، "اسکریپت" ، "// connect.facebook.net/en_US/fbevents.js")؛
fbq ('اولیه' ، '839281392784015')؛
fbq ('track'، 'PageView')؛
(function (d، s، id) {var js، fjs = d.getElementsByTagName (s) [0]؛ if (d.getElementById (id)) {Return js = d.createElement (s)؛ js.id = id؛ js.src = "https: / / connect.facebook.net / en_US /all.js"؛ fjs.parentNode.insertBefore (js، fjs)} (سند ، "اسکریپت" ، "facebook-jssdk "))؛
