خطاهای رایج حین ارزیابی خطرات سایبری

02 شهریور 1399 خطاهای رایج حین ارزیابی خطرات سایبری

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ وقتی آسیبی واقعی -در صورت وقوع یک رخداد- بیش از چند هزار دلار خرج برنمی‌دارد پس مسلم است که هیچ کس دلش نمی‌خواهد میلیون‌ها دلار خرج محافظت از شرکتش کند (این کار تا حدی احمقانه است). و اگر هم خسارات احتمالی نشت داده در شرکتی بتواند صدها هزار دلار هزینه بردارد پس صرفه‌جویی افراطی در بخش امنیت نیز می‌تواند درست به همان اندازه احمقانه باشد. اما برای محاسبه‌ی خسارات تقریبی وارد آمده به یک شرکت باید از چه قِسم اطلاعاتی استفاده کرد و چطور می‌شود میزان احتمال وقوع چنین رخدادی را سنجید؟ در کنفرانس 2020 بلک‌هت دو محقق با نام‌های وید بیکر استاد دانشکده فنی ویرجینیا و دیوید سوروسکی تحلیلگر ارشد مؤسسه‌ی ساینشیا دیدگاه خود را در خصوص ارزیابی ریسک ارائه دادند که در این خبر قصد داریم نظرات آن‌ها را مورد بررسی قرار دهیم. با ما همراه بمانید.

در هر دوره‌ی امنیت سایبری اینطور آموزش داده می‌شود که ارزیابی خطر بر دو عامل اصلی متکی است: احتمال وقوع رخداد و خسارات بالقوه‌اش. اما این دست داده‌ها از کجا می‌آید؟ و مهمتر اینکه چطور باید آن‌ها را تفسیر و تعبیر کرد؟ از اینها گذشته، ارزیابی نادرست خسارات احتمالی به نتیجه‌گیری‌های نادرستی نیز منتهی می‌شود و همین خود استراتژی‌های محافظتی غلط را در پی خواهد داشت.

ریاضی شاقل درستی برای گرفتن میانگین خطرات و خسارات نیست

بسیاری از شرکت‌ها روی خسارات مالی ناشی از رخدادهای نقض داده بررسی کرده‌اند. «یافته‌های کلیدی» آن‌ها معمولاً متوسط خسارات شرکت‌هایی با اندازه‌ی قابل‌مقایسه هستند. نتیجه به لحاظ ریاضیاتی معتبر است و این رقم می‌تواند حتی در سرخط خبرها جذاب و چشم‌گیر هم به نظر بیاید؛ اما آیا واقعاً می‌شود در محاسبه‌ی خطرات روی چنین یافته‌هایی حساب باز کرد؟ همان داده‌ها را اگر با نمودار نشان دهیم –با خسارات در محور افقی و تعداد رخدادهایی که علت چنین خساراتی بودند- درخواهیم یافت که حساب و ریاضی نمی‌تواند شاخص درست و مناسبی باشد.

در 90 درصد از رخدادها، متوسط خسارات کمتر از میانگین ریاضیاتی هستند.

اگر داریم در مورد خساراتی می‌گوییم که یک کسب و کار متوسط متحمل شده است پس عقل حکم می‌کند به سایر شاخص‌ها نگاه کنیم- خصوصاً میانگین (عددی که نمونه را به دو بخش مساوی تقسیم می‌کند بطوریکه نیمی از ارقام گزارش‌شده بالاتر و نیمی از آن‌ها کمتر باشد) که در واقع حالت عددی متناسبی است.

بیشتر شرکت‌ها دقیقاً چنین خساراتی را متحمل می‌شوند. میانگین حسابی[1] می‌تواند -به دلیل تعداد اندک رخدادهای دور از مرکز با خساراتی به طور غیرطبیعی نجومی- رقم بسیار گیج‌کننده‌ای را تولید کند.

 

 

متوسط هزینه‌ی ثبت داده‌های نشت‌شده

نمونه ‌دیگری از یک میانگین مشکوک می‌تواند نمونه‌ای باشد برگرفته از متود محاسبه‌ی خسارات ناشی از رخدادهای نشت، آن هم با ضرب تعداد سوابق اطلاعات آلوده‌شده با میزان متوسط خسارات یکی از موارد نشت داده. تمرینات اینطور نشان داده که در این متود، خسارات رخدادهای کوچک را دست‌کم و به طور جدی‌ای خسارات رخدادهای بزرگ دست بالا گرفته می‌شود. بگذارید مثالی بزنیم: چندی پیش، خبری در کل سایت‌های تحلیلی پیچید. در این خبر ادعا شده بود که سرویس‌های کلود با تنظیماتی نادرست حدود 5 تریلیون دلار هزینه روی دست شرکت‌ها گذاشته‌اند. اگر هم سرچ کنید که چنین رقم نجومی از کجا سر و کله‌اش پیدا شده اس متوجه خواهید شد که این 5 تریلیون دلار فقط با ضرب تعداد سوابق نشت‌شده با متوسط خسارات ناشی از یک پرونده (150 دلار) محاسبه شده است.

با این حال، باید به ماجرا از چندین بعد نگاه کرد. اول از همه اینکه این مطالعه تمامی رخدادها را مد نظر قرار نداده است. دوم اینکه حتی وقتی تنها نمونه‌ی بکارگرفته‌شده را هم لحاظ می‌کنیم، میانگین حسابی باز تصویر واضح و مشخصی در مورد این خسارات ندارد به ما نمی‌دهد؛ تنها مواردی را که خسارتی کمتر از 10 هزار دلار و بیش از 1 سنت داشته‌اند لحاظ کرده است. افزون بر این، از متودولوژی این تحقیق معلوم است که این متوسط برای رخدادهایی که در آن‌ها بیش از 100 هزار مورد آلوده وجود دارد معتبر نیست. بنابراین، ضرب تعداد کل سوابق نشت‌شده در نتیجه‌ی تنظیمات نادرست سرویس‌های کلود با 150 از اساس اشتباه بوده است. اگر این متود قرار است ارزیابی ریسک واقعی تولید کند باید شاخص دیگری را نیز شامل شود: شاخص احتمال خسارات بسته به مقیاس رخداد. چنین شاخصی به طور تقریبی از قرار زیر خواهد بود:

 

 

اثر موجی[2]

عامل دیگر که اغلب موقع محاسبه‌ی هزینه یک رخداد نادیده گرفته می‌شود این است که نشتی‌های مدرن اطلاعاتی روی منافع بیش از یک شرکت واحد تأثیر می‌گذارند. در بسیاری از رخدادها، مجموع خسارات واردشده به شرکت‌های طرف‌سوم (شرکا، پیمانکاران و تأمین‌کنندگان) از میزان خسارات واردشده به خود شرکت که در اصل داده از همانجا نشت شده بیشتر می‌شود. تعداد چنین رخدادهایی هر سال رو به افزایش است؛ ترند کلی دیجیتاسیون فقط سطح وابستگی متقابل را میان فرآیندهای شرکت در سازمان‌های مختلف افزایش می‌دهد. بر طبق نتایج مطالعه‌ی Ripples Across the Risk Surface–مشترکاً انجام‌شده توسط RiskRecon و Cyentia Institute- 813 رخداد از این دست منجر برای 5437 سازمان خسارت به بار آورد. بدین‌معنا که برای هر شرکت که از نشت داده رنج می‌برد –به طور متوسط- بیش از 4 شرکت آلوده‌ی چنین رخدادی می‌شوند. 

توصیه عملی

نکته مهم: آن کارشناس معقولی که ریسک‌های سایبری را ارزیابی می‌کند باید موارد زیر را لحاظ کند:

  • به عنوان‌های خبری جذاب و فریبنده اعتماد نکند. حتی اگر بسیاری از سایت‌ها اطلاعات مشخصی دادند این لزوماً به معنای اعتبار و صحت آن خبر نیست. همیشه نگاهش به منبعی باشد که این ادعا را حمایت کرده و خودش متودولوژی محققین را تحلیل ‌کند.
  • تنها از نتایج محققی استفاده کند که تماماً در ارزیابی ریسک خودش آن را درک می‌کند.
  • در نظر داشته باشد که رخدادی در شرکت شما ممکن است برای سایر شرکت‌ها نیز خساراتی در پی داشته باشد. اگر نشتی صورت گیرد –در صورتی که مقصرش شما باشید- پس سایر طرف‌ها ممکن است به دنبال مراجع قانونی برای شکایت از شما بروند (و این حتی خسارات شما را بیشتر نیز می‌کند).
  • همینطور فراموشش نشود که شرکا و پیمانکاران نیز می‌توانند در رخدادهایی که نمی‌توانید رویشان تأثیر بگذارید داده‌های شما را نشت کنند.

 

[1] arithmetic mean

[2] The ripple effect

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    9,258,060 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    3,084,060 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    6,172,530 ریال12,345,060 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,627,560 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,627,560 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    6,171,060 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    11,113,200 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد