Как оценить риски в кибербезопасности. Лучшие инструменты и практики. Дуглас У. Хаббард

Чтение книги онлайн.

СКАЧАТЬ улучшить простую модель, описанную в первой части. Мы поговорим о том, как добавить полезные детали к простой модели, как помочь специалистам по кибербезопасности отточить свои навыки оценки неопределенности и как улучшить модель с помощью эмпирических данных (даже если кажется, что данных мало).

      В третьей части будет показана более общая картина: как эти методы можно реализовать в компании, как возникают новые угрозы и как развивающиеся инструменты и методы способствуют повышению эффективности измерений рисков кибербезопасности. И еще мы попытаемся сформулировать призыв к сфере кибербезопасности в целом.

      А для начала в следующей главе будет заложена основа для понимания термина «измерение». Термин может казаться простым и очевидным, но неверное понимание измерений и методов их осуществления частично является причиной нежелания применять измерения в области кибербезопасности.

Примечания

      1. Greg Miller, “FBI Director Warns of Cyberattacks; Other Security Chiefs Say Terrorism Threat Has Altered,” Washington Post, November 14, 2013, www.washingtonpost.com/world/national-security/fbi-directorwarns-of-cyberattacks-other-security-chiefs-say-terrorism-threat-hasaltered/2013/11/14/ 24f1b27a-4d53-11e3-9890-a1e0997fb0c0_story.html.

      2. Dan Waddell, Director of Government Affairs, National Capital Regions of (ISC)² in an announcement of the Global Information Security Workforce Study (GISWS), www.isc2.org, May 14, 2015.

      3. Stephen Gandel, “Lloyd’s CEO: Cyber Attacks Cost Companies $400 Billion Every Year,” Fortune.com, January 23, 2015, http://fortune.com/2015/01/23/cyber-attack-insurance-lloyds/.

      4. Sue Poremba, “2014 Cyber Security News Was Dominated by the Sony Hack Scandal and Retail Data Breaches,” Forbes Magazine, December 31, 2014, www.forbes.com/sites/sungardas/2014/12/31/2014-cybersecurity-news-was-dominated-by-the-sony-hack-scandal-and-retaildata-breaches/#1c79203e4910.

      5. Kevin Haley, “The 2014 Internet Security Threat Report: Year Of The Mega Data Breach,” Forbes Magazine, July 24, 2014, www.forbes.com/sites/symantec/2014/07/24/the-2014-internet-security-threat-reportyear-of-the-mega-data-breach/#724e90a01a98.

      6. Matthew Heller, “Lloyd’s Insurer Says Cyber Risks Too Big to Cover,” CFO.com, February 6, 2015, ww2.cfo.com/risk-management/2015/02/lloyds-insurer-says-cyber-risks-big-cover/.

      7. Jim Bird and Jim Manico, “Attack Surface Analysis Cheat Sheet.” OWASP.org. July 18, 2015, www.owasp.org/index.php/Attack_Surface_Analysis_Cheat_Sheet.

      8. Stephen Northcutt, “The Attack Surface Problem.” SANS.edu. January 7, 2011, www.sans.edu/research/security-laboratory/article/did-attacksurface.

      9. Pratyusa K. Manadhata and Jeannette M. Wing, “An Attack Surface Metric,” IEEE Transactions on Software Engineering 37, no. 3 (2010): 371–386

      10. Gartner, “Gartner Says 4.9 Billion Connected ‘Things’ Will Be in Use in 2015” (press release), November 11, 2014, www.gartner.com/newsroom/id/2905717.

      11. The President’s National Security Telecommunications Advisory Committee, “NSTAC Report to the President on the Internet of Things,” November 19, 2014, www.dhs.gov/sites/default/fi les/publications/IoT%20Final%20Draft%20Report%2011–2014.pdf.

      12. Alissa Ponchione, “CISOs: The CFOs of IT,” CFO, November 7, 2013, ww2.cfo.com/technology/2013/11/cisos-cfos/.

      13. Matthew J. Schwartz, “Target Ignored Data Breach Alarms,” Dark Reading (blog), InformationWeek, March 14, 2014, www.darkreading.com/attacks-and-breaches/target-ignored-data-breach-alarms/d/d-id/1127712.

      14. Elizabeth Weise, “Chief Information Security Officers Hard to Find – and Harder to Keep,” USA Today, December 3, 2014, www.usatoday.com/story/tech/2014/12/02/sony-hack-attack-chiefinformation-security-offi cer-philip-reitinger/19776929/.

      15. Kelly Kavanagh, “North America Security Market Forecast: 2001–2006,” Gartner, October 9, 2002, www.bus.umich.edu/KresgePublic/Journals/ Gartner/ research/110400/110432/110432.html.

      16. Sean Brodrick, “Why 2016 Will Be the Year of Cybersecurity,” Energy & Resources Digest, December 30, 2015, http://energyandresourcesdigest.com/ invest-cybersecurity-2016-hack-cibr/.

      17. Deborah Gage, “VCs Pour Money into Cybersecurity Startups,” Wall Street Journal, April 19, 2015, www.wsj.com/articles/vcs-pour-moneyinto-cybersecurity-startups-1429499474.

      18. PWC, Managing Cyber Risks in an Interconnected World: Key Findings from the Global State of Information Security Survey 2015, September 30, 2014, www.pwc.be/en/news-publications/publications/2014/gsiss2015.html.

      19. OWASP, “OWASP Risk Rating Methodology,” last modified September 3, 2015, www.owasp.org/index.php/ OWASP_Risk_Rating_Methodology.

      Глава 2. Руководство по измерениям для сферы кибербезопасности

      Успех складывается из настойчивости, упорства и готовности на протяжении двадцати двух минут разбираться с задачей, которую большинство людей бросили бы после тридцати секунд.

Малкольм Гладуэлл. Гении и аутсайдеры. Почему одним все, а другим ничего?¹

      Прежде чем обсуждать, каким образом СКАЧАТЬ