Поохотимся… на «черных лебедей»!
В последние пару лет стал популярным термин «черный лебедь». Термин обозначает редкие непредсказуемые события со значительными последствиями (начала мировых войн, финансовые кризисы и т.п.). В кибербезопасности таким событием была атака предположительно китайских хакеров на ряд промышленных и высокотехнологичных компаний США (Lockheed Martin, Google и др.), известная как Operation Aurora. По оценке Brookings Institute атака привела к увеличению стоимости реализуемой Lockheed Martin программы многоцелевого истребителя (Joint Strike Fighter) на 50% (до 388 миллиардов долларов).
Создавая «Черные лебеди» в кибербезопасности злоумышленники используют ранее неизвестные уязвимости (zero day), человеческий фактор (spear phishing), атакуют резервные копии (взлом Hacking Team) и реализуют DDoS атаки мощностью в 470 гигабит (недавно обнаруженная Imperva – атака на китайскую gambling компанию).
Увы, многие из этих проблем практически неразрешимы. К примеру, нельзя на 100% быть уверенными в отсутствии уязвимостей в ПО или довести до идеальной осведомленность пользователей (всегда кто-то будет расстроен, болен или невнимателен). Индустрия кибербезопасности более-менее научилась бороться с известными практиками атак (known evil), но во многом неэффективна перед неизвестными (unknown evil).
Именно на unknown evil направлены десятки и сотни бурно развивающихся стартапов, именно на них сделали свои миллиардные капитализации Palo Alto и FireEye, но проблема до сих пор не решена. Во многом из-за непонимания руководства организаций необходимости инвестиций.
Со стороны руководства кибербезопасность напоминает «черную дыру», которая с каждым годом все поглощает ничего не давая взамен. Не дает ни дохода, ни прибыли, ни сколько-нибудь значимой уверенности в устойчивом функционировании бизнеса в информационной сфере. А значит ситуация аналогична фондовым рынкам, инвестиции в которые автор концепции «черного лебедя» Нассим Талеб сравнивает с игрой в рулетку.
Для повышения возврата на инвестированный в кибербезопасность капитал предлагаю воспользоваться предложенной Талебом стратегией штанги.
Стратегия штанги подразумевает инвестиции в два класса активов:
- Надежные малодоходные активы (депозиты, государственные облигации и т.п.)
- Венчурные высокорисковые активы, потенциально приносящие прибыль в сотни и тысячи процентов.
По мнению Талеба такой портфель позволяет придать антихрупкость (устойчивость к значимым потрясениям) капиталу инвестора. В самом деле, разделяя инвестиции в пропорции 80 на 20 (надежные и высокорисковые инвестиции) мы повторяем старую добрую концепцию структурных продуктов, где инвестор как минимум ничего не потеряет.
Применяя Стратегию штанги в кибербезопасности, менеджмент организации ровно так же инвестирует в надежные проверенные меры (антивирус, управление обновлениями, межсетевой экран, резервное копирование, обучение пользователей) и новейшие практики (геймификация обучения пользователей, поведенческий анализ – UBA, анализ поведения файлов – «песочницы», кластерный анализ трафика в сети и др.).
Стратегия штанги в кибербезопасности отвечает одновременно на вызовы Known и Unknown evil, но потребует изрядной смелости, ведь времени и финансовых ресурсов на привычные многим экспертам по кибербезопасности не останется. Могут уйти IDS, сетевое сегментирование, частные политики безопасности – все то, что находится между «гигиеническим минимумом» (надежными средствами) и новейшими практиками.
Выбирая те или иные меры безопасности стоит учесть не только потенциальный возврат капитала, но и способность организации их эксплуатировать. Будет сложно получить какой-либо заметный возврат от технологии типа «собери сам» без выделенного для нее квалифицированного специалиста. С другой стороны, при наличии возможности найма высококлассного специалиста, технологии-конструкторы помогут быстрее адаптироваться к запросам стремительно меняющейся действительности.
