При оценке эффективности ИБ (в т.ч. и с точки зрения экономики) обычно используют подход из теории принятия решения, аналогичный анализу рисков (в России используют только его). Идея проста — оцениваем риск в терминах вероятности его реализации и ущерба от него. Затем выбираем методы снижения риска (или принятия, или перекладывания), стоимость которых должна быть ниже потенциального ущерба. Эту классическую идею применительно к экономике ИБ впервые развили Гордон и Леб. Потом ее многие крутили так и эдак (например, иерархическая голографическая модель Лонгстаффа или работы Ху), не сильно отклоняясь от первоначальной идеи.
В 2003-м году появились первые серьезные наработки, использующие совершенно иной подход в оценке эффективности вложений в ИБ, основанный на теории игр. Их автором является Кавузоглы. Как нам говорит Википедия, «теория игр — математический метод изучения оптимальных стратегий в играх. Под игрой понимается процесс, в котором участвуют две и более сторон, ведущих борьбу за реализацию своих интересов. Каждая из сторон имеет свою цель и использует некоторую стратегию, которая может вести к выигрышу или проигрышу — в зависимости от поведения других игроков. Теория игр помогает выбрать лучшие стратегии с учётом представлений о других участниках, их ресурсах и их возможных поступках«. Кто помнит фильм «Игры разума», тот поймет о чем идет речь.
Очевидно, что противоборство безопасника и нарушителя может быть отлично описано теорией игр. Но применяется она в первую очередь в экономике. К рынку ИБ ее можно применять по-разному.
Кавузоглы применил ее к оценке оптимального объема инвестиций в ИБ. Из интересных особенностей этой модели можно назвать возможность оценки вклада отдельных технологий (IPS, МСЭ и т.д.) в инвестиционную привлекательность проектов по ИБ, а также влияние одной технологии ИБ на другую. Например, полное отсутствие защиты периметра делает применение МСЭ Cisco ASA с модулем IPS вполне оправданным, а при наличии уже имеющейся IPS выбор в пользу ASA может быть не такой очевидный — возможно проще будет возложить решение задачи межсетевого экранирования на встроенный в каждый маршрутизатор Cisco IOS Firewall. Модель Кавузоглы позволяет делать обоснованные решения в пользу того или иного решения.
В своих работах Кавузоглы с коллегами показал, что теория игр применительно к ИБ более предпочтительна, чем классическая теория принятия решений, т.к. позволяет делать более оптимальные инвестиции.
Не уверен что сравнение рынка ИБ и рынка подержанных автомобилей корректно, т.к. у каждого автомобиля есть владелец который не производит свой товар и соответственно не может влиять на себестоимость, ну а себестоимость и маржа в производстве ПО вообще может быть космической — стоит только посмотреть на темпы роста некоторых софтверных компаний.
А вот сама теория игр штука перспективная, но кто ее будет применять? Современный безопасник и так напоминает туго набитую знаниями сумку..Нужны утилиты и гайдлайны:)
Алексею Лукацкому:
На счет большей перспективности это сгоряча: есть угрозы, связанные с действием источника, не имеющего умысла (интереса) и не следующего стратегии. Если к визиту уполномоченного органа пригоднее теория игр, то к падению метеорита принятия решений 😉
Александру: Применимость — это ключевой вопрос ;-( Ну так у нас многие неплохие вещи не применяются. Но как минимум знать о них стоит.
Ригелю: Почему сгоряча? Многие актуальные вещи этой теорией закроются. Именно актуальные. Та же угроза прихода регулятора. Она сейчас ключевая для многих. В отличие от падающего метеорита 😉 Если уж вдаваться в детали, то среди источников угроз ИБ основное их число попадет в умышленные. Неуправляемые источники навроде стихийных бедствий важны, но скорее в контексте близкого тебе BCP, а не ИБ 😉
Почти. Не все антропогенные источники являются умышленными, иные можно за стохастические принимать. Я поэтому и настаиваю, что для _части_ рисков ТИ перспективнее. Но это мы уже за %% долей торгуемся, а не в принципе.
Для части согласен 😉 Универсального рецепта же все равно нет
Я так понял, что работы Кавузоглы достойны внимания и изучения. А можно ссылочку? Потому, как в кирилице найти не удается и поиск после транслитерации в латиницу закончился неудачей (подозреваю, что что-то делаю не так)
Cavusoglu
Спасибо.
Быстро нашел только http://people.commerce.ubc.ca/faculty/cavusoglu/huseyin/paper/ids.pdf
ИМХО модель достаточно сложна, даже с учетом принятых допущений. Слабо верится в практическую реализацию.
А иллюстрация практического применения модели кому-то попадалась?
А касательно «теория игр» vs «теории принятия решений» не думаю, что на данном историческом отрезке первая уж так хороша : принимая во внимание фактически не ограниченные ресурсы атакующего и скорость изменения его стратегии, затраты на анализ выбора оптимального сценария защиты и его последующая эффективность данного сценария ИМХО представляются не оправданными.