«Безопасность — это не состояние, а процесс с вероятностью на каждом шаге. Обычный подход ищет дыры, чтобы их закрыть, но не отвечает на главный вопрос: насколько вероятно, что атака пройдёт именно сейчас, в этих условиях, через эту конкретную цепочку? Стохастические модели переводят защиту из бинарной плоскости “есть/нет” в плоскость управления вероятностями, что оказывается куда ближе к реальности, особенно под пристальным взглядом 152-ФЗ и ФСТЭК».
Что такое стохастические модели и зачем они нужны в ИБ
Классическая модель информационной безопасности детерминистична: сканер нашёл уязвимость CVE-2024-12345, её устранили, чек-лист выполнен. Защита представляется как набор статических барьеров. В действительности успех атаки зависит от цепи случайных событий: сработает ли эксплойт с первого раза, перейдёт ли пользователь по фишинговой ссылке сегодня, будет ли в момент сканирования нужный порт открыт. Комбинаций этих событий тысячи.
Стохастические модели описывают сетевую атаку не как единичный путь, а как граф вероятностных переходов между состояниями системы. Состояние — это позиция злоумышленника: «за периметром», «в облаке электронной почты», «на контроллере домена». Каждый переход — преодоление конкретной защиты — имеет свою вероятность, основанную на эффективности мер, сложности эксплуатации и человеческом факторе.
В контексте 152-ФЗ, где требуется обеспечить безопасность персональных данных, и методик ФСТЭК такой подход трансформирует формальное «соответствие» в измеримую величину. Вместо отчёта о выполненных мероприятиях можно получить оценку: «Вероятность несанкционированного доступа к базам данных в течение года не превышает 0,5%». Это формирует основу для аргументированного диалога с регулятором и для приоритизации затрат на защиту.
Как строятся стохастические модели проникновения
Модель строится поверх структурированного представления об угрозах, такого как атаковый граф или дерево угроз, но каждый его элемент получает количественную оценку.
1. Определение состояний системы
Моделирование начинается с карты информационной системы. Состояниями отмечаются ключевые точки потенциального компрометации, логически связанные с сетевыми сегментами, уровнями привилегий и критичными активами.
- Внешняя сеть (исходная точка).
- Скомпрометированная учётная запись пользователя в LAN.
- Доступ к серверу промежуточного слоя (application server).
- Привилегии администратора на критичном ресурсе.
- Целевое состояние (например, эксфильтрация данных из хранилища).
Точность модели напрямую зависит от глубины понимания топологии и политик доступа внутри защищаемого периметра.
[ИЗОБРАЖЕНИЕ: Упрощённый вероятностный атаковый граф. Прямоугольники — состояния (Начало, DMZ, Рабочая станция, Сервер приложений, База данных). Стрелки между ними — переходы с подписанными вероятностями (p=0.05, p=0.3). Жирной линией выделен наиболее вероятный путь к цели.]
2. Назначение вероятностей переходам
Наиболее сложный этап, где абстрактная модель соприкасается с реальностью. Вероятность перехода оценивается на основе данных:
- Технические параметры: Наличие и актуальность сигнатур в СОВ, строгость политики паролей (энтропия), результаты сканирования уязвимостей (CVSS-оценки можно трансформировать в условные вероятности).
- Операционная среда: Используется ли стандартная учётная запись для служб, активирован ли Audit Logon на критичных серверах.
- Статистика и экспертиза: Частота фишинговых писем в организации и процент откликов, вероятность ошибки администратора при настройке правила МЭ.
На первых этапах применяются экспертные оценки по шкале (например, низкая=0.1, средняя=0.5, высокая=0.9), которые впоследствии уточняются данными SIEM и системами мониторинга инцидентов.
3. Анализ модели
С помощью методов анализа марковских цепей или алгоритмов обхода графов вычисляются ключевые метрики:
- Вероятность достижения цели: Суммарный шанс, что атакующий, стартуя извне, достигнет целевого состояния.
- Критический путь: Последовательность переходов, вносящая наибольший вклад в итоговую вероятность. Это указывает на самые слабые точки.
- Анализ чувствительности: Моделирование того, как снижение вероятности на конкретном переходе (после внедрения новой меры) влияет на общий риск. Это отвечает на вопрос «Что усиливать в первую очередь?».
Практическое применение в российских реалиях
Внедрение подхода наталкивается на специфику отечественного ИБ-рынка, но даёт и конкурентные преимущества.
Интеграция с требованиями регуляторов
Стохастическая модель формализует понятие «приемлемого риска», закреплённое в 152-ФЗ. Организация может установить пороговое значение вероятности инцидента (например, 10⁻³ в год) и объективно оценивать, выполняется ли это условие текущим набором защитных мер. При представлении результатов оценки в ФСТЭК количественные аргументы выглядят весомее качественных утверждений.
Модель также помогает в планировании мероприятий по безопасности информации (МерПИБ), требуемых регулятором, делая их выбор и обоснование целевым и измеримым.
Технические и организационные сложности
Основной вызов — дефицит исходных данных. Открытые базы уязвимостей часто не содержат статистики эксплуатации для отечественного ПО. Требуется кропотливая работа по настройке сбора телеметрии с СОВ, DLP, средств контроля доступа для накопления собственной статистики событий безопасности.
Ресурсоёмкость полного моделирования всей инфраструктуры велика. Эффективной стратегией становится фокус на «коронных активах» — системах обработки персональных данных или гостайны. Модель строится именно для них, учитывая все возможные пути доступа.
[ИЗОБРАЖЕНИЕ: Схема замкнутого цикла управления рисками на основе модели. Цикл: 1. Построение/обновление модели для актива. 2. Расчёт текущей вероятности инцидента. 3. Сравнение с приемлемым уровнем. 4. Если превышает — планирование и внедрение контрмер. 5. Корректировка вероятностей в модели после внедрения. 6. Возврат к шагу 2.]
Инструменты и подходы
Готового российского «коробочного» решения для полного цикла стохастического моделирования нет, но процесс можно выстроить на основе доступных инструментов.
| Категория инструмента | Назначение в моделировании | Практические заметки |
|---|---|---|
| Сканеры уязвимостей и средства аудита | Выявление потенциальных векторов (открытые порты, слабые настройки) и первичная оценка их критичности. Фактически, автоматическое пополнение списка возможных «переходов» в графе. | Важно настроить сканирование не только на наличие CVE, но и на отклонения от baseline-конфигураций, релевантных для конкретной системы. |
| Инструменты Threat Modeling | Создание каркаса модели — определение активов, границ доверия, основных векторов атаки. Часто используются на этапе проектирования. | Методологии вроде STRIDE помогают структурировать thinking process, но требуют последующего перевода в вероятностную форму. |
| Математические пакеты и фреймворки (Python с библиотеками networkx, numpy) | Непосредственный расчёт вероятностей достижения целей в графе, анализ чувствительности. | Это сердце модели. Скрипт, реализующий, к примеру, алгоритм поиска пути в взвешенном графе, становится ключевым инструментом аналитика. |
| Платформы управления ИБ-рисками | Консолидация результатов, визуализация, привязка рисков к бизнес-активам, генерация отчётов для руководства. | Именно здесь вероятности переводятся в финансовые показатели возможного ущерба, что необходимо для обоснования бюджета. |
Ключ — не в покупке софта, а в разработке внутренней методики, которая связывает воедино данные из MaxPatrol, Policy Auditor, SIEM-решения и экспертные мнения архитекторов.
Ограничения и перспективы
Модель — упрощение реальности. Её главный недостаток — принцип «garbage in, garbage out». Неточные вероятности на входе дают ложное ощущение точности на выходе. Модель также слепа к атакам нулевого дня и сложным целевым кампаниям, использующим недокументированные взаимодействия в системе.
Однако развитие подхода связано с интеграцией машинного обучения. Алгоритмы, анализирующие потоки событий в SIEM, могут выявлять аномальные паттерны и динамически корректировать вероятности переходов в модели. Например, рост числа сканирований определённого порта извне может автоматически повысить оценку вероятности для соответствующего вектора.
Для специалиста, работающего в условиях требований ФСТЭК и 152-ФЗ, владение основами стохастического моделирования — это эволюция от проверки чек-листов к роли архитектора безопасной системы, способного количественно доказать, почему одно решение эффективнее другого. В ситуации, когда стоимость импортозамещающих решений высока, а бюджеты ограничены, такой подход из инструмента анализа превращается в инструмент стратегического планирования защиты.