Aké robíme chyby pri vyhodnocovaní rizika v IT bezpečnosti? Čo je to fat tail, "neznáme neznáme"? Dá sa nejak brániť proti armáde náhodných útočníkov z Internetu, keď máme obmedzené zdroje? Dá sa urobiť "aikido ťah" a využiť silu protivníka proti nemu samotnému? Skôr filozofické rozprávanie o zvláštnych neintuitívnych vlastnostiach IT bezpečnosti, s veľmi vážnymi a konkrétnymi praktickými dopadmi, o ktorých väčšina ľudí nerozmýšľa.

1. Pomôže ďalšia kamera?
O neintuitívnych vlastnostiach bezpečnosti,
asymetrií a fat tailoch v bezpečnosti
juraj@bednar.io

2. Riziko = Pravdepodobnosť * Dopad
Overall Risk Severity
Impact
HIGH Medium High Critical
MEDIUM Low Medium High
LOW Note Low Medium
LOW MEDIUM HIGH
Likelihood

3. Riziko = pravdepodobnosť * dopad
•OWASP:
1. Identifying a Risk
2. Factors for Estimating Likelihood
3. Factors for Estimating Impact
4. Determining Severity of the Risk
5. Deciding What to Fix

5. Technické riziko vs. biznis riziko
Nízka * Stredný = Nízke
10% * 100000€ = 10000€

6. Predikčné chyby
• Firma s kapitálom 0.5 mil €
• Najväčšie známe nepokryté riziko:
• Pravdepodobnosť, 10%, vypočítané sofistikovaným algoritmom “nám trvalo dlho kým
sme ho identifikovali, aj hacker to bude mať ťažké”
• Dopad: 500 000€
• Riziko: 50 000€
• Pokryté (interným) poistným produktom, 50 000€ je dlhodobý náklad, poistná suma 500 000€
• Realita:
• Zraniteľnosť odhalená a zneužitá (a asi sme neodhadli pravdepodobnosť)
• Okrem toho čo sme rátali sme dostali prvú pokutu GDPR, obchodný partner cez
ktorého nás hackli sa s nami súdi o náhradu škody, dopad: 2 milióny €
• 500 000€ od poisťovne, firma je milión eur v mínuse => bankrot

7. Cesta nie len cieľ
• “Na to, aby sme mohli vyhrať musíme najprv prežiť” – Taleb
• Absorpčná bariéra (napr. krach firmy)

8. Čo s predikčnými chybami
• Pravdepodobnosť rátať ako 100% (sledovať len dopad)
• Byť hyperkonzervatívny alebo hyperagresívny alebo obidve naraz
(barbell strategy => môj podcast, Antifragile)
• Obmedzovať network efekt dopadu (oddelenie systémov, supply
chain, …)
• Dávať pozor na absorpčné bariéry rizika (keby úspešnosť leteckej
dopravy bola 98%, väčšina pilotov by bola mŕtva)

11. Neznáme neznáme
Určitosť (istota)
Znalosť
(identifikácia)
Určité (známe) Neurčité (neznáme)
Identifikované (známe) Známe známe:
Identifikované znalosti
Známe neznáme:
Identifikované riziko
Neidentifikované
(neznáme)
Neznáme známe:
Zatiaľ neodhalené
znalosti
Neznáme neznáme:
Neidentifikované riziko

12. Neznáme neznáme
• Analýza rizík sa venuje tomu, čo dokážeme identifikovať
• Neznáme neznáme sú oveľa zákernejšie
• Nedokážeme sa proti nim tak ľahko poistiť
• Nevieme určiť dopad (a pravdepodobnosť je malá)
• Je ich oveľa viac ako známych rizík
• Čo s nimi?
• Čo najrýchlejšia identifikácia (Honeypot, IRT, ”zamínovať” sieť pípačmi,
senzormi a vyhodnocovať ich, s vedomím že 99.9% času sú to plané poplachy)
• Čo najrýchlejšia reakcia (žiadne čakanie na schvaľovanie budgetu,
rozhodnutia, mítingy)
• Kompartmentalizácia a decentralizácia (aby sa útok nešíril ďalej)

13. Normálne rozdelenie (mediocristan)

14. Fat-tailed rozdelenie (extremistan)

15. Odchýlky a stredná hodnota
• Normálne rozdelenie: 68% času sme vrámci jednej štandardnej
odchýlky od strednej hodnoty
• Ak akciový trh je fat-tailed (inak povedané, ak v akciovom trhu
nastávajú “čierne labute”) ako často sú ceny akcií vrámci jednej
štandardnej odchýlky?
• => Viac alebo menej ako 68%?

16. Odchýlky a stredná hodnota
• Väčšina ľudí odpovedá – menej ako 68%, fat tails znamená viac
odchýliek.
• Skutočnosť: Medzi 78% a 98% času
• Okolo strednej hodnoty sa funkcia správa ešte normálnejšie ako
normálne rozdelenie.
• Ale…. Aká je stredná hodnota?

17. Zákon veľkých čísel (mediocristan)

18. Zákon veľkých čísel (extremistan)

19. Dôsledok
• Ak máme jednostranné fat tailed rozdelenie (napríklad rozdelenie dopadov
bezpečnostných zraniteľností), skutočná stredná hodnota pri málo (10^6? –
závisí od konkrétneho rozdelenia pravdepodobnosti) pozorovaniach je
bližšie k maximu doteraz pozorovaných hodnôt, nie k priemeru!
• Predstavme si najväčší bezpečnostný problem, aký sme zažili – ten je v
skutočnosti bližšie k priemeru (strednej hodnote) ako priemer toho čo sme
doteraz zažili!
• Minidôsledok: Ak nájdeme v januári veľkú bezpečnostnú zraniteľnosť a
minieme celoročný rozpočet na bezpečnosť, väčšina ľudí povie: “O jednu
zraniteľnosť menej, sme bezpečnejší”, v skutočnosti: “Rozpočet treba
navýšiť, odhalili sme že priemer je vyššie ako sme si mysleli a čaká nás veľa
oveľa horších zraniteľností!”
• Nájdenie alebo mitigovanie ďalšej udalosti bude náročnejšie, má nižšiu
pravdepodobnosť (je viac skrytá), ale stále veľký dopad

20. Dôsledok: Regulácie a GDPR
• Snaha zákonov a regulácií je stabilizovať prostredie
• Hackeri a bezpečnostné incidenty ale ťažia s nestability
• Ak máme fat tailed rozdelenie bezpečnosti, zákonom riešime problémy
okolo (domnelej) strednej hodnoty, v skutočnosti je ale oveľa dôležitejšie
bezpečnosť riešiť “z chvosta” (from the tail)
• => regulácia rieši ľahké problémy ktoré všetci vieme riešiť aj bez regulácie
• => potrebujeme riešiť neistotu, nestabilitu, neznáme a nepravdepodobné udalosti a
tie sa dajú riešiť iba rýchlosťou, teda opakom nestability
• Jediný účinný spôsob riešenia bezpečnosti musí počítať s nestabilitou
prostredia. Zákon sa snaží o stabilitu prostredia.
• => GDPR odčerpáva energiu smerom k strednej hodnote od tailov, tzn. môžeme
očakávať väčšie problémy, na ktoré ale nebudeme pripravení. Vďaka EÚ!

21. Poznámky k fat tails
• Väčšina fat tails je tvorená unknown unknowns (lebo sú to čierne labute,
nepravdepodobné udalosti, ktoré sme nikdy nezažili a majú obrovský
dopad, napr. SPECTRE, logjam, …)
• Network effects znásobujú dopad
• Takmer všetky CPU na planéte a všetky šikovnejšie OS sú zraniteľné na SPECTRE,
zraniteľnosť prekračuje network effects (cloud, …)
• Vďaka network effectu môže byť dopad exponenciálny
• Pri akomkoľvek riziku vyhodnotenom z pozorovania potrebujeme o
niekoľko rádov viac pozorovaní (pri Paretovom rozdelení je to 10^11 viac
pozorovaní ako pri normálnom rozdelení) => nereálne
• Mimochodom dopravné nehody vs. Terorizmus => hlúpe porovnanie
• Pinkerov „nenásilnejší svet“ => nie je dostatok dát na také tvrdenie

22. Čo s fat tails v bezpečnosti?
• Odrezať chvost!
• “Poistná suma” (zníženie dopadu)
• Kompartmentalizácia
• Cold&hot wallet
• Decentralizácia !
• Červené tlačítko
• Rýchla identifikácia a reakcia, počítanie s neznámym, fungovanie
alebo ťaženie z neistoty

23. Asymetrie nákladov a výnosov
• Čo útočník získa ≤ čo obeť stratí
• Keď mi niekto ukradne databázu zákazníkov, útočník získa jej trhovú hodnotu
(či už na spamovanie alebo to predá konkurencii), firma ale stratí
konkurenčnú výhodu, reputáciu, ...
• “Vykradnutie banky”: útočník získa sumu ukradnutých peňazí, banka stratí
okrem toho aj reputáciu a možno bude musieť (vďaka GDPR) platiť aj pokutu
alebo nejaké ďalšie sankcie.
• (útočník väčšinou nepočíta so skrytým rizikom, čo je náklad)

24. Asymetria útočnej vs. obrannej sily
• Ideálny stav. Obrana by mala byť silnejšia ako útok
• V súčasnosti
• “Armáda” hackerov z celého sveta útočí na systémy, pár ľudí sa stará o
obrannú bezpečnosť
• Nástrojov na útok je veľa, ale máme obmedzenie koľko obranných nástrojov
môžeme naraz použiť (napr. nemôžeme si nainštalovať “desať antivírových
programov”)

25. Otočenie oboch asymetrií: Bug bounty
program
• Armáda dobrých hackerov vám pomáha kontinuálne testovať
• Odmena pre hackera za odhalenú zraniteľnosť je nižšia ako riziko
• Šetrí náklady hackerom (nemajú žiadne riziko a majú pozitívne reputačné
riziko)
• Šetrí náklady firmám (nemajú žiadne reputačné riziko, riziko pokuty, majú
compliance, platia len za nájdené zraniteľnosti)
• Ako určiť odmenu?
• Ak žiadny hacker dlho nenašiel zraniteľnosť, treba ju určite zvýšiť, pretože
vieme, že zraniteľnosti tam pravdepodobne sú – a ak nie sú, nevadí,
neplatíme odmeny
• Hacktrophy.com

26. Pomôže ďalšia kamera?
• Bezpečnostné divadlo nás klame, myslíme si že vyložením tekutiny na letisku sme
ochránení proti terorizmu => nie, terorizmus ťaží z nestability a jednoducho
vymyslí iný spôsob útoku
• Rýchla identifikácia a reakcia je dôležitá, ak kamera pozerá na nové veci a
vyhodnocuje neočakávané udalosti, pomôže. Ale kamery sa pozerajú na to, čo
poznáme a vyhodnocujú to, čo očakávajú (unknown unknowns sú blind spot)
• Snahy o stabilizáciu stavu posúvajú našu energiu smerom k jadru, pričom by sme
sa mali sústrediť na tail => myslíme si, že bezpečnosť stúpa, v skutočnosti sme
menej pripravení na nepravdepodobné udalosti.
• Útočníci tažia z neistoty, zákony zvyšujú stabilitu. Energia obrany ide k známej
časti (jadru), ale útočníkom je oveľa lepšie v taile => míňame energiu na niečo,
kde útočníkom nie je dobre, ale obrane je dobre
• Ďalšia kamera nám pomáha pozerať sa na to, čo chceme a nevidieť tam, odkiaľ príde ďalší
útok

27. Ďakujem!
• juraj@bednar.io
• paralelnapolis.sk
• Hacktrophy.com, citadelo.com
• Podcast a blog: juraj.bednar.io
• Literatúra: Antifragile (Taleb)