Реверсивное стресс-тестирование корпоративного портфеля

Стресс-тест или взлом своей же сети: полезно ли использование «белых хакеров» для корпоративной безопасности — Сервисы на vc.ru

Реверсивное стресс-тестирование корпоративного портфеля

Проверка на устойчивость, использование специалистов со стороны и работа над ошибками — как понять, что вам нужны услуги пентестера?

Слышали ли вы о крупных утечках данных, или, может быть, сами сталкивались с последствиями хакерских атак? В любом случае, в современном мире сложно встретить хотя бы одного человека, не имеющего ни малейшего представления о проблемах информационной безопасности.

Хакеры и кража персональных данных перебрались в нашу реальность из пугающих представлений о мире будущего. Они всё чаще появляются перед нами в лице мелких мошенников и вымогателей, опустошающих банковские счета наивных пользователей. Но, помимо мелких краж, жертвами взломщиков всё чаще становятся владельцы как малого, так и крупного бизнеса.

По данным аналитического центра Info-Watch, число утечек конфиденциальных сведений из организаций в России за 2016 год увеличилось на 80 процентов – за этот год было зафиксировано 213 случаев – и это число продолжает расти, уступая по размерам лишь кражам данных в Америке.

Немного статистики

24 октября этого года произошла одна из крупнейших за последнее время утечек баз данных. Жертвой атаки стал Сбербанк, признавший потерю более чем 5 тысяч записей с личными данными своих клиентов. По заявлению самих взломщиков, в их руках оказалась финансовая информация как минимум 11 тысяч клиентов банка.

Кроме того, за два месяца этой осени, жертвами хакерских атак стали такие гиганты информационной индустрии, как Instagram, и оператор фискальных данных «Дримкас». В последнем случае, в сеть утекли более чем 76 млн строчек информации, связанной с налоговой службой Российской Федерации.

Массовые кражи и провалы в обеспечении безопасности не были прецедентами в работе отдельных фирм. Чтобы убедиться в этом, достаточно взглянуть на список пострадавших компаний за последние два-три года. Не считая преобладания финансовых корпораций и мобильных операторов, жертвами мошенников часто становились базы данных как крупных онлайн-магазинов, так и множества мелких организаций.

Коснётся ли это меня?

Но относится ли опасность взлома к владельцам куда более скромных компаний, не обладающих внушительным количеством филиалов и многомилионными оборотами? Безусловно, да. Несмотря на все способы защиты, услуги взломщиков и их популярность лишь набирают обороты в последние несколько лет.

Так, на одном из популярных сервисов «теневого» интернета – InsideHackers – цена взлома начинается от 5$, увеличиваясь в соответствии со сложностью задания. В одном из последних отчётов SecureWorks в те же 5$ оценивается часовая DDoS-атака на неугодный сервис – в зависимости от сложности, цена варьируется от 30 до 400$ за обрушение сервера на весь день.

По мнению этой же исследовательской группы – являющейся, кроме всего прочего, дочерней компанией Dell – рынок хакеров переживает настоящий бум, начиная с 2016 года. Говоря об увеличении масштабов, можно сказать, что теперь хакеры работают сверхурочно, отвечают за качество своей работы и расширяют спектр предлагаемых услуг, чтобы привлечь клиентов, подстраиваясь под требования потребителей.

Стоит ли говорить, к чему приводят хакерские атаки и рост спроса на их услуги? Помимо финансовых потерь, владельцы атакованных сервисов получают и существенный деловой ущерб, представ перед своими клиентами как лица, не способные обеспечить безопасность их данных и финансов.

Системы безопасности и намеренный стресс-тест

Первое, что необходимо сделать при создании корпоративной сети – организовать её безопасность по современным стандартам.

На рынке доступно множество готовых решений, различающихся ценой и ориентированностью на крупные или малые организации – так, например, облачный сервис CloudFlare спасает атакованные сервера от перегрузки, перенаправляя поток запросов в свою сторону – но, часто их оказывается недостаточно, чтобы противостоять серьёзным атакам.

Каждое ПО имеет свои изъяны, а индивидуальные решения и модификации грешат не менее индивидуальными ошибками, часто позволяющими обойти любые барьеры, выстроенные специалистами. Но как, в таком случае, обезопасить свою сеть?

Вы наверняка слышали о краш-тестах автомобилей, проверяющих их устойчивость к столкновениям, или смотрели видео с этими поездками в один конец. Помимо исследования последствий, такие тесты выявляют слабые места машины, позволяя исправить ошибки в конструкции перед выходом в массовое производство, обеспечивая максимальную сохранность автомобиля при реальных авариях.

Те же проверки можно провести и на корпоративной сети, не дожидаясь первых встреч с серьёзными проблемами. В отличие от реальных краш-тестов, система не подвергается физическому воздействию, что позволяет существенно сэкономить на исправлении ошибок в её конструкции.

Кто такие «белые хакеры»?

На помощь в этой нелёгкой задаче приходят «белые хакеры», противопоставляющие себя привычному образу интернет-мошенника. Именно они способны провести контролируемую атаку на сеть, выявляя и, в некоторых случаях, исправляя ошибки в её структуре.

Стоит отметить, что эта профессия имеет достаточно много имён – от уже озвученных «белых хакеров», до «пентестеров» (от англ. penetration testing – тест на проникновение) и «этичных хакеров». В отличие от своих коллег, эти взломщики действуют по заказу владельца сети, и работают за его же вознаграждение.

Такая практика не является чем-то необычным – так, например, в Bug Bounty обещают выплату от 25 до 40 тысяч долларов любому, кто найдёт проблемы в системах безопасности соцсети. Но как найти такого хакера самостоятельно?

Обычно, они работают индивидуально, но требования рынка все чаще приводят к появлению отдельных должностей тестировщиков в штате компаний, работающих с вопросами информационной безопасности. В этом можно убедиться, задав запрос «заказать тест на проникновение» в любом поисковом сервисе.

Почему это эффективно

Можно сколько угодно говорить о неэффективности старых методов защиты, но лучше убедиться в этом на практике. Существует три основных аргумента в пользу взлома своей сети.

Найти свои уязвимости прежде, чем это сделает кто-то другой

Пример с краш-тестом автомобилей демонстрирует основную особенность этого подхода – действие на опережение. Пока кто-то тратит время и средства на покупку самого дорого и разрекламированного защитного ПО, «белые хакеры» находят и исправляют все слабые места в действующей корпоративной сети прежде, чем их используют реальные злоумышленники.

Но, ситуация с корпоративными сетями всё же имеет свои особенности. Тест на столкновение чаще всего выявляет слабые места во внешних барьерах системы – но не учитывает возможность появления внутренних злоумышленников. Специалисты по информационной безопасности также исследуют возможность атаки с места одного из сотрудников, сводя вероятность проникновения до минимально возможного уровня.

Привычные методы защиты – неактуальны

Что может быть проще и понятней, чем покупка лицензии на антивирусное ПО, обещающее защитить вас от всех бед? К сожалению, такие барьеры уже давно не является действительно актуальным решением для защиты корпоративных сетей.

проблема антивирусного ПО – ориентированность на взаимодействие с конкретными, известными угрозами. Такие системы защитят вас от часто встречающихся вирусов-вымогателей, но едва ли предотвратят прямое вторжение в сеть, в лучшем случае задержав взломщика на время обхода барьеров.

Отслеживание новых стратегий

Несмотря на новизну подхода, эффект от его использования нельзя назвать достаточно долгим. Рынок взломщиков лишь набирает обороты, и количество способов атаки и кражи информации растёт с каждым днём.

Единоразовый тест поможет выявить актуальные проблемы сети на день проверки, но не обеспечит защиту системы на всё время её использования. Стоит проводить такие проверки регулярно – или, посмотрев на примеры Google и , назначить награду за нахождение ошибок в защите системы.

Штатный взломщик или системный администратор?

Вряд ли кто-то оспорит необходимость иметь постоянного специалиста, обеспечивающего безопасную и стабильную работу внутренней сети. Но можем ли мы сказать то же самое о человеке, тестирующем её защиту? Да и вообще, стоит ли доверять хакерам «со стороны»?

Сложно искать общие критерии для оценки специалистов, занимающихся, фактически, довольно творческой деятельностью. Тем не менее, можно выделить несколько плюсов и минусов, характерных для работы практически всех «белых хакеров».

Большую часть недостатков, приведённых в таблице, можно отнести и к фриланс-хакерам, и к штатным работникам компаний, занимающихся вопросами безопасности. Но, почти все они отходят на задний план при наличии отзывов от конкретных компаний, пользующихся услугами проверенных специалистов.

Источник: https://vc.ru/services/90048-stress-test-ili-vzlom-svoey-zhe-seti-polezno-li-ispolzovanie-belyh-hakerov-dlya-korporativnoy-bezopasnosti

Монте-Карло симулятор: стресс-тест для ваших портфелей – Блог Capital-Gain.ru

Реверсивное стресс-тестирование корпоративного портфеля

Несколько интересно проведенных вечеров, и вот результат — новый инструмент для более продвинутого финансового планирования, который способен показать вам не один сценарий развития событий, как это обычно делается в классических личных финансовых планах, а тысячи! На основе его результатов можно сделать выводы о реалистичности вашего финплана.

Инструмент доступен здесь, но сначала немного теории. Когда вы составляете финансовый план, считая сколько вам надо откладывать, чтобы накопить нужную сумму, либо тратить, чтобы не потратить весь капитал раньше времени, обычно берется средняя ожидаемая доходность конкретного портфеля, то есть какая-то цифра из 50-го процентиля возможных исходов.

Это значит, что примерно половина всех исходов по доходности и результирующему капиталу будет меньше того, что представит вам такой план, а половина — больше.

В составлении такого финансового плана нет ничего плохого — это полезное упражнение, да и цель его не только в том, чтобы показать какие-то конкретные цифры.

Но стоит понимать, что в спектре всех исходов рассчитанный план является лишь одним из вариантов развития событий (пусть и наиболее вероятным).

Чтобы проанализировать гораздо большее число вариантов, используют метод Монте-Карло.

Его суть заключается в генерации большого числа случайных исходов на основе входных параметров и последующем анализе их распределения, что позволяет наглядно представить спектр вероятных исходов и сделать более конкретные выводы о реалистичности заложенных инвестором в свой финансовый план параметров.

Исходные данные по изменению капитала за 20 лет, полученные в результате симуляции Монте-Карло. Инструмент анализирует их, чтобы обобщить и представить в полезном виде.

Есть разные подходы для генерации случайных исходов, подходящие для разных областей науки, где применяется такой анализ.

После анализа исторических данных на ежегодных интервалах для этого инструмента я выбрал лог-нормальное распределение доходностей, потому что толстые концы кривой распределения на этих интервалах практически нивелируются.

Если не уверены, что понимаете о чем речь, можно почитать пару моих статей про риск и распределение доходностей — будет легче разобраться с инструментом.

А теперь к практике. Мы разберем три примера использования инструмента.

Классический пенсионер

Многим известно знаменитое Trinity study, в рамках которого был проанализирован портфель из американских акций и облигаций (50/50) на 30-летних периодах с целью выяснить безопасную ставку ежегодного снятия средств (safe withdrawal rate, SWR). То есть такую, при которой портфель не исчерпал себя раньше конца 30-летнего периода.

Результатом были 4%, которые сегодня популяризированы в качестве rule of thumb и часто используются будущими пенсионерами для финансового планирования.

Возьмем теперь цель выйти на пенсию с $1000 (я буду использовать 70 000 руб.) и представим, что есть план по её достижению, основанный на правиле 4%, то есть итог накопления по этому плану будет 70000 * 12 / 0.04 = 21 000 000 руб. Его реалистичность мы и будем проверять.

Клик для увеличения

В качестве минимального целевого капитала вводим 0, потому что цель — не проесть все деньги за 30 лет.

Для финансового планирования удобно использовать реальную доходность, то есть за вычетом инфляции, потому что это позволяет вводить все суммы в сегодняшних деньгах и освобождает разум от прогнозов инфляции.

Допустим, что реальная доходность портфеля этого инвестора 5%. И в качестве ожидаемой волатильности (СКО) портфеля возьмем 12%. Остальные поля пока не трогаем.

На основе этих данных инструмент сгенерирует 300 000 случайных годовых доходностей (10 000 раз по 30 лет), то есть вместо исторических сотен лет для анализа у нас будет несколько сотен тысячелетий, вместо одного портфеля и 30-летнего периода — 10 000.

Вот результаты из моего запуска (каждый раз они отличаются, но чем больше повторений, тем идентичнее результаты между запусками):

Самое важное число здесь — первое (процент успешных на конец заданного периода симуляций). График показывает как этот процент меняется по годам среди всех сгенерированных периодов (в данном случае результат максимально стабилен).

Это лишь основная часть результатов — запустите симулятор сами, чтобы посмотреть остальные графики.

В таком сценарии и при условии, что мы допускаем трату всего капитала (в целевую сумму мы ввели 0), всё обещает быть отлично. При реальной доходности портфеля в 5% годовых результаты Trinity study вполне подтверждаются.

Но что если мы обязательно хотим сохранить капитал? Тогда вместо нуля в поле целевого капитала можно ввести начальный. В этом случае конечные суммы в каждом из 10 000 полученных портфелей будут сравниваться не с нулем, а с указанным целевым капиталом.

И тогда вместо 99% мы получим гораздо менее обнадеживающие 75% — шанс не выполнить цель на сохранение капитала становится значительным. Но не все так плохо. Такой процент успешных симуляций — это то, с чем можно поработать. Как?

Во-первых, в худые годы наш инвестор может ужаться и перестать слепо вытягивать из портфеля проиндексированные на инфляцию 840 000 рублей в год. Вместо них будет 720 000 рублей, то есть 60 000 в месяц. На эту сумму наш пенсионер начинает жить, если обычная сумма снятия начинает превышать запланированную долю в 4% от текущего размера портфеля.

Во-вторых, государство будет платить ему шикарную пенсию в 20 000 рублей (тоже индексируется на инфляцию), начиная с 5-го года его 30-летнего периода свободы, а это нелишние 240 000 рублей сегодняшних денег в год для наших расчетов.

Как видно из результатов, ситуация выправляется — 97% портфелей закончили этот путь с балансом больше нуля.

В медианном случае 4 года из 30 инвестору придется удовлетвориться уменьшенным снятием средств, чтобы увеличить шансы своего портфеля на существование.

В худшем случае на уменьшенной пенсии придется сидеть 29 лет, но вероятность этого довольно низкая. В 90% случаев это будет 15 лет или меньше.

Таков основной принцип работы с инструментом. Теперь коротко пройдемся по остальным сценарием.

Ранний пенсионер

Сегодня популярность набирает идея финансовой независимости и раннего выхода на пенсию (FIRE). Инвестиционный горизонт у таких инвесторов расширяется до 50-60 лет, с чем связана основная проблема — 4% в чистом виде становятся заметно опаснее (есть ряд исследований, показывающих это на реальных и сгенерированных доходностях).

Я ввел такие же данные, как в самый первый раз, но заменил 30 лет на 60 и указал целевой капитал, равный начальному, потому что смотреть как таят деньги на счете, осознавая, что до конца пенсии ещё лет 30, сможет не каждый. Вместо 99% мы получили 83%, что довольно рисково, хотя и нельзя сказать, что судьбу нашего раннего пенсионера может решать монетка.

Давайте внесем похожие коррективы в этот гениальный план:

Годы тренировок по скоростному накоплению денег позволят нашему пенсионеру ужиматься при необходимости до 60 000 руб. в месяц, а на 35 году году пенсии государство начнет выплачивать ему 15 000 руб. в месяц.

В результате получаем статистически надежные 97% с почти той же медианой на минимальном потреблении в 10 лет и до 29 лет с минимальной суммой снятия в 90% всех случаев.

Когда я смогу накопить?

Напоследок рассмотрим как использовать инструмент для анализа не трат, а накоплений. Возьмем того же раннего пенсионера, который планирует накопить 21 000 000, откладывая по 2 000 000 в год и имея начальный капитал в миллион. Параметры будут такие:

Вместо отрицательной суммы снятий указываем положительную, означающую пополнение. Период симуляции ставим с запасом, чтобы посмотреть как меняется кривая:

Обычный финансовый план, использующий среднюю доходность портфеля для расчетов, предскажет нам срок около 8 лет, что в симуляторе означает процент успешности около 50%.

Ценной здесь является информация о худшем случае, то есть на каком году процент успешности превысит психологически комфортный для вас порог этого плана (например, 80%) или принятые в статистике за надежные 95%.

В этом примере надежным ориентиром выглядит срок в 10-11 лет, которые понадобятся, чтобы собрать достаточный капитал, если дела на рынке пойдут хуже среднего. Такой подход позволяет уточнить границы сроков накопления и подготовить себя психологически к реализации не самых лучших сценариев. С другой стороны, в случае везения нужную сумму можно собрать за 6-7 лет.

Источник: https://capital-gain.ru/posts/monte-carlo-simulator/

О бухгалтерии
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: