建造一点。测试一下。学到很多。
——韦恩·迈耶少将,宙斯盾武器系统项目经理
本章中描述的第一个模型仅产生代表可能损失的平均值的单个货币金额。我们将描述的下一个稍微详细的版本介绍了蒙特卡罗模拟——一种强大的风险分析工具。它不是产生单个数字,而是显示可能损失及其概率的分布。这两个工具以及本书中的许多其他工具都只需要一个Excel电子表格。本章中解释的示例的Excel模板已为您制作,可以从本书的网站下载:
现在,我们将从一个仅替换常见风险矩阵的模型开始。它会只是一种捕获可能性和影响的主观估计的方法,但要使用明确的数量。
设置和术语
想象一下,这是您作为某中型组织的新CISO上任的第一天。它已经发展到足以需要建立一个安全组织。你是第一个雇员。你没有员工。你没有预算。要制定计划并为其提供资金,您需要一种快速评估企业网络风险的方法。
这就是“快速风险审核”的目的。其目标是快速评估易于评估的重大风险。这可能是新任首席信息安全官迈出的第一步,随后将进行更深入的技术和定量评估。
如果保持简单,快速风险审核可能需要一两个小时才能完成。它将包括一些访谈,您的工作是根据访谈结果来创建粗略的损失预测。让我们回顾一下您将在审核中使用的一些基本术语,然后提供完成审核的步骤列表。
这次采访中使用了六个关键术语。最终,它们为风险量化提供了支柱,以支持安全预算、网络保险政策和董事会报告:
-
资产创造的价值可能会受到威胁的损害,从而导致财务影响。整个企业可以是一项资产。业务部门或区域可以是一项资产。甚至应用程序或服务也可以是资产。 -
威胁会损害资产的价值。威胁可能包括勒索软件勒索、商业电子邮件泄露欺诈或供应商攻击造成的中断等。从企业风险的角度来看,它可以是任何对业务实现其目标产生合理和实质性影响的事物。该术语有时在网络安全中的定义有所不同,例如,它可能指特定类别的参与者甚至特定病毒。但我们将用它作为保险中使用的“危险”的同义词。在这里,我们将威胁定义为某种原因或攻击向量与特定损失的组合。“威胁事件”是由于所述原因而发生的损失之一的实例。表3.1显示了您可以用来开始使用的建议基本威胁的列表。本书网站上的第3章电子表格中提供了相同的威胁。 -
可能性衡量的是威胁成功损害资产价值并在给定时间内造成一定程度的财务影响的可能性。除非另有说明,我们的默认可能性是指所述威胁在12个月内至少发生一次的可能性。(请注意,统计学家区分可能性和概率,但这些术语在风险管理中根深蒂固,因此我们将仅遵循常见用法。)
表3.1企业潜在网络威胁列表
|
原因(攻击向量) |
损失类型 |
|
勒索软件 |
|
|
勒索软件 |
业务中断 |
|
勒索软件 |
勒索 |
|
商业电子邮件泄露 |
欺诈罪 |
|
云妥协 |
数据泄露 |
|
云妥协 |
业务中断 |
|
SaaS攻击 |
数据泄露 |
|
SaaS攻击 |
业务中断 |
|
内部威胁 |
数据泄露 |
|
内部威胁 |
业务中断 |
|
内部威胁 |
欺诈罪 |
|
…等等 |
|
-
影响是威胁成功损害资产价值时损失的金额。影响最终总是以货币形式表达。即使影响涉及声誉、质量、安全或其他非财务损失,我们也会以等值的美元金额来表达这种痛苦。作者以金钱的形式表达了所有这些形式的损害,考虑到降低风险的资源需要花费真金白银并且必须做出决策,客户最终总是接受其实际必要性。 -
控制措施可降低威胁事件的可能性或影响。它不仅包括多因素身份验证或加密等技术,还包括培训和策略执行。 -
置信区间或可信区间(CI)表示连续量的不确定性。在此模型中,我们将使用它来衡量货币影响。除非另有说明,我们始终假设间隔为90% CI。这意味着我们允许真实损失有5%的可能性低于下限,也有5%的可能性真实损失高于上限。我们还将假设这是“倾斜的”影响的分布。损失不可能为零或负,但有一些小可能性它可能远远高于我们的上限。有时,统计学家使用术语“可信区间”,它指的是对不确定性的主观估计,以将其与关于总体的统计推论区分开来。在概率模型中,它们通常以相同的方式使用,并且由于我们将简单地使用缩写“CI”,因此我们发现没有必要对区别做出任何更详细的说明。
原文始发于微信公众号(河南等级保护测评):快速风险审计:从简单的定量风险模型开始
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论