一些初始数据来源
回忆一下上一章的一个要点;您拥有的数据比您想象的要多。使用拉普拉斯的继承规则为您提供了一些解释看似非常有限的观察结果的基础。但您还可以访问各种公开数据。以下只是一些公开可用的来源。
-
保险费与总AEL:保险公司需要收集大量索赔数据,以使其保单具有竞争力的定价并仍能盈利。这意味着他们愿意对网络保险报价告诉我们一些有关潜在损失的可能性和程度的信息。我们可以将其用作快速风险审计中总AEL的现实检查。保险公司普遍希望获得低于60%的“赔付率”。这是为索赔而支付的收取的保费金额。它不包括其他业务开销,因此必须远低于100%才能盈利。然而,客户实际遭受的损失可能高于60%,因为行业数据显示大约20%的索赔被拒绝。已支付的索赔也不包括“保留”以下的任何内容(即,客户应自行承担的免赔额)以及超出保单限额的任何费用。因此,根据经验,您的保险公司认为您的真实AEL将超过保费的一半,但不会超过全部保费(假设您保留金额较小且限额较高)。如果您的AEL远高于或远低于该范围,您有理由相信您的风险与保险公司认为的不同,或者您可能会重新考虑可能性或CI。
-
勒索软件勒索的影响:Palo Alto Networks 2022年第42单元勒索软件威胁报告为估计勒索费用提供了一些基础。所有案件的平均付款约为530,000美元。要求的范围在5000万美元以上,但500万美元是更常见的上限,尽管此类要求的支付相对较少。对于您的具体范围,请考虑勒索请求的范围为收入的0.7%到5%。实际付款经协商下降至初始需求的0%至90%,大多数下降在50%左右。因此,您可能会认为CI的上限接近收入的2%或3%。
-
影响-数据妥协:您应该了解各种资产中保存的个人记录的数量。这应该给你一个上限。无论妥协是由于内部威胁还是云、供应商等的妥协,这都适用。将其转换为金钱损失的最简单方法是将丢失的记录数量的界限乘以每条记录的固定成本。2015年Verizon DBIR报告建议每条记录的成本为0.58美元。这个特殊的“每条记录的成本”指标在2022年没有更新(尽管可以根据通货膨胀进行调整),但有更现实的方法。2022年的报告确实给出了各种事件的损失范围,其中每条记录的成本随着违规规模的扩大而降低。我们不建议使用将每条记录的平均值提高到数百的来源。此类分析并未考虑每条记录的成本如何根据数量下降。
-
影响-业务中断:这是您应该拥有公司内部数据的领域。特定系统的中断是网络安全风险的一部分,公司内部可以进行更直接的观察,并对其后果有一定的了解。您公司中的某个人应该了解有关每分钟处理的订单、服务水平协议以及基于过去中断的业务损失示例的信息。对于起步价为每分钟100美元的小公司。对于较大的公司,平均价值接近每分钟5,600美元,尽管我们看到有问题的研究表明其平均价值接近每分钟9,000美元。这些只是粗略的猜测,有人指出中断成本是支付成本的50倍。这就是人们支付赎金的原因:对可用性的需求远远超过了当前勒索的平均成本。
如果你想更深入地挖掘,还有其他潜在的来源。这些可能超出了快速审核的范围,但如果您愿意花一些时间和/或金钱来获得估算,那么有一些来源可以为您提供一些指导。
例如,许多公共来源估计行业中的违规总数,但如果您想将其转化为威胁损害您公司的可能性,您将需要估计基线。如果你是大专零售商,您将需要查找特定年份该行业的违规数量。然后,为了将其转换为基线可能性,将其与主要零售商的总数进行比较并应用LRS。
有一些资源可以为您做一些工作。Advisen LTD是一家追踪违规细节的公司。像Cyentia Institute(作者曾与之合作过)这样的公司专门从事这些数据的分析。我们将在后面的章节中介绍更多这些来源。
关于每种风险也经常出现新的学术研究。如果您在一家大公司工作或可以访问大学资源,您可能已经可以访问已发表研究的大型数据库。即使没有这些,谷歌学术等免费资源也可能很有用。但这有点像勘探黄金。您可能需要搜索一段时间才能找到可以直接或间接告知您评估公司自身风险所需信息的信息。
原文始发于微信公众号(河南等级保护测评):快速风险审计:一些初始数据来源
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论