评估云迁移安全风险的三个步骤

远程劳动力的这种突然且意想不到的变化对企业提出了挑战，要求他们寻找新的协作和共享信息的方法。尽管应用程序和程序可能有所不同，但它们都有一个共同点：云。

无论是否流行，现实情况是网络安全风险并不会在全球健康危机发生后消失或减少。事实上，许多人认为事实恰恰相反。除此之外，突然转向云托管解决方案可能会影响您的网络风险暴露。使用 RiskLens 和信息风险因子分析 (FAIR) 模型，您可以确定该变化对您的利润的影响程度。

要了解风险暴露的变化，您需要从相关场景中分析您面临的风险，首先假设资产存储在本地，然后假设它是云托管的。

有许多风险场景与这种情况相关。我建议选择最有可能进行分析的 3-5 个，以获得总损失风险的“全局”概念。如果您对所需的工作量犹豫不决，请不要担心 - 通过使用RiskLens 平台的分类功能，您可以在午餐时间分析您选择的场景。

出于本练习的目的，我们将重点关注以下场景：

恶意外部行为者（威胁）对 XYZ 数据库（资产）中包含的敏感信息进行机密性破坏（影响）会带来多少风险？  

第 1 步：现在的曝光度是多少？（本地）

为了了解当前与 XYZ 数据库中的敏感信息泄露相关的损失风险，您需要了解两件事：XYZ 数据库中包含的敏感信息泄露发生的频率（用公平术语来说，即  “损失事件 频率”）以及每次发生的财务损失风险（损失幅度）。

丢失事件频率

根据您拥有的信息，可以选择进一步深入并评估丢失事件频率的组成部分：外部恶意行为者尝试破坏 XYZ 数据库中的敏感信息的频率（威胁事件频率）以及尝试成功的概率（漏洞）。

假设该事件以前没有在组织中发生过，请考虑这是否是因为它根本没有被尝试过（考虑信息的价值、组织本身的可见性、数据库的公众知名度等），还是因为它由于控制/流程到位而未能成功？

损失幅度

损失幅度分为两个主要部分；主要和次要损失由六种形式组成：反应、替代、生产力、竞争优势、声誉以及罚款和判决。对于每种情况，必须确定六种情况中哪一种适用。对于数据库泄露，我期望得到以下结果：响应（主要）、响应（次要）、罚款和判决（次要）以及声誉（次要）。了解有关捕获损失幅度的更多信息。

上图显示了每年发生特定年度财务损失风险（年化损失风险）或更多风险的可能性。在此示例中，给定年份发生 1.072 亿美元或更多损失的可能性约为 62%。

第 2 步：当采用云托管时，曝光度会如何？

要估计迁移到云托管解决方案后将面临多少风险，您必须首先确定哪个主要组件将受到更改的影响：

• 尝试事件的频率（威胁事件频率）

• 事件成功的频率（漏洞）

• 如果发生的话会有多糟糕（损失幅度）

通常，这些领域中只有一个受到重大影响，但可能因组织而异。一旦确定了哪些组件受到影响，您就可以估计影响的程度。例如，您可能会确定，由于云提供商加强了外围控制并提高了修补节奏，迁移到云将导致漏洞减少 20%。

 

 

 在云托管解决方案的未来状态下，现在最有可能的年化损失风险为 0 美元。这意味着在大多数模拟年份（在本例中使用 RiskLens 平台运行带有标准迭代的蒙特卡罗模拟的 5,000 年）中，损失事件并未发生，这意味着损失风险为 0 美元。这通常是由于频率低（每年少于一次）、漏洞低或两者兼而有之的结果。在本例中，是两者的结合推动了这一结果。

第三步：有什么区别？

了解在考虑本地（当前状态）或云托管（未来状态）解决方案时因 XYZ 数据库中的敏感数据泄露而面临的风险程度后，最后一步是评估投资回报率。

比较图显示，迁移到云托管解决方案后，平均年化损失风险减少了约 1.02 亿美元。组织的下一步是确定迁移所需的财务投资金额（资本和 FTE），以计算投资回报 (ROI)。

关于云托管解决方案是否会带来更多或更少风险的持续争论并不是一个非黑即白的问题。下次您的组织考虑在云中迁移或建立新系统时，请确保全面的  定量风险评估 成为决策的一部分

原文始发于微信公众号（河南等级保护测评）：评估云迁移安全风险的三个步骤