摘 要
在日益复杂的网络环境中,互联网上的各个组织和机构经常面临着各种各样的网络 安全风险,这些风险事件往往会导致数据泄露和其他严重的损失。为了避免更多的网络安全事件发生,企业必须加强自身的网络安全建设。对于企业管理者来说,如何确定网络安全预算的金额才能使网络安全预算的收益最大化就变成一个很重要的问题。基于戈登—洛布模型,使用网络信息安全风险评估的方法定量分析网络安全预算的收益问题,为企业管理者在确定网络安全预算时提供科学参考。
随着网络攻击手段的日益多样化和复杂化, 网络安全已经成为企业重点关注的问题,传统的 基于检测的防护方法仅仅是一种事后的被动防御,而相对来说更好的方法应该是主动进行网 络安全风险量化评估和提前进行网络安全建设。
国内学者基于不同的理论对网络安全风险 量化评估进行了相关研究。2015 年,张树伟等人什么?”这个问题。一般来说,一个系统的关 键资产是这个系统的业务和数据,包括核心业 务组件、用户的数据、用于鉴权及认证的密码、 密钥等。为了解决传统量化评估方法中存在忽略节点关联性和差异性的问题,提出了一种节点相关的 网络安全风险量化方法。2018 年,王增光等人 通过基于贝叶斯攻击图的网络安全风险评估方 法实现了对目标网络的动态风险评估。2021 年, 耿文莉等人 提出了基于灰色神经网络的云平 台大数据安全风险评估方法,使用自适应差分 改进方法检测安全风险信息的相关性,实现了 相关补偿和自适应控制,提高了大数据安全风 险评估能力。
以上的网络安全风险量化方法在一定程度 上解决了风险量化的问题,提高了特定场景下 风险量化的准确性,但是对于大多数中小企业 来说,很难达到上述风险量化方法所要求的诸 多理想化的监测参数,这些方法也很难直接运 用到网络安全预算的决策中去。
为此,本文在前人研究工作的基础上,提 出了基于戈登—洛布模型 的风险量化评估方 法在企业网络安全建设预算场景的应用研究。
相关工作
尽管一些工作已经开始关注网络安全 风险量化的研究,但是这些工作仅仅关注风险 模型的研究与设计,并没有考虑将风险模型评估 与企业网络安全预算的收益进行结合。本文提出 将网络安全风险量化评估与戈登—洛布模型结合 起来分析企业的网络安全预算的收益情况。
1.1 网络安全风险评估
网络安全风险是指由于网络系统存在脆弱 性,因人为或自然的威胁导致安全事件发生所 造成的损失。网络风险评估就是评估威胁者利 用网络资产的脆弱性造成网络资产损失的严重 程度。在网络安全风险的评估过程中,主要涉 及资产、威胁、脆弱性等基本要素。每种要素 有各自的属性,资产的属性是资产价值(重要 性),威胁的属性是威胁出现的频率,脆弱性 的属性是脆弱性的严重程度。
因此,网络安全风险的评估过程主要包括 以下几个阶段:资产识别、威胁识别、脆弱性 识别和风险分析等。
(1)资产识别。资产识别是指识别出被评 估系统中的关键资产,也就是回答“需要保护什么?”这个问题。一般来说,一个系统的关 键资产是这个系统的业务和数据,包括核心业 务组件、用户的数据、用于鉴权及认证的密码、 密钥等。
(2)威胁识别。威胁识别就是识别出潜 在的威胁。由于系统安全属性主要包括“机密 性”“完整性”“可用性”这 3 个方面,因此 可以将威胁分为 3 类。一是对机密性的威胁。通过嗅探、暴力破解等手段窃取用户身份、认 证信息,仿冒合法用户访问系统。攻击者非法 获得系统中保存的或传输过程中的机密数据, 如用户认证信息、用户业务数据、系统代码等。二是对完整性的威胁。通过修改发送给系统的 数据或从系统收到的数据,影响系统业务逻辑, 比如绕过认证机制、欺骗计费系统、执行越权操 作等。三是对可用性的威胁。通过 Flood、畸形 报文等攻击手段导致系统不能提供正常的服务。
(3)脆弱性识别。脆弱性识别是指资产能 够抵抗威胁攻击的能力。
(4)风险分析。风险分析是指综合资产的 重要性、威胁程度和系统的脆弱性来分析可能 的风险大小。网络安全风险评估(Cybersecurity Risk Assessment,CRA)作为一种风险分析的方 法,可以得到风险发生的可能性及其后果,明 确风险的大小。
1.2 戈登—洛布模型
戈登—洛布模型(Gordon-Loeb Model,GL 模型)是分析最优信息安全投资水平的数理经 济学模型。该模型最早发表于 2002 年美国计 算机学会的权威期刊——信息与系统安全会刊 (ACM Transactions on Information and System Security)。GL 模型引入了安全漏洞概率函数的 概念,有 3 个关键的假设。
(1)如果信息系统是完全无懈可击的,那 么任何信息安全投资都将保持完美的保护。
(2)如果没有信息安全投资,那么安全漏 洞的概率就是信息系统固有的脆弱性。
(3)随着安全投资的增加,信息系统变得 更加安全,但速度在降低。
GL 模型使用安全漏洞概率函数作为条件, 这些函数有两种类型,一种是线性型,另一种 是指数型。GL 模型为对信息安全投资问题进行 严格的定量分析奠定了基础。
1.3 GL 模型的关键结论
本文总结了一些 GL 模型的关键结论和假 设,这些与本文研究的内容息息相关。GL 模型 假设一个信息系统可以由 3 个参数来描述:漏洞 发生的损失量 lm、威胁事件发生的概率
、 系统的脆弱性 v。在 GL 模型中,假设 lm 和
为常数,则漏洞的预期损失为:
将安全漏洞概率函数 S(z,v) 引入到该模型, 其中 z 为信息安全投资的金额,GL 模型对 S(z,v) 做出了如下假设:
式中:
分别为安全漏洞概率函数对 z 的 一阶偏导数和二阶偏导数。信息安全投资预期 收益(Expected Benefit of Investment in information Security,EBIS)可以表示为:
由信息安全投资的预期收益(EBIS)减去投资 z 得出信息安全投资的净收益:
该函数封装了信息安全投资的成本和效益, GL 模型提出了两类信息安全漏洞概率函数:
式中:α 和 β 为信息安全生产效率的参数。
通过这两类安全漏洞概率函数,可以很容 易获得特定信息系统的最优安全投资额:
对于这两类安全漏洞概率函数,从信息安 全投资净收益最大化的角度考虑,有如下关系:
信息安全风险因子分析
2.1 概 述
信息安全风险因子分析法(Factor Analysis of Information Risk,FAIR)是一个颇具影响力 的 CRA 框架,已经在学术研究领域和工业领域 得到了广泛的认同和应用。FAIR 模型将风险事 件归类成许多风险因子的叠加,各个风险因子 之间的关系如图 1 所示,图中展示了不同风险 因子之间的关系。
图 1 FAIR 模型中风险因子的关系
相比于其他的 CRA 框架,FAIR 对 CRA 的 实现更为全面。它考虑了攻击方和防御方之间 存在的能力差别、信息资产的脆弱性、攻击成 功的频率以及相应的金融损失。因此,其为 CRA的建模实现提供了一个比较好的分析基础。FAIR 模型包含 FAIR 分类法和统计分析方法。其经常被用于执行量化风险评估。
在 FAIR 模型中,风险(金融损失)由损失 事件频率和损失量定义。
(1)损失事件频率(Loss Event Frequency, LEF)代表威胁方在一段时间内对资产(Asset) 造成损失的次数。LEF 是威胁事件频率(Threat Event Frequency,TEF)和脆弱性(Vulnerability,V) 的函数,其中,TEF 代表威胁方接触到信息资产并对资产攻击成功的频次,本文将 TEF 定义 为接触频率(Contact Frequency,CF)和攻击能 力(Probability of Action,PoA)的函数。脆弱性 是指资产能够抵抗威胁方攻击的概率,其定义 为威胁方攻击强度(Threat Capability,TC)和 资产自身对攻击免疫能力(Resistance Strength, RS)之间的差值。
(2)损失量(Loss Magnitude,LM)可以分 成两种,一种是主要损失(Primary Loss,PL), 另一种是次要损失(Secondary Loss,SL)。在 FAIR 模型中,主要损失是指直接损失,而次要 损失是指间接损失,例如信息泄露事件发生后引 起的社会负面舆论。此外,次要损失还可以分 解为次要损失事件发生频率(Secondary Loss Event Frequency,SLEF)和次要损失量(Secondary Loss Magnitude,SLM)。FAIR 模 型 的 关 键 特 征 是 各 个风险因子的结构和分类是固定的。图 2 展示了 FAIR 中与风险相关的各个风险因子的计算过程。
图 2 FAIR 模型中风险因子的聚合结构
在图 2 中,总损失量是主要损失量和次要 损失量之和。每种损失量都是 LEF 和 LM 的乘积。值得注意的是,次要损失事件只有在主要损失 事件已经发生的情况下才会发生。从这种意义 上来说,主要损失和次要 / 间接损失之间存在一 种因果关系,可以认为次要损失是关于主要损 失的一个函数。因此,次要损失事件的计算方 法为主要损失事件的发生次数与次要损失事件 发生概率的乘积。FAIR 模型提出了一系列与变 量(风险因素)相关的函数,这些函数在统计 上或概率上表示一个因素与其子因素之间的函 数关系。
在 FAIR 模 型 中, 可 以 认 为 风 险(Risk) 的计算包含两个部分,一是损失事件频率的计 算,二是根据损失事件频率和损失量来计算总 损失值。
2.2 损失事件频率计算
本文引入泊松分布来模型化损失事件的发生频率。基于泊松分布计算事件发生 k 次的概 率为:
式中:
为损失事件发生频率的均值;k 为 发生的次数。
如果存在间接损失,可以使用二项分布进 行计算,例如,计算次要损失事件发生 j 次的概 率为:
式中:
分别为主要损失事件发生的 次数和次要损失事件发生的概率。
2.3 损失值的计算
风险聚合操作是 FAIR 模型的关键推导过 程。根据两种损失之间的关系,将风险聚合(Risk Aggregation,RA)操作分为两种操作,如表 1 所示。
表 1 风险聚合操作
针对第一种类型的聚合操作(即
),本 文以主要损失事件为例,通过实例来解释计算 过程。假设在给定的时间范围内,一个损失事 件发生了 n 次,其中 n 介于 0 和上界 N 之间, 并且这个事件有一个固定的损失量分布
那么这个主要损失为:
式中:P(n) 为损失事件发生 n 次的概率;
为 发生 n 次损失事件带来的损失量。与
相比,
中的损失事件频率为联合损失事件频率:
式中:
为主要损失事件发生 n 次带来的损失 量;
为次要损失事件发生m 次带来的损失量,
为
的联合概率。
将FAIR模型引入到网络安全建设预算的
收益分析
从 FAIR 模型中用到的输入输出因子和函数 可以得到,其风险计算公式如下:
为了简化计算过程,本文只考虑主要损失 事件导致的风险,此处的
为资产的脆弱性, 是一个固有参数;
为损失事件发生后造成 的损失金额;
为威胁事件的频率,发生了威 胁事件不一定会造成损失。
此处引用 GL 模型中的一个概念,即漏洞概 率函数,将引入 GL 模型概念后的风险量化模型 称为 FAIR-GL 模型,也就是信息安全投资会降 低系统的脆弱性,那么增加了信息安全投资 z 之 后,其风险计算公式如下:
式中:
为漏洞概率函数,其他变量的含义 同式(15)。
那么由于信息安全投资导致的风险减少的 金额就是其收益:
式中:LP 为资产的风险;
为增加安全预算 后资产的风险。
进一步分析,信息安全投资的净收益为信 息安全投资的收益减去投资金额:
式中:z 为安全投资金额,其他变量含义同上。
将 FAIR-GL 模型应用于DDoS攻击
在互联网环境中,时时刻刻都存在网络攻 击的风险。对公司的某一服务而言,比较常见 的一种攻击就是分布式拒绝服务(Distributed Denial of Service,DDoS)攻击。本文以 DDoS 攻 击为例,对某个公司的服务进行攻击风险评估。本文收集了 2011—2020 年十年间国内 DDoS 攻 击发生的次数,并用这些数据作为该公司遭受 DDoS 攻击的统计数据。为了使用 FAIR 模型对DDoS 攻击风险进行评估,首先需要明确评估其中涉及的资产、威胁事件和损失事件。
(1)资产。一般是指运行在服务器上,对 外公开且为客户提供服务的软件程序,通常都 能响应客户发送过来的服务请求,比如百度搜 索等。
(2)威胁事件。因为本文评估的是 DDoS 攻击的风险值,所以威胁事件就只考虑 DDoS 攻击。
(3)损失事件。通常在发生 DDoS 攻击之后, 损失事件包括服务宕机造成的经济损失,可能 还会引起社会舆论事件,导致企业声誉受损。为了简单起见,本文只考虑服务器宕机带来的经济损失。因此只有一个主要损失,不存在次 要 / 间接损失。主要损失为宕机给公司带来的经济损失。
在给出风险评估中的相关概念之后,接下来将使用 FAIR 模型对暴露于 DDoS 环境中的资产进行风险量化评估。首先,需要计算出主要损失事件的发生频率以及损失事件的损失幅度, 这里的损失幅度是指经济损失。
4.1 计算损失事件频率
本文收集关于 DDoS 攻击的一些基础信息, 例如 DDoS 攻击者和资产的接触频率
攻击者 在公网上接触到应用程序后发起 DDoS 攻击的概 率
此外,由于攻击者攻击的能力和强度各 不相同,例如专业黑客造成的攻击强度通常要 比业余玩家高得多。因此,为了预估攻击者能 成功攻击的概率,还要收集各个攻击者的攻击 能力
,服务程序能抵抗住攻击的能力
根 据“OASES 智 能 终 端 安 全 生 态 联 盟” 2022 年公布的数据中 2011—2020 年十年间国内 发生 DDoS 攻击的次数,来预估公司的服务程序 遭受 DDoS 攻击的次数,由于缺乏相关数据,本 文提出下面两个假设:
(1)始终认为
因此,在黑客每 次发起 DDoS 攻击时,其总是可以攻击成功,于 是这里的资产脆弱性
为 1。
(2)当服务程序暴露于网络风险中时,不 同的黑客接触到程序之后会采取不同的反应, 因此由不同的黑客采取攻击行为是一个概率事 件,即黑客接触到程序时发起攻击的概率是
但由于缺乏相关数据集,因此本文认为当 黑客接触到目标程序时,其发起攻击的概率
为 1。
损失事件频率并不等同于威胁事件发生频 率,原因在于一次威胁事件发生之后,并不一 定会攻击成功,防火墙有可能会阻断此次攻击, 这样就不会造成损失。只有在威胁事件每次发 生时都能一击而中,才会有两者相同的情况。
2020 年国内每个月遭受 DDoS 攻击的统计情况如图 3 所示。
图 3 2020 年 DDoS 攻击次数月度统计
根据绿盟科技发布的报告,本文统计了近 十年来国内遭受 DDoS 攻击的情况,如表 2 所 示。将表 2 中的数据作为攻击成功的次数。假 设 DDoS 攻击事件发生的概率服从泊松分布,其 中此分布的均值和方差
代表十年间损失事件发生的平均值,从表2中的数据可以计算出
表 2 2011—2020 年国内遭受 DDoS 攻击次数
因此,可以将一年中 DDoS 攻击发生的概 率模型化成
即某一年内 DDoS 攻击发生 n 次的概率为:
至此,本文计算出了 DDoS 攻击的损失事件 发生频率的概率分布如图 4 所示。
图 4 一年内 DDoS 攻击次数概率分布
4.2 计算损失量
在一次 DDoS 攻击中,其损失量一般认为是随机变量,并且服从某一固定分布。为了方便计 算,本文假设DDoS 攻击中的损失量服从某一正 态分布 N(μ,σ),这里统计的范围为一年,μ 为该 企业在当年遭受一次 DDoS 攻击会带来的平均损失量,σ 为损失量的标准差。IBM 网络安全研究 院发布的报告显示,DDos 攻击损失为平均每小时 2 万~ 4 万美元,一次 DDos 攻击平均持续时间约 10 小时,则一次 DDos 攻击造成的平均损失约为 200 万美元,则 μ=2 000 000。在前面的讨论中,已知损失量为
其中
由于 LM 服从正态 分布,因此
仍然服从正态分布。下面给出两 个正态分布卷积和的计算方法:给定两个独立 正态分布
其概率密度 函数分别为
设随机变量
那么, Z 的概率密度函数为:
式中:
换句话说:
因此,
基于此,可以根据损失事件发生频率和主 要损失量两个分布来求出一个风险值的分布, DDoS 攻击风险分布如图 5 所示。
图 5 DDoS 攻击风险分布
4.3 计算网络安全建设的预期收益
假设信息集的脆弱性 v=0.95, 信 息 安 全 生产效率 α=0.01,β=0.1, 威 胁 事 件 发 生 的 概 率
前面已经假定信息安全投资 z 取 最 优 值, 针 对 Ⅰ 类 函 数, 根 据 式(8) 将 上 述参数取值代入,得到信息安全投资最优值 为
将最优的信息安全投资 取 值 z I*(v) 代 入 式(6), 得 到 漏 洞 发 生 概 率
在最优信息安全投资情况下, 其净收益函数如式(18),计算过程如下。
据上一节的统计数据可知,一年内发生 DDoS 攻击的平均次数为
则
其含义是由于增加了信息安全投资,从而避免 了一些威胁事件的攻击。因此,可以将由于增 加了信息安全投资而阻止的 DDoS 攻击的概率模型转化成泊松分布,即某一年内阻止 n 次 DDoS 攻击的概率为:
这里的损失幅度为一个随机变量,服从正 态分布 N(μ,σ)。μ 为该企业在当年遭受一次 DDoS 攻击会带来的平均损失量,σ 为损失量的标准差。已知安全投资净收益 ENBIS 为:
式中:
为由于增加了信息安全投资而阻止 了 n 次 DDos 攻击成功的概率;
为发生 n 次 损失事件带来的损失量。由于LM 服从正态分布, 因此
仍服从正态分布。
假如
即服从均值为 μ,方差为 σ 的正态分布,那么根据正态分布的可加性原理, 推导 ENBIS 满足如下分布:
基于此,可以根据信息安全投资,以及威 胁事件发生频率和主要损失量两个分布求出信 息安全投资净收益曲线,如图 6 所示。
图 6 FAIR-GL 模型的净收益分布
结 语
从投资收益最大化角度分析,网络安全建 设预算不是越多越好。本文通过 FAIR-GL 模型分析,发现对于事例中的企业来说,以 DDoS 攻 击的损失事件计算,最优的网络安全建设预算 是 87 000 元。这意味着对于该企业来说,针对 DDoS 攻击问题,可以通过增加网站应用防火墙 (Web Application Firewall,WAF) 服 务、 网 络 设备升级等措施防范 DDoS 攻击。如果使用金额 计算,那么增加 87 000 元的预算就可以取得最 优的收益,在最优的预算情况下,产生的净收 益分布如图 6 所示,其平均收益为 60 000 元。如果继续加大信息安全投资,净收益反而会下 降。此外,对于一个企业来说,剩余的 DDoS 风 险可以通过网络保险的形式进行风险规避。我 们将在后续的论文中尝试解决如何分配信息安全 投资和网络保险,使得总的预期效用最大化。
引用格式:张立波 , 王明博 . 企业网络安全预算场景下的风险量化评估探索与研究 [J]. 信息安全 与通信保密 ,2023(1):87-96.
商务合作 | 开白转载 | 媒体交流 | 理事服务
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
《通信技术》杂志投稿
联系电话:15198220331(微信同号)
原文始发于微信公众号(信息安全与通信保密杂志社):企业网络安全预算场景下的风险量化评估探索与研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论