隨著網絡攻擊手段的日益多樣化和復雜化,傳統基于檢測的網絡安全防護模式已經難以應對當前的安全威脅挑戰。在此背景下,越來越多的組織開始采用網絡安全風險量化,并將其作為增強組織安全風險分析和治理能力的一種有效手段。通過將網絡風險量化,組織可以讓所有利益相關者更好地了解當前所面臨的安全風險態勢,從而與組織更廣泛的數字化業務發展相融合。
什么是網絡風險量化?
量化是指對事物數量的統計表達或測量。當其應用于網絡安全風險分析時,就意味著從業務發展的角度去度量組織的網絡風險暴露情況和該風險的潛在危害影響。換句話說,它是用一種數學術語來定量化描述網絡風險態勢。
網絡風險量化(CRQ)需要應用先進的建模技術來全面評估企業中的隱藏風險和暴露風險可能性,以及如何應對可能的危害。然后,這些信息被用來計算財務風險,以得出估計的損失。使用網絡風險量化,阻止可以更準確的回答以下重要問題:
?如果組織不解決安全項目中的一些特殊缺口,可能造成的經濟損失會有多大?
?什么樣的網絡安全事件會導致最嚴重的業務影響?
?哪些網絡安全項目需要優先考慮的,對穩定風險至關重要?
?我們需要在安全控制/資源方面進行哪些投資?在哪些方面?
網絡風險量化并不等同于網絡風險評估。網絡風險評估是指將系統、數據或網絡劃分為低、中、高等不同的風險等級。這個過程可以是基于內容、上下文或用戶行為的,往往傾向于定性的或動態的發現。
雖然網絡風險評估對組織的風險防護工作是有效的,但并不足夠。當多個資產處于同等的風險等級時,網絡安全團隊該如何確定安全控制的優先級?此外,如何低風險系統被優先處置時,又會造成什么危害呢?這時候,就需要更加客觀、定量的風險測量來進行補充。
網絡風險量化會使用數學公式、邏輯流程圖以及定量指標體系來計算風險,這是其與傳統的網絡風險評估方法主要區別。它能夠更直觀的反映出,當組織受到網絡攻擊的影響情況,組織可能會損失的嚴重程度,從而使其調查結果更加合理,并以數據為依據。
網絡風險量化的框架
組織在始對網絡風險進行量化之前,必須選擇一個適當的風險分析框架作為參考。以下是幫助組織實現這一目標的常用安全框架,包括:
?NIST SP 800-53:這是美國國家標準與技術研究院(NIST)發布的安全和隱私控制目錄。它能夠根據嚴重程度衡量網絡威脅,以幫助公司優先考慮這些威脅并保護信息系統。
?ISO 27005:這是由國際標準化組織(ISO)發布的執行信息安全風險評估指南框架。它適用于各種規模的企業組織,并已多次更新,是一種通用的網絡風險量化框架。
?FAIR模型:信息風險因素分析(FAIR)模型由非營利組織FAIR研究所發布。這是一種基于概率的模型使用數學算法從貨幣和數量上衡量風險。雖然它很實用,但它需要大量的信息。
?Monte Carlo分析模型:這種模型主要通過使用計算機生成的場景來測試組織的網絡安全彈性并識別潛在風險,幫助評估組織在各種風險情況下的結果。
網絡風險量化的價值
現代企業的安全決策者應該盡快考慮實施網絡風險量化,而非類似的替代方案,因為網絡攻擊的頻率和嚴重程度都在增加,組織需要更準確的風險評估結果。安全領導者不僅要確保組織的網絡安全,還要證明其防護成本是合理的。
調查數據顯示,約69%的網絡安全領導者預計,到2024年底,他們的網絡安全預算將增長10%-100%。然而在大多數組織中,安全策略和業務目標之間存在不一致,安全團隊通常無法與公司高級管理人員、董事會進行有效溝通。網絡風險量化作為一種彌合安全和業務領域之間鴻溝的方式,自然受到了廣泛關注。
網絡風險量化能夠讓公司董事會和高管層看清當前的網絡安全風險格局;它還將使安全團隊能夠在業務需求的背景下做出網絡安全決策,幫助組織確定哪些風險對業務構成最大的威脅,以及預期的經濟損失將是什么。
因此,實施網絡風險量化可以給現代企業組織帶來大量的戰術和戰略收益,具體包括以下幾點:
1.資源和預算的合理分配
網絡風險量化可以讓組織更好地了解網絡安全威脅的成本及其合理的補救措施,從而為網絡安全投資決策提供信息。例如,特定網絡安全計劃的投資回報率可以通過測量它們降低妥協風險水平的程度來體現,這有助于證明組織未來網絡安全投資的合理性。
.2制定更高效的行動計劃
網絡風險量化使安全管理團隊能夠根據財務和業務影響確定緩解計劃的優先級。徹底了解哪些關鍵資產處于重大風險之中,以及攻擊路線、破壞和緩解成本,使組織能夠規劃和優先考慮預防和緩解計劃。修復特定的關鍵網絡漏洞以避免這些攻擊,比簡單地采用“一攬子”解決方案更有效。
3.實現高效的溝通
網絡風險量化的一個關鍵好處是,它可以從財務和業務角度定義組織的安全風險態勢,用一種通用語言在安全和業務領域之間架起溝通的橋梁,管理層可以更好地了解組織的風險狀況,并就降低風險做出更明智的決策。這將大大改變網絡安全工作是一種“成本中心”的傳統偏見,讓安全建設成為業務發展的推動者。
4.提升整體安全性
網絡風險量化如果實施得當,會使整個組織更加安全。因為它提供了跟蹤、報告、基準測試和優化安全團隊工作效率的能力。通過降低風險、改進安全投資和確定緩解工作的優先級,它可以幫助組織優化安全決策,節省時間和金錢。
網絡風險量化的挑戰與實踐
要科學實現網絡風險量化并不容易,在此過程中也面臨以下兩個主要挑戰:
1.孤立的數據阻礙了可見性
現代企業組織通常使用多種工具和平臺來生成和獲取數據,然后將其分發到各個業務團隊。大多數時候,這些解決方案是沒有互聯互通的,這就造成了數據孤島。遍歷每個工具并分析數據既耗時又費力。如果其中的一些平臺被忽視了,就會影響組織風險試圖的完整性,這也將嚴重限制安全團隊正確度量網絡風險的能力。
2.缺乏用于快速補救的實時數據
網絡安全是一個持續不斷的攻防博弈過程。然而,如果企業的安全團隊缺乏對關鍵安全數據的實時可見性,那么很多安全策略將會失效。由于威脅總是在快速變化發展,組織的風險管理團隊必須能夠實時地處理它們。如果安全團隊限制了對威脅數據的訪問,風險度量工作將無法正確識別威脅并實施補救措施。
為了應對上述挑戰,建議組織在實施網絡風險量化工作時,遵循如下實踐步驟和流程:
1.識別并確定組織的關鍵IT資產
網絡風險量化工作取得成功的關鍵,就是要首先確定企業組織中最可能被攻擊的所有重要IT資產,并針對這些資產重點進行風險量化。當組織確定了關鍵性資產后,還應該根據它們的重要程度進行分類分級,這助于組織確定在網絡風險量化中應包括哪些內容。
2.充分收集與網絡威脅相關的數據和情報信息
只有當組織有足夠的威脅數據和情報信息提供給風險量化算法模型時,他們才能準確的根據量化規則計算出風險值。因此,各種威脅數據的收集、預處理和聚合是風險量化工作成功的關鍵。IT專業人員應該充分了解當前組織網絡攻擊的頻率和攻擊面情況,并分析網絡犯罪趨勢會如何影響組織的資產安全性。
3.區分內部和外部網絡風險
風險度量的準確性會隨著網絡攻擊的特異性改變而變化。除非企業規模很小,否則實施多個網絡風險量化流程將符合企業的最佳利益。考慮到超過98%的公司會與第三方供應商進行合作,因此區分來自內部和外部的網絡威脅應該是網絡風險量化工作的起點。
4.向管理層報告調查結果
在網絡風險量化的過程中,評估團隊需要將發現的評估結果匯整成詳細報告,并將原始數據轉化為易于理解的、沒有專業話術的信息圖表,以向管理層準確展示他們的度量發現,這樣才可以在風險管理策略的后續階段幫助組織簡化管理決策。此外,組織也需要利用風險度量的數據指標,來向所有員工分享相關的風險信息,提醒員工更加留意與風險相關的行為。
5.持續進行組織的網絡風險量化
網絡風險量化并不是一勞永逸的活動。由于企業組織面臨的威脅形勢是在不斷變化,其復雜性和危害性也會不斷增加,因此,網絡風險量化也應該不斷優化并持續開展。
原文鏈接:
https://hackernoon.com/what-is-cyber-risk-quantification
https://cyesec.com/blog/the-complete-guide-to-cyber-risk-quantification
https://vulcan.io/blog/cyber-risk-quantification-a-practitioners-guide/
