.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
場景選擇在上一篇文章中已經闡述了數據洩露成本估算的場景類型,接下來就是通過將理論化的風險事件與實際的業務流程易受運營損失類別(使用BIS發布的指南)進行比較,以便可信地描述業務後果,從而更接近現實的現實世界網絡威脅場景。也就是說,我們需要使用實際系統如何工作的知識來創建風險事件發生的場景的詳細信息。由於系統由人員、流程和技術組成,因此這些知識包括但不限於對手行為模式、軟件漏洞模式、當前技術控制維護困難以及業務用戶的操作或行為。
例如,上一篇文章圖3中的“信息盜竊”場景可以實例化為一種典型的惡意軟件攻擊,通過電子郵件網絡釣魚或水坑攻擊技術,以最終用戶為目標,這些攻擊會吸引具有互聯網訪問權限的金融專業人士點擊使用其訪問(系統對手行為模式)安裝惡意軟件的鏈接,並蒐索允許該軟件從最終用戶升級到管理特權訪問的常見漏洞(軟件漏洞模式)。為特定組織定制的場景將準確確定預計哪個平台具有此漏洞。它將識別惡意軟件對平台所做的更改(基於已知的技術維護問題),並從那裡確定桌面軟件進程和數據影響的負面影響。例如,軟件性能可能會降低,並且數據可能會變得不可訪問。然後,業務部門將被要求呼叫技術支持(業務用戶行為)。此方案描述為由業務、技術和風險專業人員組成的團隊提供了足夠的信息,以找出影響的詳細信息。
請注意,這只是一個潛在的風險事件,可用於在更深入的場景創建的系統方法中梳理出細節。簡單地說,一個場景可以由四個元素定義:
行為人:具有動力,技能和資源的理論對手
戰術:旨在實現對手目標的技術工作流程
目標:行為人必須利用的特定技術組件來製定策略
漏洞:暴露於行為人、技術或業務流程中,從而實現戰術
在前面的創建中,關鍵要素是:
行為人:黑客
策略:網絡釣魚部署的惡意軟件
目標:企業台式機
漏洞:操作系統安全
為了系統地分析所有系統的風險,這些元素可用於劃分和征服組織在風險分析過程中可能開發的每個風險類別中的示例事件的整體風險分析。當然,結合可以劃分和征服此類分析的觀察,重要的是要注意每個元素的潛在值可能會隨時間而變化,並且應始終反映當前的威脅情報。
例如,一組不同的行為人、策略、目標和漏洞可以提供替代場景選擇。另一個潛在的場景可能來自對使用內部最終用戶的訪問對公司基礎架構的中斷的描述,導致用戶生產力損失、業務通信中斷和桌面中斷,如下所示:
行為人:民族國家
目標:網絡路由器
漏洞:供暖、通風和空調(HVAC)供應商接入網絡允許將網絡路由命令引入企業基礎架構
策略:滲透HVAC供應商,使用維護連接引入默認路由,將所有網絡流量傳播並定向到民族國家擁有的域
基於這組替代元素的場景創建表明,資金充足的專業犯罪組織以HVAC設備為目標,利用HVAC供應商防火牆中的漏洞,並利用有關內部企業網絡漏洞的情報(可能來自內部人員)。實際設想的活動可能更值得商榷,但所有利益攸關者都必須認為是合理的,或者,如前所述,缺乏共識可能使利益攸關者難以認真對待影響估計。請注意,對於對強控制措施有相當自豪感的組織來說,為了通過方案促進成本分析,尤其難以暫停對這些控制措施的信念。只要在每個可能的風險類別中至少有一個完整分析的場景,就可以消除發生概率較低的單個場景。
另請注意,儘管由於控制力強,場景可能被視為低概率,但情況恰恰相反。在前面的示例中,組織內動態路由體系結構的普遍存在將增加資金充足的對手通過該方案帶來的單一供應商漏洞利用內部網絡中已知漏洞的可能性。通過這種方式,從情景分析中計算的成本可以提出額外的網絡路由控制以避免損失的情況。
下圖提供了基於在前面的列表中介紹的四個元素的場景開發的替代注意事項。與其考慮最終用戶對企業基礎設施的威脅,不如考慮內部用戶對核心銀行系統的威脅。當機構決定計算潛在數據洩露事件的成本時,建議在場景選擇之前準備此類潛在替代場景。大量的例子有助於說服懷疑者,至少有一種情況是可能的,討論哪些更有可能,可以從團隊了解的關於目標環境的一些有形的基本事實開始。另請注意,四種替代技術方案中只有一種針對核心銀行系統本身。對金融資產而不是技術資產的關注往往會導致對對手技術攻擊的潛在途徑進行更具創造性的猜測。
替代網絡安全場景元素
成本估算關於網絡安全漏洞成本的大部分文獻都集中在“信息盜竊”場景上。金融公司通常為數據洩露的客戶支付信用報告凍結和身份盜竊保險。他們還會產生通知客戶數據洩露事件發生的法律費用,並且這些補救措施是可用的。對於金融機構來說,重要的是要確切地了解這些機制在每個客戶的基礎上的成本。這些每個客戶的成本由多個組織定期調查;最廣為人知的是波耐蒙研究所。該機構的研究依賴於對數據洩露公司管理層的訪談,並試圖不僅量化通知和法律成本,還量化更難以估計的變量,如客戶流失以及特定響應活動在降低數據洩露成本方面的功效。然後,他們將數據洩露的總成本除以丟失的記錄數量,並跨行業,國家和年份比較這些數字。在2017年的Ponemon研究中,每個客戶記錄的綜合平均值為141美元,美國最高(225美元),印度最低(64美元)。該研究沒有聲稱是有效的統計研究,因此任何個別公司的經驗都可能有所不同。但是,這些數據確實提供了一定程度的指導。
在沒有實際的、具體的事件需要分析的情況下,管理層必鬚根據相關經驗和理性分析來估計數據洩露的成本。大多數網絡安全場景都是按滑動標尺量化的,將事件的預期持續時間估計為在最佳和最壞情況下識別和恢復通常需要的時間。當前技術過程可用於根據對技術支持的第一次呼叫以及技術支持升級到的技術操作員、管理員和工程師的預期活動來確定應遵循的事件順序。獨立風險或治理專家的角色通常是遍歷事件的過程和歷史數據,以確定在高效和有效事件響應和解決的最佳或最壞情況下的預期情景持續時間。在此類研究中檢查的信息通常包括但不限於以下內容:
受數據洩露影響的整套設備的系統清單
管理任務歷史記錄或業務恢復測試結果,顯示管理員通常在從網絡安全攻擊中恢復所需的系統還原任務上花費的時間
在升級路徑中重新分配技術資源所需的時間,這些資源通常被分配到其他工作,包括顧問和員工,如開發人員、工程師和架構師
以時間和材料為基礎工作的供應商所需的時間
安裝維護系統可用性所需的新設備或軟件所需的時間
如果程序不包括對所審查事件類型的反應,則必須分配時間,以在初始反應步驟以及最終調查期間捕捉不確定性或混亂的影響。如果沒有歷史上的內部先例,那麼可以使用年度Verizon數據洩露和調查報告等出版物盡可能地研究行業數據。
即使在所有響應程序似乎都已到位的情況下,人員或供應商可用性等變量也可能存在不確定性,或者供應商創建漏洞路徑所需的時間。因此,影響量化可以計算半天,全天或3天。理想情況下,過程演練應生成一個活動列表,這些活動可能在整個時間段內發生,如下所示:
支持/幫助中心可能很快就會不堪重負,因為它在數據洩露事件期間投入了關鍵資源來處理其他任何事情。
網絡安全團隊將全部時間花在取證分析上。
技術運營團隊主持事件響應電話會議,他們上報的工程師和高管花時間規劃工作協調(每隔幾個小時聯繫一次基地)。
應用程序支持團隊對桌面應用程序執行緊急測試。
桌面管理員執行緊急修補程序安裝。
顧問或供應商補充勞動力的成本
恢復系統可用性所需的新設備或軟件的成本
這表示技術費用的最小描述,僅用於說明目的。所有這些活動都是數據洩露事件的後果,都可以量化為事件成本的一部分。也就是說,如果決定將此勞動力的成本計為數據洩露成本估算中的度量單位,則將其量化為數據洩露成本的一部分。假設如此,一個組織的成本估算如下圖所示:
初始數據洩露成本估算:技術活動
上圖首先計算成本,假設最小的組織具有24-7全天候服務級別的要求。由於假期和其他時間的原因,科技公司採用三班倒的方式全面覆蓋一份工作,通常需要確保有六到八名員工能夠履行各自的職能。其中,該數據假定有兩個人將在事件發生期間完全致力於網絡安全漏洞。我們假設員工崗位的每小時成本為50美元,高技能技術人員為75美元,工程師為125美元,管理人員為200美元。這個假設的分析也假設了小型企業活動中典型的管理和顧問的參與。組織規模也會影響相關費率和其他假設。
在事件發生期間,業務本身也可能受到影響。在公司維護工作中將技術設備與業務應用程序連接起來的配置管理數據庫的地方,可以使用這樣的清單列出業務應用程序的用戶,這反過來可能有助於識別潛在的業務流程影響。在非常大的公司中,有時會調查用戶以確定影響。然而,也有可能是業務維護業務應用程序吞吐量的度量和指標,並且這與被入侵的估計長度結合起來,可以用於在業務方面估計網絡安全被入侵的成本。注意,許多企業在整個業務流程中每天都有更改,因此對一天中的時間進行假設通常也很重要。
在我們的例子中,我們將假設股票銷售經紀人沒有桌面辦公軟件,因此不能執行他們的工作功能。其結果是生產力的損失,以及潛在的業務損失。以業務損失為例,讓我們假設中斷將導致無法處理客戶權益買賣指令,這可以用交易來量化,交易作為影響的單位可以用來估計由於數據洩露造成的佣金收入損失。
其中一項或兩項生產率損失都可以作為數據洩露成本估算的衡量單位,即花費在閒置勞動力上的美元和佣金損失的收入損失。就像在技術方面一樣,特定場景的業務影響將以一定的比例進行量化。使用事件的預期持續時間和客戶使用平台的歷史數據,可以計算受影響的客戶交易數量。未完成交易的業務影響以收入損失和因未執行已接受的訂單而產生的潛在責任來量化。如果衡量單位包括機會成本,這兩個數字都包括在數據洩露成本中。如果度量單位只是貨幣,那麼只計算貨幣。
上圖以24小時內的業務量為例進行說明。在清晨,每小時的交易量只有大約200個交易。平均峰值在上午8點到中午之間,然後再次下降,在一天結束時達到每小時的最低量。雖然持續時間的滑動比例選擇為6小時、24小時和60小時,但從上午8點到晚上8點的12小時時段的費用在圖中顯示,60小時的活動是兩個24小時時段加一個12小時時段的倍數。我們的分析假設每筆交易佣金為10美元,機會成本是每個交易量分配窗口中可能損失的交易的直接倍數。
在下圖中,交易數量也被認為是計算因未執行已接受的訂單而產生的潛在負債的基礎。假定在晚上8點至上午8點之間收到的訂單不會立即處理,而是按合同約定在第二天開市時處理。在下圖的事務度量中,結果是大約300個隔夜事務是潛在的負債,因為它們不會在早上處理,而只有在從事件中恢復之後才會處理。在這300筆交易中,市場可能對公司有利,而交易被延遲處理的客戶將從經濟上受益,但在其他情況下,可能已經發生了損失。
數據洩露成本估算:業務交易成本
上圖假設所有的隔夜交易都將各自免除費用,這代表了一個機會成本。根據客戶的影響,企業也可以決定讓客戶成為整體。儘管有費用減免和善意的姿態,但這仍是可能的;客戶可以起訴違反協議。在商譽的情況下,損失可能被沖銷為“客戶商譽”,這是一個財務費用類別,不太可能出現在數據洩露損失計算單位的衡量。在訴訟案件中,任何產生的成本都將作為法律解決方案出現,而這當然應該包括在數據洩露成本中。
上圖假設對於25%的隔夜交易,公司平均每筆交易花費100美元的商譽費,對於在6小時事件中延遲的5%的交易,公司平均每筆交易花費1000美元的責任費。由於交易延遲的時間越長,客戶要求報銷的可能性就越大,因此每個持續時間類別的金額都會有所不同。假設24小時和60小時商譽和負債成本分別為100美元和1000美元估計數的兩倍和三倍。
隨著場景分析團隊列舉產生成本的活動和事件,很明顯,除了業務損失之外,還產生了機會成本,工作未完成的機會成本。例如:
1、管理任務歷史記錄將顯示管理員通常在網絡安全響應活動期間未執行的日常任務上花費多長時間。
2、應用程序支持方面的項目工作將被延遲,從而減少了由於應用程序支持團隊不可用而導致的上市時間。
3、用戶交付的桌面輸出將被延遲,例如管理、客戶和監管演示材料。
這些通常不作為數據洩露度量單位,但如果它們被包括在內,它們將進一步增加數據洩露成本的金額。數據洩露的總成本將在前文的兩個圖中所計算的金額中加上這些金額。如果假設錯過了一個重要的市場機會,或者可能因工作延誤而引發監管罰款,那麼對收入損失的量化估值當然也與管理層有關。在我們的示例中,我們假設這種產品交付挫折和罰款分別為6小時、24小時和60小時的事件花費5萬美元、10萬美元和20萬美元。這一最終假設將導致如下圖所示的網絡安全漏洞估計的全部成本。前文已說過大型組織用10的倍數表示。
數據洩露總成本估算
向前邁進在本章中,我們提出了一些原則和方法,以有效和務實地捕獲網絡入侵成本的相關組件。這裡總結的結論可用於事後分析,或作為預測潛在數據洩露事件的輸入。
參考資源
1、Borg,Scott,“TheEconomicsofLoss”,inEnterpriseInformationSecurityPrivacy,Axelrod,BayukSchutzer,Eds.(Norwood,MA:ArtechHouse,2009)。
2、巴塞爾銀行監督委員會(2003年),《经营风险管理和监督的健全做法》 (BCBS96www.bis.org)。
3、巴塞爾銀行監管委員會(2013)有效風險數據匯總和風險報告原則(BCBS239www.bis.org)。
4、伊薩卡(2012).COBIT5,使能流程。信息系統審計與控制協會(www.isaca.org)。
5、波耐蒙研究所(2017)。數據洩露研究的成本,全球概述。 https://www.ibm.com/account/reg/us-en/signup?formid=urx-33316
6、VerizonEnterprise.(2017).“2017年數據洩露調查報告,第10版。