Obliczanie ryzyka cybernetycznego (CRQ) to sposób na umieszczenie zagrożeń cybernetycznych w obiektywnych, empirycznych warunkach biznesowych, aby podejmować strategiczne decyzje.
Czym jest obliczanie ryzyka cybernetycznego?
Zarządy korporacji i zespoły kierownicze są coraz częściej odpowiedzialne za naruszenia cyberbezpieczeństwa, utratę danych, naruszenia zgodności i inne skutki. To sprawiło, że cyberbezpieczeństwo stało się strategicznym tematem biznesowym w sposób, w jaki jeszcze wcześniej nie było. Obliczanie (analiza ilościowa) ryzyka cybernetycznego (CRQ) to metoda określania zagrożeń cybernetycznych w sposób, który ma znaczenie dla decydentów biznesowych.
CRQ to główny filar zarządzania ryzykiem cybernetycznym, pomagający organizacjom określić potencjalny wpływ ryzyka na bezpieczeństwo w biznesie, na przykład straty finansowe (przychody, przestoje) i/lub straty konkurencyjne (takie jak udział w rynku). Pomaga to organizacjom kierować inwestycje w cyberbezpieczeństwo tam, gdzie jest najbardziej potrzebne i określać wartość lub potencjalny zwrot z tych inwestycji, uzasadniając wydatki na cyberbezpieczeństwo.
Jedną z powszechnych metod obliczania CRQ jest model FAI. Nazwa modelu opracowana przez FAIR Institute oznacza „Analizę czynników ryzyka informacyjnego”. FAIR to otwarty międzynarodowy standard CRQ.
Czym są zagrożenia cybernetyczne?
National Institute of Standards and Technology (NIST) definiuje ryzyko cybernetyczne jako jedno i drugie (lub oba):
- „Ryzyko związane z w zależności od cyberzasobów (tj. ryzyko związane z w zależności od systemu lub elementów systemu, które istnieją w cyberprzestrzeni lub co pewien czas występują w niej).”
- „Ryzyko strat finansowych, zakłóceń operacyjnych lub szkód wynikających z awarii technologii cyfrowych wykorzystywanych do celów informacyjnych i/lub operacyjnych wprowadzanych do systemu produkcyjnego za pomocą środków elektronicznych w wyniku nieuprawnionego dostępu, użycia, ujawnienia, zakłócenia, modyfikacji lub zniszczenia systemu produkcyjnego”.
Obie definicje odnoszą się do konieczności wdrożenia przez organizacje proaktywnej struktury zarządzania ryzykiem cybernetycznym.
Dlaczego CRQ ma znaczenie?
Wdrożenie modelu CRQ umożliwia organizacjom integrację decyzji dotyczących cyberbezpieczeństwa z ogólną strategią korporacyjną i ustalaniem kierunków. To sprawia, że cyberbezpieczeństwo jest podstawowym elementem działalności firmy, a nie jego przemyślania.
Ponieważ CRQ umożliwia zespołom ds. cyberbezpieczeństwa i liderom biznesowym „mówienie tym samym językiem” na temat ryzyka cybernetycznego, ułatwia lepszą komunikację między zespołami ds. bezpieczeństwa a zespołami biznesowymi. W podobny sposób zapewnia mechanizm wykazywania zgodności z przepisami.
Dzięki połączeniu z zarządzaniem ryzykiem cybernetycznym CRQ wspiera i wzbogaca wysiłki organizacji mające na celu zrozumienie jej całkowitego narażenia na ryzyko cybernetyczne i luk w zabezpieczeniach powierzchni ataku, umożliwiając skuteczniejsze i bardziej ukierunkowane reakcje oraz lepsze wykorzystanie zasobów.
Jak działa CRQ?
CRQ obejmuje identyfikację wszystkich potencjalnych zagrożeń cybernetycznych dla firmy, ocenę i ustalenie priorytetów w celu określenia, które są najpilniejsze i najpoważniejsze oraz obliczenie możliwego wpływu naruszenia, ataku lub straty biznesowej w każdym przypadku.
Jest to ściśle powiązane z dwoma pierwszymi fazami zarządzania powierzchnią ataku: odkrywaniem i oceną, a także obejmuje to to samo spektrum zagrożeń cyfrowych, fizycznych i społecznych/ludzkich, które mogą obejmować złośliwe oprogramowanie, słabe hasła i błędy konfiguracji, kradzieże, złośliwe działania związane z informacjami wewnętrznymi, podatność na phishing i programy kompromisów w poczcie biznesowej (BEC) i wiele innych.
Wykrywanie
Pierwszym krokiem jest zidentyfikowanie wszystkich potencjalnych zagrożeń, które mogą zaszkodzić organizacji. Wymaga to pełnego wglądu w powierzchnię ataku, czyli suma wszystkich sposobów uzyskania nieuprawnionego dostępu do danych i systemów w celu kradzieży lub uruchomienia ataku.
Na tym etapie niezbędna jest platforma cyberbezpieczeństwa umożliwiająca automatyczne i ciągłe skanowanie całej powierzchni ataku. Platforma będzie uwzględniać wszystkie znane i nieznane zasoby, systemy, aplikacje i punkty dostępowe — w tym elementy, które tradycyjnie nie są widoczne dla zespołów ds. bezpieczeństwa, takie jak aplikacje do cieniowania IT, technologie innych firm oraz przestarzałe lub „zapomniane” technologie, które zostały pominięte w poprzednich inwentarzach.
Ocena
Dzięki kompleksowemu wglądowi w powierzchnię ataku zespoły ds. bezpieczeństwa mogą ocenić względne słabości i luki w zabezpieczeniach, takie jak błędy konfiguracji, niepoprawione oprogramowanie, błędy kodowania i inne. W oparciu o te luki w zabezpieczeniach ocena może następnie określić, jakie rodzaje ataków mogą zostać wykorzystane do ich wykorzystania — teraz i w przyszłości — oraz jakie mogą być cele tych ataków (np. kradzież danych, zakłócenia w działalności, okup i wymuszenie itp.).
Kilka kluczowych kwestii związanych z oceną:
- Najlepiej jest ocenić ryzyko dla każdej części organizacji, od operacji wewnętrznych po sprzedaż i obsługę klienta, łańcuch dostaw, zasoby chmurowe, procesy tworzenia oprogramowania (DevOps) i inne.
- Po przeprowadzeniu wstępnej oceny zespoły ds. bezpieczeństwa mogą ustalać priorytety zagrożeń i zasobów, określając, które z nich mają najwyższą wartość (zarówno dla samej organizacji, jak i dla potencjalnych atakujących), które są najbardziej podatne na ataki oraz — co najważniejsze — prawdopodobieństwo ataku.
- W CRQ prawdopodobieństwo jest obliczane jako prawdopodobieństwo, często wyrażone jako procent. Na przykład w przypadku poczty elektronicznej dyrektora generalnego w firmie świadczącej usługi finansowe prawdopodobieństwo ataku BEC może wynosić 85%, w porównaniu z 12% w przypadku kierownika stołówki w tym samym przedsiębiorstwie. Prawdopodobieństwo to jest określane statystycznie przy użyciu symulacji modelowych (np. symulacji Monte Carlo) i jest zazwyczaj obliczane dla określonego okresu, takiego jak kwartał biznesowy lub rok kalendarzowy.
Obliczenia
W oparciu o ocenę zespoły ds. bezpieczeństwa współpracują z liderami biznesowymi, aby oszacować wartość finansową lub koszt potencjalnych cyberataków. Będzie to obejmować kary za nieprzestrzeganie przepisów i regulacji; straty finansowe wynikające z przestojów, odzyskiwania, wymuszenia lub kradzieży; utratę reputacji i pozycji rynkowej; procesy sądowe i inne. Konkretne czynniki różnią się w zależności od organizacji i sektora. Efektem końcowym jest wartość w dolarach, która wyraża ryzyko biznesowe związane z cyberatakiem.
Czym różni się CRQ od oceny ryzyka cybernetycznego?
Obiczanie ryzyka cybernetycznego i ocena ryzyka cybernetycznego pełnią podobne funkcje. Oba rodzaje ryzyka cybernetycznego tworzą obiektywne, empiryczne pojęcia, które informują o strategicznych decyzjach.
Podczas gdy CRQ oblicza potencjalną wartość w dolarach cyberzagrożeń — ile może kosztować firmę naruszenie, hakowanie lub kradzież danych — ocena ryzyka cybernetycznego przypisuje punktację liczbową każdemu ryzyku, a następnie przedstawia ogólny wynik ryzyka cybernetycznego organizacji.
W szczególności ocena ryzyka cybernetycznego obejmuje dwuetapowy proces profilowania ryzyka – określający, jakie są istotne zagrożenia i mechanizmy kontroli wymagane do zarządzania nimi – a następnie przypisujący oceny do każdego ryzyka w oparciu o ich względną pilność i potencjalną dotkliwość.
- Etap profilowania zależy od dokładnego procesu wykrywania i oceny, który określa ogólną powierzchnię ataku organizacji oraz identyfikuje zagrożenia i luki w zabezpieczeniach na tej powierzchni. W oparciu o te ustalenia organizacja może zdecydować, które mechanizmy kontroli należy wdrożyć.
- Etap punktacji ocenia potencjalny poziom ryzyka i szkód dla każdej zidentyfikowanej luki w zabezpieczeniach, w tym prawdopodobieństwo jej wykorzystania, stopień i szerokość odczuwanego wpływu, trudności z usunięciem udanego ataku i wiele więcej.
- Oceny ryzyka cybernetycznego powinny również uwzględniać globalne analizy zagrożeń (własne lub open source), oceny bezpieczeństwa publicznego oraz informacje o konkretnych lukach w zabezpieczeniach, łatwości wykorzystania, częstotliwości exploitów i innych istotnych punktach danych.
Istnieje wiele różnych metod obliczania wyników ryzyka cybernetycznego, w tym ramy przedstawione przez NIST i wspomniany wcześniej model FAIR.
Zarówno ocena ryzyka cybernetycznego, jak i CRQ wspierają dobre zarządzanie ryzykiem cybernetycznym i obejmują podobne etapy odkrywania i oceny w celu proaktywnego identyfikowania, oceniania i ustalania priorytetów ryzyka.
Alternatywy dla CRQ
CRQ jest dość nowy. Wiele organizacji nadal stosuje oparte na zgodności modele zarządzania ryzykiem, takie jak NIST Cybersecurity Framework (CSF). Przy podejściu opartym na zgodności z przepisami nacisk kładzie się na zachowanie zgodności z wymogami regulacyjnymi. Z drugiej strony narzędzia CRQ koncentrują się na umieszczaniu liczb na cyberzagrożeniach. Połączenie tych dwóch rozwiązań może przynieść najlepsze wyniki w zakresie cyberbezpieczeństwa — w kontekście ogólnej strategii zarządzania ryzykiem cybernetycznym, zakorzenionej w czujnym zarządzaniu powierzchnią ataku.
Jak możemy wdrożyć CRQ?
Obliczanie ryzyka cybernetycznego jest kluczowym elementem ogólnego zarządzania ryzykiem cybernetycznym. Wdrożenie CRQ wymaga dobrej współpracy i koordynacji między zespołami ds. cyberbezpieczeństwa w przedsiębiorstwach a liderami firm, w tym jasnych oczekiwań, regularnych punktów kontaktu, otwartej komunikacji i dobrze zdefiniowanych procesów.
Organizacje będą musiały wybrać model CRQ (niezależnie od tego, czy chodzi o FAI, czy o inne podejście) i wdrożyć narzędzia CRQ do obsługi wymaganych symulacji i obliczeń. Narzędzia te powinny być zintegrowane z ogólną platformą cyberbezpieczeństwa, która może zapewnić cały kontekst niezbędny do świadomego określenia zagrożeń cybernetycznych i ich względnego priorytetu.
W szczególności oznacza to platformę zdolną do zarządzania ryzykiem cybernetycznym we wszystkich fazach: wykrywania, oceny i ograniczania ryzyka. Platforma powinna zawierać technologie operacji bezpieczeństwa, takie jak zarządzanie informacjami i zdarzeniami bezpieczeństwa (SIEM), rozszerzone wykrywanie i reagowanie (EDR) i/lub rozszerzone wykrywanie i reagowanie (XDR), aby szybko i skutecznie ograniczać zagrożenia. XDR ma również kluczowe znaczenie jako źródło danych, analityki i integracji.
Aby zminimalizować ryzyko w dłuższej perspektywie i wzmocnić postawę organizacji w zakresie bezpieczeństwa, strategie „zero zaufania” są również ważnym uzupełnieniem CRQ. Zero zaufania stosuje zasadę najmniejszych uprawnień do praktycznie każdego aspektu środowiska IT. Jak sama nazwa wskazuje, nigdy nie zakłada się zaufania, a uprawnienia są ściśle kontrolowane, aby nawet upoważnieni użytkownicy mieli dostęp do zasobów tylko wtedy, gdy ich potrzebują.
Gdzie mogę uzyskać pomoc w zakresie CRQ?
Trend Vision One™ może pomóc we wdrażaniu praktyk CRQ dzięki rozwiązaniu do zarządzania ryzykiem cybernetycznym, które umożliwia organizacjom łatwe ilościowe określanie i informowanie o ryzyku cybernetycznym w warunkach biznesowych.
Jest to możliwe dzięki rewolucyjnemu podejściu Trend Vision One do łączenia kluczowych funkcji, takich jak zarządzanie powierzchnią ataków zewnętrznych (EASM), zarządzanie powierzchnią ataków cybernetycznych (CAASM), zarządzanie lukami w zabezpieczeniach i zarządzanie postawami zabezpieczeń — w chmurze, danych, tożsamości, interfejsach API, AI, zgodności i aplikacjach SaaS w jednym potężnym, łatwym w użyciu rozwiązaniu. Umożliwia proaktywną ochronę firmy z zachowaniem kontroli, przejrzystości i pewności.
Zarządzanie ryzykiem cybernetycznym może pomóc w kwantyfikacji ryzyka cybernetycznego.