Количественная оценка киберрисков — это способ вписать киберриски в объективный бизнес-контекст для принятия информированных стратегических решений.
Корпоративные советы директоров и руководящие группы все чаще несут ответственность за последствия, связанные со взломом системы безопасности, потерей данных, нарушениями требований регуляторов и т. д. Поэтому теперь кибербезопасность считается стратегическим направлением бизнеса. Количественная оценка киберрисков — это метод определения рисков кибербезопасности таким образом, чтобы они были понятны лицам, принимающим решения.
Количественная оценка рисков — это основной элемент управления киберрисками, помогающий организациям определить потенциальные риски для бизнеса, которые могут привести, например, к финансовым убыткам (потеря дохода, простои) или снижению конкурентоспособности (например, потеря доли рынка). Это помогает организациям инвестировать именно в те решения по кибербезопасности, которые наиболее необходимы бизнесу, и определять ценность или потенциальную окупаемость этих инвестиций, чтобы оправдать затраты на кибербезопасность.
Для расчета количественной оценки киберрисков часто используется модель FAIR. Модель, разработанная Институтом FAIR, расшифровывается как Factor Analysis of Information Risk (факторный анализ информационных рисков). FAIR — это открытый международный стандарт количественной оценки рисков.
Что такое киберриски?
Национальный институт стандартов и технологий (NIST) предлагает два определения киберрисков:
- «Риск зависимости от киберресурсов (т. е. риск зависимости от системы или системных элементов, которые существуют в киберпространстве или периодически присутствуют в нем)».
- «Риск финансовых потерь, сбоев в работе или ущерба в связи со сбоем цифровых технологий, используемых для информационных и/или операционных функций, внедренных в производственную систему с помощью электронных средств в результате несанкционированного доступа, использования, раскрытия, сбоев, модификаций или разрушения производственной системы».
Оба определения демонстрируют необходимость реализации в организации проактивной системы управления киберрисками.
Зачем нужна количественная оценка рисков?
Внедрение модели количественной оценки рисков позволяет организациям интегрировать решения по кибербезопасности в общую корпоративную стратегию и определение направления. Благодаря такому подходу кибербезопасность, ранее игравшая второстепенную роль, выходит на первый план.
Поскольку количественная оценка рисков позволяет специалистам по кибербезопасности и руководителям компаний говорить на одном языке, она упрощает коммуникации между отделом безопасности и бизнесом. Кроме того, она предоставляет механизм демонстрации комплаенса.
Благодаря связи с управлением киберрисками количественная оценка рисков помогает организациям лучше понять вероятность киберрисков и составить полную картину уязвимостей на своей поверхности атаки для более эффективного и целенаправленного реагирования и оптимального использования ресурсов.
Как работает количественная оценка рисков?
Количественная оценка рисков включает выявление всех потенциальных киберугроз для бизнеса, оценку и приоритизацию для определения наиболее срочных и серьезных угроз, а также расчет возможного влияния взлома, атаки или потери данных на бизнес в каждом случае.
Эти процессы аналогичны первым двум этапам управления поверхностью атаки — обнаружение и оценка. Они охватывают один и тот же спектр цифровых, физических и социальных рисков, которые могут варьироваться от вредоносного ПО, слабых паролей и ошибок конфигурации до кражи, вредоносных инсайдерских действий, фишинга и компрометации деловой электронной почты (BEC) и т. д.
Обнаружение
Первым шагом является выявление всех потенциальных угроз, которые могут нанести вред организации. Для этого требуется полное представление о поверхности атаки — совокупности всех способов, с помощью которых злоумышленники могут получить несанкционированный доступ к данным и системам для кражи или атаки.
На этом этапе требуется платформа кибербезопасности с возможностью автоматического и непрерывного сканирования всей поверхности атаки. Платформа должна учитывать все известные и неизвестные активы, системы, приложения и точки доступа, включая элементы, которые традиционно не видны специалистам по безопасности, такие как теневые ИТ-приложения, сторонние технологии, а также устаревшие или «забытые» ресурсы, которые не вошли в предыдущую опись.
Оценка
Благодаря всестороннему обзору поверхности атаки специалисты по безопасности могут оценить относительные слабые места и уязвимости, например неправильные конфигурации, программное обеспечение без исправлений, ошибки в коде и многое другое. На основе этих уязвимостей оценка также может определить, каким типам атак подвержены эти активы сейчас и в будущем и с какой целью могут осуществляться атаки — кража данных, нарушение работы, требование выкупа и т. д.
Несколько ключевых моментов, связанных с оценкой:
- В идеале риски должны оцениваться для каждого подразделения организации: от внутренних операций до продаж и обслуживания клиентов, цепочки поставок, облачных ресурсов, конвейеров разработки программного обеспечения (DevOps) и т. д.
- После выполнения первоначальных этапов оценки специалисты по безопасности могут приоритизировать риски и активы по ценности (как для самой организации, так и для потенциальных злоумышленников), по уязвимости для атаки, и — с точки зрения количественной оценки киберрисков — по вероятность атаки.
- В рамках количественной оценки киберисков вероятность часто рассчитывается в процентах. Например, для генерального директора в компании из сферы финансовых услуг вероятность BEC-атаки может составлять 85%, а для директора столовой на том же предприятии — 12%. Эта вероятность определяется статистически с помощью симуляций на основе модели (например, методом Монте-Карло) и обычно рассчитывается на определенный период, например, на квартал или календарный год.
Расчет
Основываясь на оценке, специалисты по безопасности вместе с руководителями рассчитывают финансовую стоимость потенциальных кибератак. Они учитывают штрафы за несоблюдение законов и нормативных актов; финансовые убытки, связанные с простоем, восстановлением, вымогательством или кражей; репутационный ущерб и потерю рыночных позиций; расходы на судебные иски и многое другое. Конкретные факторы зависят от организации и сектора. Конечным результатом является конкретная сумма, учитывающая всю совокупность бизнес-рисков кибератаки.
Чем количественная оценка киберрисков отличается от балльной оценки киберрисков?
Количественная и балльная оценка киберрисков выполняют аналогичные функции. Оба подхода объективно и эмпирически рассчитывают риски кибербезопасности с целью принятия стратегических решений.
Количественная оценка киберрисков рассчитывает потенциальную стоимость киберинцидентов в денежном выражении — во что обойдется компании взлом или кража данных. В ходе балльной оценки каждому киберриску присваивается числовое значение, и на основе этих значений затем высчитывается общая оценка киберрисков для организации.
В частности, оценка киберрисков включает в себя двухэтапный процесс профилирования рисков: сначала определяются релевантные риски и средства управления ими, а затем каждому риску присваиваются баллы на основе их относительной срочности и потенциальной серьезности.
- Этап профилирования возможен только после тщательного процесса обнаружения и оценки, который определяет общую поверхность атаки организации и выявляет риски и уязвимости для этой поверхности. На основании этой информации организация может решить, какие средства контроля необходимо внедрить.
- На этапе присвоения баллов оценивается потенциальный уровень риска и ущерб от каждой выявленной уязвимости, включая вероятность эксплуатирования этой уязвимости, широту и глубину последствий, сложность восстановления после успешной атаки и многое другое.
- Оценки киберрисков также должны учитывать глобальные аналитические данные об угрозах (проприетарные и общедоступные), рейтинги общественной безопасности и данные об осведомленности злоумышленников о конкретных уязвимостях, простоте эксплуатации, частоте эксплойтов и другие соответствующие сведения.
Для расчета баллов киберрисков используются различные методы, включая структуру, предложенную NIST, и модель FAIR, упомянутую ранее.
Балльная и количественная оценка киберрисков поддерживают эффективное управление киберрисками и включают аналогичные этапы обнаружения и оценки для упреждающего выявления, анализа и приоритизации рисков.
Альтернативы количественной оценке киберрисков
Метод количественной оценки киберрисков появился относительно недавно. Многие организации по-прежнему используют модели управления рисками на основе комплаенса, такие как NIST Cybersecurity Framework (CSF). При использовании подхода на основе комплаенса основное внимание уделяется обеспечению соответствия нормативным требованиям. Инструменты количественной оценки киберрисков, с другой стороны, оперируют цифрами. Сочетание этих двух подходов повышает шансы на надежную защиту в контексте общей стратегии управления киберрисками, основанной на строгом управлении поверхностью атаки.
Как реализовать количественную оценку киберрисков?
Количественная оценка киберрисков является ключевым компонентом общего управления киберрисками. Для реализации количественной оценки киберрисков требуется эффективное сотрудничество между специалистами по кибербезопасности и руководством предприятия и координация на основе согласованных ожиданий, регулярного взаимодействия, открытых коммуникаций и четко определенных процессов.
Организациям требуется выбрать модель количественной оценки рисков (FAIR или другой подход) и внедрить соответствующие инструменты для поддержки необходимого моделирования и вычислений. Эти инструменты должны быть интегрированы в единую платформу кибербезопасности, которая предоставляет весь необходимый контекст для принятия обоснованных решений о киберрисках и их относительном приоритете.
Такая платформа подходит для всех этапов управления киберрисками: обнаружения, оценки и устранения. Платформа должна включать в себя такие технологии обеспечения безопасности, как управление информацией и событиями безопасности (SIEM), обнаружение и реагирование для конечных точек (EDR) и/или расширенное обнаружение и реагирование (XDR) для быстрого и эффективного снижения угроз. XDR также является ценным источником данных, аналитики и интеграций.
Чтобы свести к минимуму риски в долгосрочной перспективе и укрепить безопасность организации, количественную оценку киберрисков необходимо дополнить стратегиями нулевого доверия. Стратегия нулевого доверия применяет принцип наименьших привилегий практически ко всем аспектам ИТ-среды. Как следует из названия, по умолчанию система никому не доверяет, а разрешения строго контролируются, так что даже авторизованные пользователи имеют доступ к ресурсам только там и тогда, когда это абсолютно необходимо.
Где найти помощь по количественной оценке киберрисков?
Trend Vision One™ поможет вам в реализации количественной оценки киберрисков с помощью решения по управлению киберрисками Cyber Risk Exposure Management, которое позволяет организациям без лишних усилий вычислять показатели рисков и вписывать их в бизнес-контекст.
Это возможно благодаря революционному подходу Trend Vision One™ и сочетанию широкого ряда возможностей, включая управление внешней поверхностью атаки (External Attack Surface Management, EASM), управление поверхностью атаки на киберактивы (Cyber Asset Attack Surface Management, CAASM), управление уязвимостями и управление состоянием безопасности — для облака, данных, идентификаторов, API, ИИ, комплаенса и SaaS-приложений. Вы получаете возможность проактивно защищать свой бизнес, прозрачно и уверенно управляя рисками.
Узнайте больше о том, как Cyber Risk Exposure Management поддерживает количественную оценку киберрисков.