Балльная оценка киберрисков — это способ количественного выражения рисков кибербезопасности, который позволяет организации принимать объективные и обоснованные решения о том, как уменьшить и защитить поверхность атаки.
Балльная оценка является важным компонентом любой системы управления киберрисками. Она позволяет получить общее и объективное представление об относительных рисках, связанных с ИТ-активами и цифровыми технологиями, на основе которого можно расставлять приоритеты и планировать действия.
Мониторинг динамики изменения оценок киберрисков позволяет организациям проводить сравнительный анализ и отслеживать свою готовность и уровень безопасности.
Балльная оценка киберрисков применяется ко всей поверхности атаки, включая внутренние и внешние ИТ-активы, данные, системы и ресурсы.
Аналогично количественной оценке киберрисков балльная оценка тесно связана с первыми двумя этапами управления поверхностью атаки: обнаружением и оценкой.
В частности, она включает в себя двухэтапный процесс профилирования рисков: сначала определяются релевантные риски и средства управления ими, а затем каждому риску присваиваются баллы на основе их относительной срочности и потенциальной серьезности.
Что такое киберриски?
Национальный институт стандартов и технологий (NIST) предлагает два определения киберрисков:
- «Риск зависимости от киберресурсов (т. е. риск зависимости от системы или системных элементов, которые существуют в киберпространстве или периодически присутствуют в нем)».
- «Риск финансовых потерь, сбоев в работе или ущерба в связи со сбоем цифровых технологий, используемых для информационных и/или операционных функций, внедренных в производственную систему с помощью электронных средств в результате несанкционированного доступа, использования, раскрытия, сбоев, модификаций или разрушения производственной системы».
Оба определения демонстрируют необходимость реализации в организации проактивной системы управления киберрисками.
Зачем нужна балльная оценка киберрисков?
Как компонент управления киберрисками балльная оценка киберрисков предлагает измеримый объективный показатель того, какие риски представляют наибольшую угрозу для организации. Эту информацию можно затем использовать для принятия решений о мерах кибербезопасности и инвестициях в решения.
Как и количественная оценка, балльная оценка киберрисков позволяет говорить о рисках в терминах, понятных как специалистам по безопасности, так и руководителям компаний. Таким образом, она упрощает мониторинг и отчетность в таких сферах, как экологическое, социальное и корпоративное управление, а также корпоративная социальная ответственность.
Балльная оценка киберрисков все чаще используется при определении соответствия организации требованиям к киберстрахованию. Ее также можно использовать для оценки компаний при потенциальных слияниях и поглощениях, для управления безопасностью цепочки поставок и в других областях бизнеса.
Количественная и балльная оценка киберрисков
Обе оценки выполняют аналогичные функции, но первая является количественной, а вторая — качественной. Оба подхода объективно и эмпирически рассчитывают риски кибербезопасности с целью принятия стратегических решений.
В ходе балльной оценки каждому киберриску присваивается числовое значение, и на основе этих значений затем высчитывается общая оценка киберрисков для организации. Количественная оценка киберрисков рассчитывает потенциальную стоимость киберинцидентов в денежном выражении — во что обойдется компании взлом или кража данных. Здесь могут учитываться финансовые убытки (потеря доходов, простои, штрафы, судебные иски), потеря конкурентного преимущества (например, снижение доли рынка), репутационный ущерб, отток клиентов и другие убытки.
В рамках количественной оценки киберисков вероятность часто рассчитывается в процентах. Например, для генерального директора в компании из сферы финансовых услуг вероятность BEC-атаки может составлять 85%, а для директора столовой на том же предприятии — 12%. Эта вероятность определяется статистически с помощью симуляций на основе модели (например, методом Монте-Карло) и обычно рассчитывается на определенный период, например, на квартал или календарный год.
Балльная и количественная оценка киберрисков поддерживают эффективное управление киберрисками и включают аналогичные этапы обнаружения и оценки для выявления, анализа и приоритизации рисков.
Как работает балльная оценка киберрисков?
Как уже упоминалось, балльная оценка киберрисков состоит из двух частей:
- Профилирование рисков.
- Балльная оценка рисков.
Этап профилирования возможен только после тщательного процесса обнаружения и оценки, который определяет общую поверхность атаки организации и выявляет риски и уязвимости для этой поверхности. На основании этой информации организация может решить, какие средства контроля необходимо внедрить.
На этапе присвоения баллов оценивается потенциальный уровень риска и ущерб от каждой выявленной уязвимости, включая вероятность эксплуатирования этой уязвимости, широту и глубину последствий, сложность восстановления после успешной атаки и многое другое.
Оценки киберрисков также должны учитывать глобальные аналитические данные об угрозах (проприетарные и общедоступные), рейтинги общественной безопасности и данные об осведомленности злоумышленников о конкретных уязвимостях, простоте эксплуатации, частоте эксплойтов и другие соответствующие сведения.
Баллы отдельных киберрисков затем складываются для расчета общей оценки киберрисков организации.
Как балльная оценка киберрисков поддерживает управление поверхностью атаки?
Управление поверхностью атаки — это подход к кибербезопасности, который повышает видимость угроз и тем самым помогает организациям защитить свои данные и системы. Этот подход подразумевает, что организация знает, где существуют риски, понимает их относительную серьезность и принимает меры для устранения пробелов в системе безопасности, связанных с людьми, процессами и технологиями.
Таким образом, балльная оценка киберрисков тесно связана с первыми двумя этапами управления поверхностью атаки: обнаружением и оценкой.
Этап обнаружения обеспечивает видимость всех потенциальных киберрисков, с которыми сталкивается организация. Этот контекст необходим для точной и полной оценки киберрисков, поскольку он дает полную картину корпоративной поверхности атаки.
Балльная оценка киберрисков дополняет этап оценки в рамках управления поверхностью атаки, предоставляя эмпирический и объективный способ определить, какие риски и уязвимости являются наиболее важными, а какими можно заняться позже.
Балльная оценка киберрисков выполняется непрерывно. По мере изменения показателей специалисты по кибербезопасности и руководители наблюдают, как меняется общий ландшафт рисков: какие риски успешно снижаются, а какие выходят на первый план.
Методы расчета балльных оценок киберрисков
Существует множество систем и методов балльной оценки киберрисков. Самый простой способ — оценить вероятность атаки, присвоить ей значение и умножить его на потенциальную серьезность атаки, чтобы вычислить числовой показатель риска.
Система Национального института стандартов и технологий (NIST)
NIST предлагает решение для балльной оценки киберрисков, которое присваивает категории безопасности всем компонентам системы и устанавливает базовый уровень контроля безопасности для каждого: низкий, умеренный или высокий. Каждому средству контроля присваивается первоначальный вес от 1 до 10 в зависимости от его относительной важности для общей безопасности и конфиденциальности организации.
В системе NIST профилирование рисков помогает определить необходимый объем требуемых средств контроля. Такие факторы, как конфиденциальность, целостность и доступность, оцениваются по шкале от 1 до 10 и применяются к различным средствам контроля в соответствии с критичностью связанных данных и информации.
Информация о прошлых инцидентах, известных событиях, влияющих на определенную отрасль или сектор, и другой контекст также учитываются при расчете баллов, чтобы этот показатель точно отражал потенциальный риск будущих инцидентов.
Другие подходы
Другие методы расчета балльных оценок киберрисков
- Factor Analysis of Information Risk (FAIR) — факторный анализ информационного риска обычно используется для оценки финансовых рисков, например для количественной оценки киберрисков. При использовании метода FAIR риски разбиваются на подкомпоненты для обеспечения высокой точности.
- Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) — оценка критических угроз, активов и уязвимостей ориентирована на бизнес-операции, а риски рассчитываются на основе присущих конкретным активам угроз и уязвимостей инфраструктуры.
- ISO/IEC 27005 содержит рекомендации по управлению рисками информационной безопасности, связанные с определением контекста управления рисками; выявлением и оценкой рисков (включая вероятность атаки); и мерами по снижению рисков (планы по устранению рисков).
При балльной оценке рисков может использоваться система оценки уязвимостей Common Vulnerability Scoring System (CVSS). CVSS используется не как инструмент для полноценной оценки рисков, а как удобный способ определения потенциальной серьезности уязвимостей, выявленных в программном обеспечении. Уровни серьезности можно учитывать при расчете общей оценки риска.
Кто поможет с балльной оценкой рисков кибербезопасности?
Trend Micro совместно с Институтом Понемона разработала Индекс киберрисков (CRI), чтобы помочь организациям определить уровни риска и выявить пробелы в системе кибербезопасности. CRI присваивает балльный показатель риска на основе комплексной оценки категорий и факторов риска. Индекс учитывает события риска, которые влияют на широкий спектр активов, включая пользователей, устройства, приложения, домены и IP-адреса, доступные из интернета, а также облачные активы.
CRI использует подключенные источники данных для оценки того, как факторы риска влияют на конкретную среду организации. Чем больше источников данных можно учесть, тем более полным и всеобъемлющим будет результат CRI.
CRI автоматически обновляется каждые четыре часа, при этом изменения в статусе событий риска отражаются в течение часа. Организации могут вручную пересчитать свой CRI, нажав кнопку «Пересчитать». Используйте калькулятор CRI, чтобы оценить риски в вашей организации.
Trend Vision One™ предлагает решение по управлению киберрисками Cyber Risk and Exposure Management (CREM), которое помогает организациям проактивно выявлять, оценивать и устранять киберриски для снижения общего воздействия рисков. Революционное, централизованное и простое в использовании решение CREM объединяет в себе такие ключевые возможности, как управление внешней поверхностью атаки (External Attack Surface Management, EASM), управление поверхностью атаки на киберактивы (Cyber Asset Attack Surface Management, CAASM), управление уязвимостями и управление состоянием безопасности — для облака, данных, идентификаторов, API, ИИ, комплаенса и SaaS-приложений. Оно позволяет не только управлять угрозами, но и обеспечивать устойчивость к реальным рискам.
Узнайте больше о том, как Cyber Risk and Exposure Management помогает повышать устойчивость к реальным рискам.