網絡風險量化是一種將網絡資訊保安風險納入客觀、實證的商業條件來支援決策的方法。
企業董事會和領導層越來越需要對網絡資訊保安漏洞、資料外洩、合規及其他衝擊負責。這令網絡資訊保安成為前所未見的策略性商業議題。網絡風險量化是企業決策者最有意義的網絡保安風險架構。
網絡風險量化是網絡風險曝險管理的主要支柱,可協助企業判斷網絡保安風險可能造成的潛在業務衝擊,例如財務損失(營收、停運)和/或競爭損失(如市佔率)。這有助於企業在最需要的地方直接投資網絡資訊保安,並判斷這些投資的價值或潛在報酬,從而調整網絡資訊保安支出。
計算網絡風險量化的一個常見方法就是 FAIR 模型。FAIR Institute 開發的模型名為「資訊風險因子分析」。FAIR 是網絡風險量化的一項公開國際標準。
何謂網絡風險?
美國國家標準與技術研究所(NIST)將網絡風險定義為兩方面(或兩者之一):
- 「視網絡資源而定的風險(即是視網絡空間內存在或間歇存在的系統或系統元素而定的風險)。」
- 「因數碼技術無法透過電子方式將資訊及/或運作功能導入製造系統,令製造系統遭到未經授權的存取、使用、揭露、中斷、修改或損毀,進而帶來財務損失、營運中斷或損害的風險。」
這兩項定義都令企業必須採取並建置一套主動的網絡風險曝險管理架構。
為何網絡風險量化很重要?
採用網絡風險量化模型可讓企業將網絡資訊保安決策整合至整體企業策略與方向中。它讓網絡資訊保安成為企業的核心,而非事後的想法。
由於網絡風險量化為網絡保安團隊和企業領導人提供了一種「相同語言」來說明網絡風險,因此有助於網絡保安團隊與企業團隊之間的溝通。同樣地,它也提供了一種機制來證明監管機構確實合規。
網絡風險量化與網絡風險曝險管理的交集,能支援並充實企業對整體網絡風險曝露與受攻擊面漏洞的努力,提供更有效的針對性回應,以及更有效的資源利用。
網絡風險量化如何運作?
網絡風險量化包括發掘企業可能面對的所有網絡威脅、評估威脅並判斷威脅的優先次序、判斷哪些最緊急、最嚴重,以及計算資訊保安事件、攻擊或損失對企業可能造成的衝擊。
這一點與受攻擊面管理的前兩階段密切相關,包括發掘與評估,涵蓋了相同的數碼、實體及社會/個人風險,包括惡意程式、密碼強度不足、配置錯誤、竊盜、內部人員惡意行為、網絡釣魚與商務電郵詐騙等。
探索
第一步是找出所有可能傷害企業的潛在威脅。這需要完整檢視受攻擊面,也就是黑客在未經授權情況下存取資料和系統以進行盜竊或發動攻擊的總數。
因此,網絡資訊保安平台必須能夠自動且持續地掃描整個受攻擊面。一個平台將負責所有已知和未知的資產、系統、應用程式和存取點,包括一些傳統上資訊保安團隊看不到的元素,例如影子 IT 應用程式、第三方產品科技及先前庫存所忽略的過時或被遺忘的技術。
評估
透過完整的受攻擊面視野,資訊保安團隊就能評估相關的弱點和漏洞,例如配置錯誤、軟件未修補、程式碼錯誤等。根據這些漏洞,這項評估還能判斷哪些攻擊可能用來漏洞攻擊,無論是現在或未來,以及這些攻擊的目標為何(例如竊取資料、中斷業務、勒索或欺詐等)。
與評估相關的幾個重點:
- 理想地,企業內部的每一個環節,從內部營運到銷售與客戶服務、供應鏈、雲端資源、軟件開發(DevOps)流程等,都會受到風險評估。
- 一旦完成初步評估步驟,資訊保安團隊就能判斷風險與資產的優先次序,判斷哪些是價值最高的(企業本身以及潛在黑客),而這些風險最容易遭到攻擊,而且在網絡風險量化方面會評估被攻擊的可能性。
- 在網絡風險量化中,可能性是以機率來計算,通常以百分比表示。例如,某家金融服務公司執行長的電郵可能遭遇商務電郵詐騙的機率是 85%,而同一企業的飯堂經理則只有 12%。此可能性是採用模型模擬(例如 Monte Carlo)來統計,而且通常在某個特定期間計算,例如一季或一年。
計算
根據評估結果,資訊保安團隊會與企業領導人合作來評估潛在網絡攻擊的財務價值或成本。這包括合規與法規的罰款、停運、復原、勒索或失竊所造成的財務損失、商譽損失與市場地位損失、訴訟等等。具體因素因視不同企業和產業而異。最終的結果就是一個能說明網絡攻擊導致商業風險的數字。
網絡風險量化與網絡資訊保安風險評分有何不同?
網絡風險量化與網絡風險評分的功能類似。兩者都以客觀、實證的角度來解構網絡保安風險,為策略性決策提供資訊。
雖然網絡風險量化會計算網絡事件的潛在價值,例如企業因資料外洩、黑客入侵或數據竊取而導致的損失,但網絡風險評分會為每項風險設定一個數字評分,然後再從整體網絡風險評分中作圖示說明。
具體而言,網絡風險評分包含了兩步驟的分析流程,包括判斷相關風險及管理風險的必要管控措施,然後再根據風險的急切性與潛在嚴重性來給每項風險評分。
- 分析步驟需依賴一套完整的發掘與評估流程來定義企業的整體受攻擊面,並發掘受攻擊面的風險與漏洞。根據這些判斷,企業可決定需要實施哪些管控措施。
- 評分步驟可估計每個已發現漏洞的潛在風險與破壞程度,包括漏洞遭到攻擊的可能性、其衝擊範圍、成功修正的難度等。
- 此外,網絡風險評分也應考量全球威脅情報(無論是專屬或開放原始碼)、公共資訊保安評級,以及黑客對特定漏洞的認知、攻擊容易度、漏洞攻擊頻率以及其他資料點的情報。
計算網絡風險評分的方法有很多種,包括前面提到的 NIST 和 FAIR 模型所提出的架構。
網絡風險評分與網絡風險量化皆支援良好的網絡風險曝險管理,而且兩者皆包含類似的探索與評估步驟,可主動發掘、評估風險並判斷風險的優先次序。
網絡風險量化的替代方案
網絡風險量化是相當近期的概念。許多企業仍遵循合規風險管理模型,如 NIST Cybersecurity Framework (CSF)。採用合規導向的方法,重點是維持符合法規要求。另一方面,網絡風險量化工具則著重將數字納入網絡風險中。兩者的結合,最有可能產生最強大的網絡保安成效,也就是以受攻擊面管理為基礎的整體網絡風險曝險管理策略。
我們如何實施網絡風險量化?
網絡風險量化是整體網絡風險曝險管理的重要一環。建置網絡風險量化需要企業網絡保安團隊與業務領導人之間的良好合作與協調,包括明確期望、定期接觸、開放溝通及明確定義的流程。
企業必須選擇一個網絡風險量化模型(無論是 FAIR 或其他方法),並採用網絡風險量化工具來支援所需的模擬與計算。這些工具應整合至一套完整的網絡保安平台中,提供所有必要的情境來判斷網絡保安風險及其相對優先次序。
更確切地說,這意味著一個能夠應付所有網絡風險曝險管理階段的平台:探索、評估、防範。該平台應具備資訊保安運作技術,例如安全性資訊與事件管理(SIEM)、用戶端偵測與回應 (EDR)及/或擴展式偵測與回應(XDR),以便迅速有效地防範威脅。XDR 也是資料、數據分析與整合的重要來源。
為了降低風險並強化企業的資訊保安狀況,零信任策略也是網絡風險量化的一項重要補充。零信任幾乎將最低授權原則應用到資訊科技環境的各個層面。顧名思義,信任永遠不能被假定,而且權限也受到嚴格管控。因此,即使是經過授權的使用者,也只能直接在需要的時候存取參考資源。
哪裡可以取得網絡風險量化的協助?
Trend Vision One™ 可透過其網絡風險曝險管理方案支援落實網絡風險量化實務,讓企業輕鬆量化及溝通資訊保安風險。
Trend Vision One™ 提供網絡風險曝險管理方案,將一些關鍵功能如外部受攻擊面管理、網絡資產受攻擊面管理(CAASM)、漏洞,以及涵蓋雲端、資料、身份、API、人工智能、合規與 SaaS 應用程式的防護狀況管理,結合到一個強大且容易使用的方案。讓您全面管控、清楚了解及更有自信來主動保護企業。
進一步了解網絡風險曝險管理如何協助您量化網絡保安風險。