網絡風險評分是一種量化網絡風險的方法,協助企業做出客觀、真實的決策來捍衛並縮小受攻擊面。
何謂網絡風險?
美國國家標準與技術局將網絡資訊保安風險定義為兩者(或兩者之一):
- 「視網絡資源而定的風險(即是視網絡空間內存在或間歇存在的系統或系統元素而定的風險)。」
- 「因數碼技術故障而令製造系統的資訊及/或營運功能遭未經授權存取、使用、洩露、中斷、修改或損毀,進而帶來財務損失、營運中斷或損害的風險。」
這兩項定義都令企業必須採用並建置一套主動的網絡風險曝險管理架構。
為何網絡風險評分很重要?
作為網絡風險曝險管理的一環,網絡風險評分提供了可衡量、客觀的明確資訊,說明哪些風險對企業來說是最大的威脅。如此有助於提升網絡資訊保安的行動與投資。
如同網絡風險量化一樣,網絡風險評分也提供了一種資訊保安專業人員和企業領導人都能理解的語言。如此一來,企業就能獲得一項重要的支援以進行環境、社會與管治及/或企業社會責任的績效監控與報告。
越來越多網絡風險評分被用來判斷企業是否具備投保網絡資訊保險的資格。此外,也可能用於評估潛在的併購、供應鏈安安管理及其他業務營運領域。
網絡風險評分與網絡風險量化比較?
網絡風險評分與網絡風險量化的功能類似,簡單來說,一個是定性的,另一個是量化的。兩者都以客觀、實證的角度來詮釋網絡風險,為策略決策提供資訊。
雖然網絡風險評分會針對每項風險給出一個數字評分,然後再從中列出整體的網絡風險評分,但網絡風險量化會計算出資訊保安事件的潛在成本,例如資料外洩、黑客入侵或資料竊取,都可能讓企業蒙受損失。其成本可能包括財務損失(營收、停運、罰款、訴訟)、競爭損失(如市佔率)、商譽損失、客戶流失及其他損失。
網絡風險量化會將攻擊的可能性計算成一個概率,通常以百分比表示。例如,某家金融服務公司執行長電郵可能是商務電郵詐騙目標的機率為 85% ,而同一企業的自助餐廳經理則只是 12%。此可能性是利用模型模擬(例如 Monte Carlo 模擬)來統計,而且通常在某個特定期間計算,例如一個季度或一個年度。
網絡風險評分與網絡風險量化皆支援良好的網絡風險管理,而且兩者都包含了類似的發掘與評估步驟,可用來發掘、評估風險並判斷風險的優先次序。
網絡風險評分如何運作?
如前所述,資訊保安風險評分有兩個主要部分:
- 風險分析
- 風險評分
分析步驟需依賴一套完整的發掘與評估流程來定義企業的整體受攻擊面,並發掘其風險與漏洞。根據這些判斷,企業可決定需要實施哪些管控措施。
評分步驟可估計每個已發現漏洞的潛在風險與損害程度,包括漏洞遭到攻擊的可能性、其衝擊範圍、成功修正攻擊的難度等。
此外,網絡風險評分也應考量全球威脅情報(無論是專屬或開放原始碼)、資訊保安評級,及黑客對特定漏洞的認知、攻擊容易度、漏洞攻擊頻率及其他情報。
而個別的網絡風險評分將構成整體企業網絡風險評分。
網絡風險評分如何有助受攻擊面管理?
受攻擊面管理是一種網絡資訊保安方法,目的是協助企業保護資料和系統,讓威脅更加容易發現。系統重點在於了解風險的存在、其相對嚴重性,及採取行動來消除人員、流程和技術相關的資訊保安漏洞。
因此,網絡風險評分與受攻擊面管理的前兩個階段密切相關,包括發掘與評估。
受攻擊面管理探索流程可讓您掌握企業可能面臨的所有網絡風險。這樣的情境對於準確、完整的網絡風險評分來說是必要的,因為它提供了企業受攻擊面的完整態勢。
網絡風險評分有助受攻擊面管理評估,可提供實證而客觀的方式來指出哪些風險與漏洞最關鍵,哪些可以稍後解決。
網絡風險評分是一個持續不斷的過程。隨著評分的定期更新,網絡資訊保安團隊和企業領導人就能看到整體風險情勢的演變,包括哪些風險越來越重要、更急迫,以及哪些已經成功緩解。
計算網絡風險評分的方法
網絡風險評分有許多框架或方法,最簡單的方法就是估計攻擊的可能性、先設定一個數值,然後將攻擊的潛在嚴重性乘以一個數值的風險評分。
美國國家標準與技術研究所(NIST) 框架
NIST 提供了一套網絡風險評分方案,可將資訊保安類別指定給系統的所有組成部份,並針對每一部份建立一套資訊保安管控基準,涵蓋低、中、高。根據其對企業整體資訊保安與私隱狀況的相對重要性,每一控管都會分配 1 至 10 的初步比重。
在 NIST 框架中,風險分析有助於判斷必要的管控範圍。機密性、一致性及可用性(簡稱「CIA」)等因素皆以 1 至 10 的評分來表示,並根據資料/資訊的重要性套用到各種管控措施。
此外,過去的資料外洩事件歷史資訊、影響產業的已知事件及其他情境內容,也被用作預測評分來準確指出未來事件的潛在風險。
其他方法
其他網絡風險評分計算方法包括:
- 資訊風險因子分析 (FAIR):通常用於財務風險評分,如同網絡風險量化。FAIR 的方式之一就是將風險細分成子元件來提供精密的準確度。
- 營運關鍵威脅、資產及漏洞評估 (OCTAVE):一如其名,針對業務營運,根據資產特定威脅和基礎架構漏洞來計算風險。
- ISO/IEC 27005 — 提供有關資訊保安管理的指引,包括定義管理情境、發掘及評估風險(包括攻擊的可能性)及防範措施(風險修正計劃」)。
另一項風險評分因素是常見漏洞評分系統(CVSS)。常見漏洞評分系統並非完全負責風險評分,但卻提供了一種實用的方法來判斷軟件中發現漏洞的潛在嚴重性。然後,這些排名就能當成整體風險評分計算的一環。
誰能協助我們進行網絡風險評分?
趨勢科技與 Ponemon Institute 共同開發了網絡風險指標(Cyber Risk Index,簡稱 CRI)來協助企業判斷風險等級,以及哪些地方可能存在網絡資訊保安漏洞。CRI 根據針對風險類別和因素的全面評估,為企業提供風險評分。該指標收錄了各種資產的風險事件,包括用戶、裝置、應用程式、面向網絡的網域、IP 位址及雲端資產。
CRI 評估依賴連網資料來源以評估風險因素如何影響企業環境。資料越多,CRI 的結果越完整。
CRI 每四小時自動更新一次,最多一小時之內就會反映風險事件的狀態變更。企業可點擊重新計算按鈕來手動重新計算 CRI。使用此處的 CRI 計算器來判斷企業的風險評分。
Trend Vision One™ 提供一套網絡風險曝險管理(CREM)方案,確保企業能夠主動發掘、評估及防範風險,進而降低網路資安風險。網絡風險曝險管理採取革命性方法,將雲端、資料、身份、API、人工智能、合規及 SaaS 應用程式的主要功能,如外部受攻擊面管理、網絡資產受攻擊面管理(CAASM)、漏洞管理及防護態勢管理,整合到一個強大且容易使用的方案。不僅要管理威脅,還要建立真正的風險韌性。
進一步了解網絡風險曝險管理如何協助您建立真正的風險韌性。