資安風險量化 (CRQ) 是使用客觀、實證的商業用語來描述網路資安風險以作為策略決策參考的一種方法。
企業董事會和領導階層越來越需要對網路資安事件、資料外洩、違反法規情事以及企業所受的其他衝擊負起責任。使得網路資安成為一項策略性商業議題,這是前所未有的情況。資安風險量化 (CRQ) 是使用對企業決策者有意義的框架來描述網路資安風險的一種方法。
CRQ 是資安曝險管理的主要支柱之一,可協助企業判斷資安風險可能造成的潛在業務衝擊,例如財務損失 (營收、業務停擺) 和/或競爭損失 (如市占率)。這有助於企業將網路資安投資直接投入最需要的地方,並決定這些投資的價值或潛在報酬,為網路資安支出提供合理性。
一種常見的 CRQ 計算方式就是 FAIR 模型,這套由 FAIR Institute 開發的模型,全名是「資訊風險的因素分析」(Factor Analysis of Information Risk)。FAIR 是一項開放的 CRQ 國際標準。
何謂資安風險?
美國國家標準與技術局 (U.S. National Institute of Standards and Technology,簡稱 NIST) 將資安風險定義為以下兩者 (或其中之一):
- 「隨網路資源而定的風險 (也就是隨著「存在於」或「斷斷續續出現在」網路空間內的系統或系統元素而定的風險)。」
- 「經由電子方式導入製造系統的資訊和/或營運功能數位技術發生故障,讓製造系統遭到未經授權的存取、使用、揭露、中斷、修改或損毀,進而導致財務損失、營運中斷或損害的風險。」
對於需要導入和建置一套主動式資安曝險管理框架的企業來說,兩種定義都適用。
為何 CRQ 很重要?
採用 CRQ 模型可讓企業將網路資安決策整合至企業的整體策略與方向設定當中。它讓網路資安成為業務的核心,而非事後的考量。
由於 CRQ 提供了一種讓網路資安團隊和業務領導人「使用相同語言」來描述資安風險的方法,因此有助於資安團隊與企業團隊之間的良好溝通。同樣地,它也提供了一種機制來向監管機構證明自己確實符合法規。
CRQ 與資安曝險管理的交集,能支援並強化企業掌握其整體資安曝險與攻擊面漏洞的工作,提供更有效、更具針對性的回應,並且改善資源的運用。
CRQ 如何運作?
CRQ 包含了發掘企業所有的潛在資安威脅、評估威脅並判斷威脅的優先次序來決定哪些最迫切、最嚴重,同時計算每一起資安事件、攻擊或資料損失可能對企業造成多大的衝擊。
這一點與攻擊面管理的前兩個階段密切吻合,也就是:發掘與評估,並且涵蓋了相同的數位、實體及社交 (人員) 風險,包括:惡意程式、強度太弱的密碼、組態設定錯誤、竊盜、惡意內部人員的行為、掉入網路釣魚與變臉詐騙 (BEC) 的陷阱等等。
發掘
首先第一步就是要找出所有可能傷害企業的潛在威脅。這需要完整掌握攻擊面,也就是所有可能讓駭客在未經授權的情況下存取資料和系統以竊取資料或發動攻擊的方式。
對這個階段來說,網路資安平台必須能夠自動、持續掃描整個攻擊面。這一個平台要涵蓋所有已知和未知的資產、系統、應用程式和存取點,包括一些傳統上資安團隊看不到的元素,例如:影子 IT 應用程式、第三方技術,以及先前盤點時忽略的過時或被遺忘的技術。
評估
完整掌握了攻擊面,資安團隊就能評估相關的弱點和漏洞,例如:組態設定錯誤、未修補的軟體、程式設計錯誤等等。根據這些漏洞,評估階段接下來還能判斷駭客可能對這些漏洞發動何種攻擊 (不論是現在或未來),以及攻擊的目標為何 (例如竊取資料、造成業務中斷、勒索贖金等等)。
以下是幾個評估的重點:
- 在理想情況下,企業應該對內部的每一個環節都進行風險評估,從內部營運到銷售,還有客戶服務、供應鏈、雲端資源、軟體開發 (DevOps) 流程等等。
- 一旦完成初步的評估,資安團隊就能判斷風險與資產的優先次序,判斷哪些擁有最高的價值 (對企業本身以及對潛在的駭客)、哪些最容易遭到攻擊,以及攻擊的可能性有多少 (這對 CRQ 來說很重要)。
- 在 CRQ 中,攻擊的可能性是以機率來計算,通常以百分比表示。例如,某家金融服務機構執行長的電子郵件有 85% 的機率是變臉詐騙 (BEC),而同一家企業的自助餐廳經理則大概只有 12%。這個可能性是透過統計模型模擬 (如 Monte Carlo 模擬) 所計算出來,而且通常針對某個特定期間計算而來,例如某一季或某一年。
計算
根據評估結果,資安團隊會與業務領導人合作來估算潛在網路攻擊的財務價值或成本,包括違反法律與法規的罰鍰;停機、復原、勒索或失竊所造成的財務損失;商譽損失與市場地位損失;訴訟等等。具體的因素將隨企業與產業而異。最終的結果是一個能代表網路攻擊業務風險的金額。
CRQ 與資安風險評分有何不同?
資安風險量化與資安風險評分的功能類似,兩者都以客觀、實證的方式來描述網路資安風險,作為策略決策的參考。
CRQ 會計算出資安事件的可能損失金額 (也就是資安事件、駭客入侵或資料失竊可能對企業造成的成本),而資安風險評分則會為每項風險指定一個數字分數,然後再推導出企業整體的資安風險評分。
具體來說,資安風險評分是一個包含兩步驟的風險分析流程:首先判斷相關的風險有哪些以及這些風險需要什麼控管措施來加以管理;接著再根據風險的急迫性與潛在嚴重性來給每一項風險打分數。
- 「分析」的步驟需仰賴一套完整的發掘與評估流程來找出企業的完整攻擊面,同時發掘攻擊面上風險與漏洞。然後再依據這些判斷來決定需要建置哪些控管措施。
- 「評分」的步驟則需要估計每個已發現漏洞的潛在風險與損害程度,包括漏洞遭到攻擊的可能性、衝擊的範圍、攻擊得逞之後的矯正難度等等。
- 此外,資安風險評分也應考量以下因素:全球威脅情報 (不論是專屬或開放來源)、公共安全評等,以及駭客對特定漏洞的認知、攻擊難易度、攻擊頻率,以及其他相關資料等等。
資安風險評分的計算方式有很多種,包括 NIST 提出的框架以及和前面提到的 FAIR 模型。
資安風險評分與 CRQ 皆能良好支援資安曝險管理,而且兩者皆包含了類似的發掘與評估步驟,可主動發掘、評估風險,並判斷風險的優先次序。
CRQ 的替代方案
CRQ 才出現不久,許多企業仍在採用法規遵循導向的風險管理模型,如:NIST 的 Cybersecurity Framework (CSF)。法規遵循導向的方法,重點在於維持合規狀態,反觀 CRQ 工具則著重於將資安風險化為數字。若能結合兩者,將最有機會憑藉著時時保持警戒的攻擊面管理,在整體資安曝險管理的情境下創造最佳的網路資安成果。
如何建置 CRQ?
資安風險量化是整個資安曝險管理的重要一環。建置 CRQ 需要企業網路資安團隊與企業業務領導人之間的良好合作與協調,包括:明確的期望、定期的接觸、開放的溝通,以及定義明確的流程。
企業需要挑選一種 CRQ 模型 (不論是 FAIR 或其他方法),並採用 CRQ 工具來支援所需的模擬與計算。這些工具應整合至一套完整的網路資安平台當中,提供所有必要的情境來對資安風險以及風險的相對優先次序做出明智判斷。
更確切地說,這意味著需要一個能夠應付資安曝險管理所有階段的平台:發掘、評估、防範。該平台應包含各種資安營運技術,例如:資安事件管理 (SIEM)、端點偵測及回應 (EDR) 和/或延伸式偵測及回應 (XDR),以便迅速有效防範威脅。此外,XDR 也是資料、數據分析及整合的重要來源。
為了降低長期風險並強化企業的資安狀況,零信任策略也是 CRQ 一項重要的互補措施。零信任可將最低授權原則幾乎套用到 IT 環境的每一個層面。這套方法,顧名思義就是絕對不預先假設信任,而且權限也受到嚴格控管,所以,即使是經過授權的使用者,也只能在實際需要的時候才能存取資源。
哪裡可以取得有關 CRQ 的協助?
Trend Vision One™ 可藉由其 Cyber Risk Exposure Management 資安曝險管理解決方案來協助您建置 CRQ 實務,讓企業透過商業用語來輕鬆量化及溝通企業的資安風險。
這要歸功於 Trend Vision One 的革命性方法,將各種關鍵的功能,如:外部攻擊面管理 (EASM)、網路資產攻擊面管理 (CAASM)、漏洞管理,以及資安狀況管理,全部整合成一套強大又容易使用的解決方案,涵蓋雲端、資料、身分、API、AI、法規遵循以及 SaaS 應用程式。它能讓您主動保護您的企業,您將全面掌控、一目了然、充滿自信。
進一步了解 Cyber Risk Exposure Management 如何協助您量化資安風險。