資安風險評分是一種量化網路資安風險的方式,能讓企業做出客觀、實證的決策來防範並縮小攻擊面。
資安風險評分對任何資安風險管理框架來說,都是重要的一環。它能讓企業人員分享並客觀地了解 IT 資產與數位技術的相關風險,進而務實地決定哪些問題最需要優先解決。
長期追蹤資安風險評分,可讓企業衡量和監控其網路資安的整體準備度以及資安的強度。
資安風險評分適用於整個攻擊面,包括內部和外部的 IT 資產、資料、系統及資源。
如同資安風險量化 (CRQ) 一樣,資安風險評分與攻擊面管理的前兩階段密切相關:發掘和評估。
具體來說,它是一個包含兩步驟的風險分析流程:首先判斷相關的風險有哪些以及這些風險需要什麼控管措施來加以管理;接著再根據風險的急迫性與潛在嚴重性來給每一項風險打分數。
何謂資安風險?
美國國家標準與技術局 (U.S. National Institute of Standards and Technology,簡稱 NIST) 將資安風險定義為以下兩者 (或其中之一):
- 「隨網路資源而定的風險 (也就是隨著「存在於」或「斷斷續續出現在」網路空間內的系統或系統元素而定的風險)。」
- 「經由電子方式導入製造系統的資訊和/或營運功能數位技術發生故障,讓製造系統遭到未經授權的存取、使用、揭露、中斷、修改或損毀,進而導致財務損失、營運中斷或損害的風險。」
對於需要導入和建置一套主動式資安曝險管理框架的企業來說,兩種定義都適用。
為何資安風險評分很重要?
作為資安曝險管理的一環,資安風險評分可以客觀地衡量哪些風險是企業的最大威脅,有助於作為網路資安行動和投資的參考依據。
如同 CRQ 一樣,資安風險評分也提供了一種資安人員和企業領導人都能理解的方式來討論風險。藉由這樣的方式,就能為企業的環境、社會與治理 (ESG) 和/或企業社會責任 (CSR) 的成效監控與報告提供重要的支援。
資安風險評分越來越常被用於作為企業是否具備資安險投保資格的判斷因素。此外,也可能用於企業併購評估、供應鏈資安管理,以及其他企業營運領域。
資安風險評分與 CRQ 的差異
資安風險評分與 CRQ 的功能類似,簡單來說,一個是「質化」方法,另一個是「量化」方法。兩者都以客觀、實證的方式來描述網路資安風險,作為策略決策的參考。
資安風險評分會為每項風險指定一個數字分數,然後再推導出企業整體的資安風險評分,CRQ 則是計算出資安事件的可能損失金額 (也就是資安事件、駭客入侵或資料失竊可能對企業造成的成本)。這些成本可能包括財務損失 (營收、停機、罰鍰、訴訟)、競爭損失 (如市占率)、商譽損失、客戶流失以及其他損失。
CRQ 會將攻擊的可能性計算成一個機率,通常以百分比表示。例如,某家金融服務公司執行長的電子郵件可能是變臉詐騙 (BEC) 的機率為 85%,同一家公司的自助餐廳經理則為 12%。這個可能性是透過統計模型模擬 (如 Monte Carlo 模擬) 所計算出來,而且通常針對某個特定期間計算而來,例如某一季或某一年。
資安風險評分與 CRQ 皆能良好支援資安風險管理,而且兩者皆包含了類似的發掘與評估步驟,可發掘、評估風險,並判斷風險的優先次序。
資安風險評分如何運作?
如前面提到,資安風險評分主要分為兩個部分:
- 風險分析
- 風險評分
「分析」的步驟需仰賴一套完整的發掘與評估流程來找出企業的完整攻擊面,同時發掘攻擊面上風險與漏洞。然後再依據這些判斷來決定需要建置哪些控管措施。
「評分」的步驟則需要估計每個已發現漏洞的潛在風險與損害程度,包括漏洞遭到攻擊的可能性、衝擊的範圍、攻擊得逞之後的矯正難度等等。
此外,資安風險評分也應考量以下因素:全球威脅情報 (不論是專屬或開放來源)、公共安全評等,以及駭客對特定漏洞的認知程度、攻擊難易度、攻擊頻率,以及其他相關資料等等。
接著,再將個別的資安風險評分彙整來得出成整個企業的資安風險評分。
資安風險評分如何有助於攻擊面管理?
攻擊面管理 (ASM) 是一種藉由改善威脅可視性來協助企業保護其資料與系統的網路資安方法。其重點在於了解哪裡存在著風險、風險的相對嚴重性,以及該採取什麼行動來消除人員、流程及技術相關的資安漏洞。
因此,資安風險評分與 ASM 的前兩階段密切相關:發掘和評估。
ASM 的發掘流程可讓您掌握企業面臨的所有潛在資安風險。這樣的情境資訊對於準確而完整的資安風險評分來說是必要的,因為它提供了企業攻擊面的完整樣貌。
資安風險評分有助於 ASM 的評估階段,提供實證、客觀的方式來點出哪些是最關鍵的風險和漏洞,以及哪些可以稍後再解決。
資安風險評分是一個持續不斷的過程。隨著評分的定期更新,網路資安團隊和企業領導人將看到整體風險情勢的變化:哪些風險變得更加嚴重、迫切需要解決,而哪些已經成功緩解。
資安風險評分的計算方法
目前有許多資安風險評分的框架或方法,最簡單的方法就是估計攻擊發生的可能性,為這個可能性指定一個數值,然後乘上攻擊的潛在嚴重性,就得出一個的風險評分數值。
美國國家標準與技術局 (National Institute of Standards and Technology,簡稱 NIST) 的框架
NIST 提供了一套資安風險評分解決方案,為系統的所有元件指定一個資安類別,然後針對每一元件建立一個資安控管的基準:低、中、高。每一項控管措施都會根據它對企業整體資安與隱私狀況的相對重要性指定一個 1 至 10 的初始加權數值。
在 NIST 框架中,風險分析用來協助判斷必要的控管範圍。像機密性、完整性與可用性 (簡稱為「CIA」) 等因素皆以 1 至 10 的評分來表示,並根據資料/資訊的關鍵性套用到各項控管措施。
有關過去資安事件的歷史資訊、影響企業所在產業/領域的已知事件,以及其他情境內容也都會被納入考量,藉此提供一個可準確反映未來事件潛在風險的預測評分。
其他方法
其他計算資安風險評分的方法還有:
- 資訊風險因素分析 (FAIR) — 通常用於財務風險評分,如同 CRQ。FAIR 的其中一個作法就是將風險細分成更小的子元素來提供精密的準確度。
- 營運關鍵威脅、資產及漏洞評估 (OCTAVE) — 此方法 (正如其名) 主要著眼於企業的營運,根據資產相關的威脅和基礎架構漏洞來計算風險。
- ISO/IEC 27005 — 提供有關資訊安全風險管理的指引,包括:定義風險管理情境、發掘及評估風險 (包括攻擊的可能性) 以及防範措施 (「風險處理計畫」)。
還有另一個被納入風險評分當中的考量因素是 Common Vulnerability Scoring System (CVSS) 通用漏洞評分系統。CVSS 並不會執行完整的風險評分,而是提供一種實用的方式來判斷軟體漏洞的潛在嚴重性,其評分可被納入整個風險評分計算方式的一環。
誰可以協助我們執行資安風險評分?
趨勢科技與 Ponemon Institute 共同開發了資安風險指標 (Cyber Risk Index,簡稱 CRI) 來協助企業判斷自己的風險等級,以及哪些地方可能有網路資安漏洞。CRI 會根據各項風險類別和因素的全面評估來計算出企業的風險評分。該指標收錄了各種風險事件,涵蓋各種可能受到影響的資產,包括:使用者、裝置、應用程式、對外連線的網域和 IP 位址,以及雲端資產。
CRI 的評估採用各種環環相扣的資料來源,來評估風險因素如何影響企業的環境,而納入的資料來源越多,CRI 的結果就越完整而全面。
CRI 每四小時自動更新一次,風險事件的狀態變化最多一小時後就會反映出來。企業可點選 Recalculate (重新計算) 按鈕來手動重新計算 CRI。請至這裡使用 CRI 計算工具來評量您企業的風險評分。
Trend Vision One™ 提供了一套資安曝險管理(CREM) 解決方案,來確保企業能主動發掘、評估及防範風險,進而降低其資安風險。CREM 將各種關鍵的功能,如:外部攻擊面管理 (EASM)、網路資產攻擊面管理 (CAASM)、漏洞管理,以及資安狀況管理,全部整合成一套強大又容易使用的解決方案,涵蓋雲端、資料、身分、API、AI、法規遵循以及 SaaS 應用程式。它不單只是管理威脅,還要建立真正的風險韌性。
進一步了解 Cyber Risk Exposure Management 如何協助您建立真正的風險韌性。