场景选择
在上一篇文章中已经阐述了数据泄露成本估算的场景类型,接下来就是通过将理论化的风险事件与实际的业务流程易受运营损失类别(使用BIS发布的指南)进行比较,以便可信地描述业务后果,从而更接近现实的现实世界网络威胁场景。也就是说,我们需要使用实际系统如何工作的知识来创建风险事件发生的场景的详细信息。由于系统由人员、流程和技术组成,因此这些知识包括但不限于对手行为模式、软件漏洞模式、当前技术控制维护困难以及业务用户的操作或行为。
例如,上一篇文章图3中的“信息盗窃”场景可以实例化为一种典型的恶意软件攻击,通过电子邮件网络钓鱼或水坑攻击技术,以最终用户为目标,这些攻击会吸引具有互联网访问权限的金融专业人士点击使用其访问(系统对手行为模式)安装恶意软件的链接,并搜索允许该软件从最终用户升级到管理特权访问的常见漏洞(软件漏洞模式)。为特定组织定制的场景将准确确定预计哪个平台具有此漏洞。它将识别恶意软件对平台所做的更改(基于已知的技术维护问题),并从那里确定桌面软件进程和数据影响的负面影响。例如,软件性能可能会降低,并且数据可能会变得不可访问。然后,业务部门将被要求呼叫技术支持(业务用户行为)。此方案描述为由业务、技术和风险专业人员组成的团队提供了足够的信息,以找出影响的详细信息。
请注意,这只是一个潜在的风险事件,可用于在更深入的场景创建的系统方法中梳理出细节。简单地说,一个场景可以由四个元素定义:
行为人:具有动力,技能和资源的理论对手
战术:旨在实现对手目标的技术工作流程
目标:行为人必须利用的特定技术组件来制定策略
漏洞:暴露于行为人、技术或业务流程中,从而实现战术
在前面的创建中,关键要素是:
行为人: 黑客
策略:网络钓鱼部署的恶意软件
目标:企业台式机
漏洞:操作系统安全
为了系统地分析所有系统的风险,这些元素可用于划分和征服组织在风险分析过程中可能开发的每个风险类别中的示例事件的整体风险分析。当然,结合可以划分和征服此类分析的观察,重要的是要注意每个元素的潜在值可能会随时间而变化,并且应始终反映当前的威胁情报。
例如,一组不同的行为人、策略、目标和漏洞可以提供替代场景选择。另一个潜在的场景可能来自对使用内部最终用户的访问对公司基础架构的中断的描述,导致用户生产力损失、业务通信中断和桌面中断,如下所示:
行为人: 民族国家
目标:网络路由器
漏洞:供暖、通风和空调 (HVAC) 供应商接入网络允许将网络路由命令引入企业基础架构
策略:渗透 HVAC 供应商,使用维护连接引入默认路由,将所有网络流量传播并定向到民族国家拥有的域
基于这组替代元素的场景创建表明,资金充足的专业犯罪组织以HVAC设备为目标,利用HVAC供应商防火墙中的漏洞,并利用有关内部企业网络漏洞的情报(可能来自内部人员)。实际设想的活动可能更值得商榷,但所有利益攸关者都必须认为是合理的,或者,如前所述,缺乏共识可能使利益攸关者难以认真对待影响估计。请注意,对于对强控制措施有相当自豪感的组织来说,为了通过方案促进成本分析,尤其难以暂停对这些控制措施的信念。只要在每个可能的风险类别中至少有一个完整分析的场景,就可以消除发生概率较低的单个场景。
另请注意,尽管由于控制力强,场景可能被视为低概率,但情况恰恰相反。在前面的示例中,组织内动态路由体系结构的普遍存在将增加资金充足的对手通过该方案带来的单一供应商漏洞利用内部网络中已知漏洞的可能性。通过这种方式,从情景分析中计算的成本可以提出额外的网络路由控制以避免损失的情况。
下图提供了基于在前面的列表中介绍的四个元素的场景开发的替代注意事项。与其考虑最终用户对企业基础设施的威胁,不如考虑内部用户对核心银行系统的威胁。当机构决定计算潜在数据泄露事件的成本时,建议在场景选择之前准备此类潜在替代场景。大量的例子有助于说服怀疑者,至少有一种情况是可能的,讨论哪些更有可能,可以从团队了解的关于目标环境的一些有形的基本事实开始。另请注意,四种替代技术方案中只有一种针对核心银行系统本身。对金融资产而不是技术资产的关注往往会导致对对手技术攻击的潜在途径进行更具创造性的猜测。
替代网络安全场景元素
成本估算
关于网络安全漏洞成本的大部分文献都集中在“信息盗窃”场景上。金融公司通常为数据泄露的客户支付信用报告冻结和身份盗窃保险。他们还会产生通知客户数据泄露事件发生的法律费用,并且这些补救措施是可用的。对于金融机构来说,重要的是要确切地了解这些机制在每个客户的基础上的成本。这些每个客户的成本由多个组织定期调查;最广为人知的是波耐蒙研究所。该机构的研究依赖于对数据泄露公司管理层的访谈,并试图不仅量化通知和法律成本,还量化更难以估计的变量,如客户流失以及特定响应活动在降低数据泄露成本方面的功效。然后,他们将数据泄露的总成本除以丢失的记录数量,并跨行业,国家和年份比较这些数字。在2017年的Ponemon研究中,每个客户记录的综合平均值为141美元,美国最高(225美元),印度最低(64美元)。该研究没有声称是有效的统计研究,因此任何个别公司的经验都可能有所不同。但是,这些数据确实提供了一定程度的指导。
在没有实际的、具体的事件需要分析的情况下,管理层必须根据相关经验和理性分析来估计数据泄露的成本。大多数网络安全场景都是按滑动标尺量化的,将事件的预期持续时间估计为在最佳和最坏情况下识别和恢复通常需要的时间。当前技术过程可用于根据对技术支持的第一次呼叫以及技术支持升级到的技术操作员、管理员和工程师的预期活动来确定应遵循的事件顺序。独立风险或治理专家的角色通常是遍历事件的过程和历史数据,以确定在高效和有效事件响应和解决的最佳或最坏情况下的预期情景持续时间。在此类研究中检查的信息通常包括但不限于以下内容:
受数据泄露影响的整套设备的系统清单
管理任务历史记录或业务恢复测试结果,显示管理员通常在从网络安全攻击中恢复所需的系统还原任务上花费的时间
在升级路径中重新分配技术资源所需的时间,这些资源通常被分配到其他工作,包括顾问和员工,如开发人员、工程师和架构师
以时间和材料为基础工作的供应商所需的时间
安装维护系统可用性所需的新设备或软件所需的时间
如果程序不包括对所审查事件类型的反应,则必须分配时间,以在初始反应步骤以及最终调查期间捕捉不确定性或混乱的影响。如果没有历史上的内部先例,那么可以使用年度Verizon数据泄露和调查报告等出版物尽可能地研究行业数据。
即使在所有响应程序似乎都已到位的情况下,人员或供应商可用性等变量也可能存在不确定性,或者供应商创建漏洞路径所需的时间。因此,影响量化可以计算半天,全天或3天。理想情况下,过程演练应生成一个活动列表,这些活动可能在整个时间段内发生,如下所示:
支持/帮助中心可能很快就会不堪重负,因为它在数据泄露事件期间投入了关键资源来处理其他任何事情。
网络安全团队将全部时间花在取证分析上。
技术运营团队主持事件响应电话会议,他们上报的工程师和高管花时间规划工作协调(每隔几个小时联系一次基地)。
应用程序支持团队对桌面应用程序执行紧急测试。
桌面管理员执行紧急修补程序安装。
顾问或供应商补充劳动力的成本
恢复系统可用性所需的新设备或软件的成本
这表示技术费用的最小描述,仅用于说明目的。所有这些活动都是数据泄露事件的后果,都可以量化为事件成本的一部分。也就是说,如果决定将此劳动力的成本计为数据泄露成本估算中的度量单位,则将其量化为数据泄露成本的一部分。假设如此,一个组织的成本估算如下图所示:
初始数据泄露成本估算:技术活动
上图首先计算成本,假设最小的组织具有 24-7 全天候服务级别的要求。由于假期和其他时间的原因,科技公司采用三班倒的方式全面覆盖一份工作,通常需要确保有六到八名员工能够履行各自的职能。其中,该数据假定有两个人将在事件发生期间完全致力于网络安全漏洞。我们假设员工岗位的每小时成本为50美元,高技能技术人员为75美元,工程师为125美元,管理人员为200美元。这个假设的分析也假设了小型企业活动中典型的管理和顾问的参与。组织规模也会影响相关费率和其他假设。
在事件发生期间,业务本身也可能受到影响。在公司维护工作中将技术设备与业务应用程序连接起来的配置管理数据库的地方,可以使用这样的清单列出业务应用程序的用户,这反过来可能有助于识别潜在的业务流程影响。在非常大的公司中,有时会调查用户以确定影响。然而,也有可能是业务维护业务应用程序吞吐量的度量和指标,并且这与被入侵的估计长度结合起来,可以用于在业务方面估计网络安全被入侵的成本。注意,许多企业在整个业务流程中每天都有更改,因此对一天中的时间进行假设通常也很重要。
在我们的例子中,我们将假设股票销售经纪人没有桌面办公软件,因此不能执行他们的工作功能。其结果是生产力的损失,以及潜在的业务损失。以业务损失为例,让我们假设中断将导致无法处理客户权益买卖指令,这可以用交易来量化,交易作为影响的单位可以用来估计由于数据泄露造成的佣金收入损失。
其中一项或两项生产率损失都可以作为数据泄露成本估算的衡量单位,即花费在闲置劳动力上的美元和佣金损失的收入损失。就像在技术方面一样,特定场景的业务影响将以一定的比例进行量化。使用事件的预期持续时间和客户使用平台的历史数据,可以计算受影响的客户交易数量。未完成交易的业务影响以收入损失和因未执行已接受的订单而产生的潜在责任来量化。如果衡量单位包括机会成本,这两个数字都包括在数据泄露成本中。如果度量单位只是货币,那么只计算货币。
上图以24小时内的业务量为例进行说明。在清晨,每小时的交易量只有大约200个交易。平均峰值在上午8点到中午之间,然后再次下降,在一天结束时达到每小时的最低量。虽然持续时间的滑动比例选择为6小时、24小时和60小时,但从上午8点到晚上8点的12小时时段的费用在图中显示,60小时的活动是两个24小时时段加一个12小时时段的倍数。我们的分析假设每笔交易佣金为10美元,机会成本是每个交易量分配窗口中可能损失的交易的直接倍数。
在下图中,交易数量也被认为是计算因未执行已接受的订单而产生的潜在负债的基础。假定在晚上8点至上午8点之间收到的订单不会立即处理,而是按合同约定在第二天开市时处理。在下图的事务度量中,结果是大约300个隔夜事务是潜在的负债,因为它们不会在早上处理,而只有在从事件中恢复之后才会处理。在这300笔交易中,市场可能对公司有利,而交易被延迟处理的客户将从经济上受益,但在其他情况下,可能已经发生了损失。
数据泄露成本估算:业务交易成本
上图假设所有的隔夜交易都将各自免除费用,这代表了一个机会成本。根据客户的影响,企业也可以决定让客户成为整体。尽管有费用减免和善意的姿态,但这仍是可能的;客户可以起诉违反协议。在商誉的情况下,损失可能被冲销为“客户商誉”,这是一个财务费用类别,不太可能出现在数据泄露损失计算单位的衡量。在诉讼案件中,任何产生的成本都将作为法律解决方案出现,而这当然应该包括在数据泄露成本中。
上图假设对于25%的隔夜交易,公司平均每笔交易花费100美元的商誉费,对于在6小时事件中延迟的5%的交易,公司平均每笔交易花费1000美元的责任费。由于交易延迟的时间越长,客户要求报销的可能性就越大,因此每个持续时间类别的金额都会有所不同。假设24小时和60小时商誉和负债成本分别为100美元和1000美元估计数的两倍和三倍。
随着场景分析团队列举产生成本的活动和事件,很明显,除了业务损失之外,还产生了机会成本,工作未完成的机会成本。例如:
1、管理任务历史记录将显示管理员通常在网络安全响应活动期间未执行的日常任务上花费多长时间。
2、应用程序支持方面的项目工作将被延迟,从而减少了由于应用程序支持团队不可用而导致的上市时间。
3、用户交付的桌面输出将被延迟,例如管理、客户和监管演示材料。
这些通常不作为数据泄露度量单位,但如果它们被包括在内,它们将进一步增加数据泄露成本的金额。数据泄露的总成本将在前文的两个图中所计算的金额中加上这些金额。如果假设错过了一个重要的市场机会,或者可能因工作延误而引发监管罚款,那么对收入损失的量化估值当然也与管理层有关。在我们的示例中,我们假设这种产品交付挫折和罚款分别为6小时、24小时和60小时的事件花费5万美元、10万美元和20万美元。这一最终假设将导致如下图所示的网络安全漏洞估计的全部成本。前文已说过大型组织用10的倍数表示。
数据泄露总成本估算
向前迈进
在本章中,我们提出了一些原则和方法,以有效和务实地捕获网络入侵成本的相关组件。这里总结的结论可用于事后分析,或作为预测潜在数据泄露事件的输入。
参考资源
1、Borg, Scott, “The Economics of Loss”, in Enterprise Information Security & Privacy, Axelrod, Bayuk & Schutzer, Eds., (Norwood, MA: Artech House, 2009)。
2、巴塞尔银行监督委员会(2003年),《经营风险管理和监督的健全做法》(BCBS96 www.bis.org)。
3、巴塞尔银行监管委员会(2013)有效风险数据汇总和风险报告原则(BCBS239 www.bis.org)。
4、伊萨卡 (2012).COBIT5,使能流程。信息系统审计与控制协会(www.isaca.org)。
5、波耐蒙研究所(2017)。数据泄露研究的成本,全球概述。 https://www.ibm.com/account/reg/us-en/signup?formid=urx-33316
6、Verizon Enterprise.(2017). “2017 年数据泄露调查报告,第 10 版。