Hogyan számolhatok ki egyetlen veszteség-várható várakozást adott kitettségi tényező nélkül?
Tud valaki magyarázatot adni nekem?
Megjegyzések
- Az SLE definíciójának sorai között olvasva úgy gondolom, hogy az expozíciós tényezőnek kissé szubjektív mércének kell lennie, amelyet magának kell megbecsülnie.
Válasz
Nem lehet kiszámolni az egyszeri veszteség várakozást (SLE) tényleges, előzetes, becsült vagy becslés szerint becsült expozíciós tényező (EF) nélkül ). Úgy gondolom, hogy a legtöbb kvantitatív elemzésre kiterjedő INFOSEC kockázatkezelési képzési anyagból hiányzik, hogy nem adnak sok útmutatást arra, hogyan lehet az általános kockázat definíciót [kockázat = f (eszköz, fenyegetés, sebezhetőség)] EF-be fordítani. az SLE és az ALE képletek. Most online néztem, és nem láttam senkit, aki jól lefedte volna.
A kockázat fennállásához a kihasználható sebezhetőségnek és a biztonsági rés elleni fenyegetéseknek kell lennie. Ezeknek a fenyegetéseknek előfordulási valószínűsége is van (ami megfigyelt támadásokon alapulhat). A fenyegetés valószínűsége a kvantitatív elemzés során az évesített előfordulási arányt jelenti. Tehát az Ön EF-je többnyire az eszköz sebezhetőségén és annak következményein alapul, amikor a fenyegetés bekövetkezik.
Sok kockázatonkénti (fenyegetésenként / sebezhetőség páronként értendő) EF 0 vagy 1 EF eredményt ad. ami csökkenti a kockázatelemzési munkaterhelés egy részét. Az EF-becslés során néha segít megfontolni azokat a mérséklőket is, amelyeket a sérülékenység csökkentése vagy megszüntetése érdekében a helyére helyeztek.
Néhány egyszerűsített példa a triviális 0 és 1 EF-ekre:
-
Eszköz: online hozzáféréssel rendelkező bankszámla egyenlege
-
Fenyegetés: A Hacker halászati e-maileket használ, hogy a bankszámla bejelentkezési adatait a számlák kiürítésére fordítsa.
- Sebezhetőségek: HUMINT: A fióktulajdonos becsapja a felhasználói azonosító & jelszavát.
- Mitigátorok: nincs
- Eredményes EF bankszámlaegyenleg: 1,0
-
Fenyegetés: A hacker halászati e-maileket használ, hogy a bankszámla bejelentkezési adatait a számlák kiürítésére fordítsa.
- Sebezhetőségek: HUMINT : a számlatulajdonos becsapja felhasználói azonosítója & jelszavát
- Enyhítő tényezők: a bank nem engedélyezi a külső egyenlegátutalások online kezdeményezését; a bank nem mutat számlaszámokat vagy számok továbbítása online
- Eredményes EF bankszámlára ba lándzsa: 0.0
-
Fenyegetés: Hacker a legutóbbi listákat használja az ellopott felhasználói azonosítókról / jelszavakról egy közösségi oldalról
- Sebezhetőségek: HUMINT : sok számlatulajdonos ugyanazon jelszavakat használja minden webhelyen és AUTHEN: sok webhely (beleértve ezt a bankot is) egy e-mail címet használ felhasználói azonosítóként
- enyhítők: a bank helyben kétfaktoros hitelesítéssel rendelkezik
- Eredményes bankszámlaegyenleg: 0,0
-
A legtöbb egyéb kockázat esetén fel kell mérni a sérülékenységet , a fenyegetés és a sebezhetőség mérséklői a becsült EF meghatározásához. Ha nincs sok valós megfigyelt adat az EF megalapozásához a kockázattól függően, akkor ezek az egyes SLE-k vadul kívül eshetnek. Összevont évesített veszteség-várakozásokba foglalva az összes rosszul becsült egyedi EF miatt nagyon nagy hibahatár lehet.
A banki ágazatot példaként használva azonban egy olyan bank esetében, amely jelenleg – sok éven át működnek, részletes történelmi veszteségadataik vannak (beleértve a kiberrel kapcsolatos veszteségeket is). Egy bank valóban pontosan kiszámíthatja ezeket az értékeket (EF, SLE, ARO, ALE) a mai napig, majd felhasználhatja őket a jövőbeli veszteségek előrejelzéséhez.
Továbbá, tekintettel arra a részletes veszteségelőzményre , a bankok viszonylag pontos, ha költség-haszon elemzést végezhetnek az új mérséklők (például kétfaktoros hitelesítés) megvalósításával.
- Határozza meg a teljes költségbecslést az enyhítő megvalósításához és telepítéséhez. .
- Számítsa ki az összesített ALE-t, adott aktuális EF-eket egy időtartamra (mondjuk 10 évre).
- Csiszoljon minden olyan EF-t, amelyet a csillapító befolyásol.
- Számítsa ki az új összesített ALE-t ugyanabban az időszakban
- Számítsa ki az új összesített ALE és az aktuális közötti különbséget összesített ALE (ami a remélt haszon, mivel az új ALE ideális esetben kisebb, mint a jelenlegi ALE)
- Ha az előny (veszteségcsökkentés) nagyobb, mint a megvalósítás teljes költsége, akkor tegye meg; ha az előny (veszteségcsökkenés) lényegesen kisebb, mint a megvalósítás összköltsége, akkor a költség-haszon elemzés azt javasolja, hogy ne alkalmazzák a mérséklőt.
Megjegyzések
- Mely " tudományos " terület foglalkozik ezekkel a becslésekkel? Aktuáriusi jellegűnek tűnik.
- Számos tudományos terület használja és kutatja a kockázatelemzést.A pénzügyi / biztosítási kockázat kiemelkedő példa, és miután megszereztem az MBA-t, tudom, hogy a kockázatelemzés része ennek a tananyagnak. A kockázatkezelés a kezdetektől fogva az összes kiberbiztonság tényleges alapja, és mint tanúsított INFOSEC kockázatértékelő szakember tudom, hogy a számítástechnika tananyagban tanítják. A kockázatelemzés valószínűleg része az emberi viselkedéstudománynak, a betegségkezelési tudománynak és sok másnak is.
- Köszönöm. Úgy gondoltam, hogy az általános biztosításban a prémiumdíjak kezdeti megfelelője (a kár költsége x a kár valószínűsége).