주어진 노출 계수없이 단일 손실 기대치를 어떻게 계산할 수 있습니까?

누군가 저를 설명해 주시겠습니까?

댓글

  • SLE 정의 줄 사이 읽기 노출 계수는 자신을 추정해야하는 다소 주관적인 측정 값이어야한다고 생각합니다.

답변

실제, 과거, 추정 또는 추정 노출 계수 (EF) 없이는 단일 손실 기대 (SLE)를 계산할 수 없습니다. ). 정량적 분석을 다루는 대부분의 INFOSEC 위험 관리 교육 자료에서 부족한 점은 일반 위험 정의 [위험 = f (자산, 위협, 취약성)]를 EF로 변환하는 방법에 대한 지침을 많이 제공하지 않는다는 것입니다. SLE 및 ALE 공식. 방금 온라인을 살펴 봤는데이 문제를 잘 다루는 사람은 아무도 없었습니다.

위험이 존재하려면 악용 할 취약성과 해당 취약성에 대한 위협이 있어야합니다. 이러한 위협에는 발생 확률도 있습니다 (관찰 된 공격을 기반으로 할 수 있음). 위협 확률은 정량 분석에서 연간 발생률로 변환됩니다. 따라서 EF는 주로 취약성과 위협이 발생할 때 자산에 대한 결과를 기반으로합니다.

많은 위험 별 (위협 당 / 취약성 쌍을 의미) EF는 0 EF 또는 1 EF를 생성합니다. 위험 분석 워크로드의 일부를 줄입니다. 또한 취약성을 줄이거 나 제거하는 데 도움이되는 완화 요소를 고려하여 EF 추정을 수행하는데도 도움이됩니다.

사소한 0 및 1 EF의 몇 가지 간단한 예 :

  • 자산 : 온라인으로 액세스 할 수있는 은행 계좌 잔액

    • 위협 : 해커는 낚시 이메일을 사용하여 계좌를 비우기 위해 은행 계좌 로그인을 얻습니다.

      • 취약점 : HUMINT : 계정 소유자가 사용자 ID & 비밀번호를 공개하도록 속임수
      • 완화 : 없음
      • 결과 EF 은행 계좌 잔액 : 1.0

    • 위협 : 해커가 낚시 이메일을 사용하여 계좌를 비우기 위해 은행 계좌 로그인을 얻습니다.

      • 취약점 : HUMINT : 계좌 소유자가 사용자 ID & 비밀번호를 공개하도록 속이는 경우
      • 완화 : 은행에서 온라인으로 외부 잔액 이체를 시작하는 것을 허용하지 않습니다. 은행에서 계좌 번호를 표시하지 않거나 온라인 라우팅 번호
      • 은행 계좌 ba에 대한 결과 EF lance : 0.0

    • 위협 : 해커가 소셜 미디어 사이트에서 도난당한 최근 사용자 ID / 비밀번호 목록을 사용합니다.

      • 취약점 : HUMINT : 많은 계좌 소유자가 모든 사이트에서 동일한 비밀번호를 사용하고 AUTHEN : 많은 사이트 (이 은행 포함)가 하나의 이메일 주소를 사용자 ID로 사용합니다.
      • 완화 : 은행은 내부 이중 인증을 사용합니다.
      • 은행 계좌 잔고에 대한 결과 EF : 0.0

대부분의 다른 위험에 대해서는 취약성을 평가해야합니다. , 위협 및 모든 취약성 완화자가 추정 EF를 결정합니다. 위험에 따라 EF를 기반으로하는 실제 관찰 된 데이터가 많지 않은 경우 이러한 개별 SLE는 엄청나게 범위를 벗어날 수 있습니다. 집계 된 연간 손실 기대치로 합산하면 잘못 추정 된 모든 개별 EF로 인해 오류 한계가 매우 클 수 있습니다.

그러나 은행 업계를 예로 들어 -수년 동안 운영, 그들은 상세한 기록 손실 데이터 (사이버 관련 손실 포함)를 가지고 있습니다. 은행은 실제로 이러한 값 (EF, SLE, ARO, ALE)을 현재까지의 내역에 대해 매우 정확하게 계산 한 다음 향후 손실을 예측하는 데 사용할 수 있습니다.

또한 상세한 손실 내역을 고려할 때 , 은행은 새로운 완화 요소 (예 : 2 단계 인증) 구현에 대해 상대적으로 정확한 what-if 비용 대 이익 분석을 수행 할 수 있습니다.

  1. 해당 완화 프로그램을 구현하고 배포하기위한 총 비용 추정치를 결정합니다. .
  2. 일정 기간 (예 : 10 년) 동안 현재 EF를 고려하여 집계 ALE를 계산합니다.
  3. 완화 기가 영향을 미치는 EF를 조정합니다.
  4. 동일한 기간 동안 새 집계 ALE를 계산합니다.
  5. 새 집계 ALE와 현재 집계 간의 차이를 계산합니다. 총 ALE (새로운 ALE가 현재 ALE보다 이상적으로 작다는 이점에서 기대)
  6. 편익 (손실 감소)이 구현하는 총 비용보다 크면 그렇게하십시오. 이익 (손실 감소)이 총 구현 비용보다 훨씬 적다면 비용 대 이익 분석은 완화 장치를 구현하지 않는 것이 좋습니다.

댓글

  • 이러한 추정치를 다루는 " 학술 " 영역은 무엇입니까? 본질적으로 보험 계리적인 것 같습니다.
  • 많은 학문 분야에서 위험 분석을 활용하고 연구합니다.금융 / 보험 위험이 대표적인 예이며 MBA를 취득한 후 위험 분석이 커리큘럼의 일부라는 것을 알고 있습니다. 위험 관리는 처음부터 모든 사이버 보안의 실제 기반이며 인증 된 INFOSEC 위험 평가 전문가로서 컴퓨터 과학 커리큘럼에서 가르치는 것을 알고 있습니다. 위험 분석은 인간 행동 과학, 질병 관리 과학 및 기타 여러 분야의 일부일 가능성이 높습니다.
  • 감사합니다. 일반 보험의 보험료 가격 (청구 비용 x 청구 확률)에 해당하는 기초적인 수준이라는 생각이 들었습니다.

답글 남기기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다