Hvordan kan jeg beregne en forventet tapstap uten en gitt eksponeringsfaktor?
Kan noen forklare meg?
Kommentarer
- Lesing mellom linjene i SLE-definisjon Jeg tror at eksponeringsfaktor må være et noe subjektivt mål som du må estimere selv.
Svar
Du kan ikke beregne en enkelt tap forventet (SLE) uten en faktisk, historisk, estimert eller gjetningsestimert eksponeringsfaktor (EF ). Jeg tror det som mangler i de fleste INFOSEC opplæringsmaterialer for risikostyring som dekker kvantitativ analyse, er at de ikke gir mye veiledning for hvordan man skal oversette den generiske risikodefinisjonen [risiko = f (aktiva, trussel, sårbarhet)] til en EF og til SLE- og ALE-formlene. Jeg så på nettet akkurat nå, og jeg så ikke noen som dekket det godt.
For at en risiko skal eksistere, må det være en sårbarhet å utnytte, og trusler mot den sårbarheten. Disse truslene har også en sannsynlighet for forekomst (som kan være basert på observerte angrep). Trussels sannsynligheten oversettes til den årlige forekomst i den kvantitative analysen. Så din EF er hovedsakelig basert på sårbarheten og dens konsekvenser for eiendelen når trusselen oppstår.
Mange per-risiko (som betyr per trussel / sårbarhetspar) EF-er resulterer i en 0 EF eller en 1 EF som reduserer noe av risikoanalysen. Noen ganger hjelper det også å gjøre EF-estimering å vurdere eventuelle avbøtende midler som er på plass for å redusere eller eliminere sårbarheten.
Noen enkle eksempler på trivielle 0- og 1 EF-er:
-
Eiendom: en saldo på en bankkonto som er tilgjengelig på nettet
-
Trussel: Hacker bruker fiske-e-postmeldinger for å få pålogginger til bankkontoer for å tømme kontoer
- Sårbarheter: HUMINT: kontoinnehaveren blir lurt til å avsløre brukerid & passord
- Mitigatorer: ingen
- Resultat EF til bankkontosaldo: 1.0
-
Trussel: Hacker bruker fiske-e-postmeldinger for å få bankkontoinnlogginger for å tømme kontoer
- Sårbarheter: HUMINT : kontoinnehaveren blir lurt til å avsløre brukerid & passord
- Begrensere: banken tillater ikke overføring av eksterne saldoer online; banken viser ikke kontonumre eller ruting av numre på nettet
- Resulterende EF til bankkonto ba lanse: 0.0
-
Trussel: Hacker bruker nylige lister over stjålet bruker-ID / passord fra et nettsted på sosiale medier
- Sårbarheter: HUMINT : mange kontoinnehavere bruker samme passord på alle nettsteder og AUTHEN: mange nettsteder (inkludert denne banken) bruker e-postadressen som bruker-ID
- Mitigatorer: banken har tofaktorautentisering på stedet
- Resulterende EF til bankkontosaldo: 0,0
-
For de fleste andre risikoer må man vurdere sårbarheten , trusselen og eventuelle sårbarhetsreduserende midler for å bestemme en estimert EF. Hvis man ikke har mange reelle observerte data for å basere EF avhengig av risikoen, kan disse individuelle SLE-ene være veldig utenfor linjen. Når de rulles opp til samlede årlige tapforventninger, kan det ha en veldig stor feilmargin på grunn av alle de dårlig estimerte individuelle EF-ene.
Imidlertid bruker banknæringen som et eksempel for en bank som har vært i -drift i mange år, har de detaljerte historiske tapsdata (inkludert nettrelaterte tap). En bank kan faktisk beregne disse verdiene (EF, SLE, ARO, ALE) ganske nøyaktig for deres historie-til-dags dato, og deretter bruke dem til å forutsi fremtidige tap.
Også gitt den detaljerte tapshistorikken , kan banker gjøre relativt nøyaktig hva-om-nytte-analyse av implementering av nye avbøtende midler (for eksempel tofaktorautentisering).
- Bestem totalkostnadsestimatet for å implementere og distribuere den avbøtende .
- Beregn de samlede ALE-gitte gjeldende EF-ene over en tidsperiode (si 10 år).
- Juster eventuelle EF-er som avbøtende påvirker.
- Beregn den nye samlede ALE over den samme tidsperioden
- Beregn forskjellen mellom den nye samlede ALE og gjeldende samlet ALE (som er den forventede fordelen ved at den nye ALE ideelt sett er mindre enn dagens ALE)
- Hvis fordelen (tapreduksjon) er større enn den totale kostnaden å implementere, så gjør det; hvis fordelen (tapreduksjon) er betydelig mindre enn den totale kostnaden å implementere, vil kost-mot-nytte-analyse anbefale å ikke implementere avbøtende.
Kommentarer
- Hvilket " akademisk " -område behandler disse estimeringene? Det virker ganske aktuarmessig.
- Mange fagområder bruker og forsker på risikoanalyse.Finansiell / forsikringsrisiko er et godt eksempel, og etter å ha oppnådd min MBA vet jeg at risikoanalyse er en del av læreplanen. Risikostyring er det faktiske grunnlaget for all cybersikkerhet helt fra begynnelsen, og som en sertifisert INFOSEC risikovurderingsprofesjonell vet jeg at den undervises i informatikkplanen. Risikoanalyse er også sannsynlig en del av Human Behavioral Science, Disease Management Science og mange andre.
- Takk. Det slo meg som en rudimentær ekvivalent av premiumpriser i allmennforsikring (kostnad for et krav x sannsynlighet for det kravet).