Hur kan jag beräkna en förväntad enda förlust utan en given exponeringsfaktor?
Kan någon snälla förklara mig?
Kommentarer
- Läsning mellan raderna i SLE-definition Jag tror att exponeringsfaktorn måste vara ett något subjektivt mått som du måste uppskatta själv.
Svar
Du kan inte beräkna en enda förlustförväntan (SLE) utan en faktisk, historisk, uppskattad eller gissningsuppskattad exponeringsfaktor (EF ). Jag tror att det som saknas i de flesta INFOSEC Risk Management-utbildningsmaterial som täcker kvantitativ analys är att de inte ger mycket vägledning för hur man översätter den generiska riskdefinitionen [risk = f (tillgång, hot, sårbarhet)] till en EF och till SLE- och ALE-formlerna. Jag tittade på nätet just nu och jag såg ingen som täckte det bra.
För att det finns en risk måste det finnas en sårbarhet att utnyttja och hot mot den sårbarheten. Dessa hot har också en sannolikhet för förekomst (som kan baseras på observerade attacker). Hotsannolikheten översätts till den årliga förekomstgraden i den kvantitativa analysen. Så din EF baseras mestadels på sårbarheten och dess konsekvenser för tillgången när hotet inträffar.
Många per risk (vilket betyder per hot / sårbarhetspar) EF: er resulterar i en 0 EF eller en 1 EF vilket minskar en del av riskanalysens arbetsbelastning. Det hjälper också ibland att göra EF-uppskattning att också överväga eventuella mildrare vad som sätts på plats för att minska eller eliminera sårbarheten.
Några enkla exempel på triviala 0 och 1 EF: er:
-
Tillgång: ett online-tillgängligt bankkontos saldo
-
Hot: Hacker använder fiske-e-postmeddelanden för att få inloggningar på bankkonton för att tömma konton
- Sårbarheter: HUMINT: kontoinnehavaren luras avslöja deras användar-ID & lösenord
- Mitigatorer: ingen
- Resultat EF till bankkontosaldo: 1.0
-
Hot: Hacker använder fiske-e-postmeddelanden för att få inloggningar på bankkonton för att tömma konton
- Sårbarheter: HUMINT : kontoinnehavaren luras avslöja deras användar-ID & lösenord
- Mitigatorer: banken tillåter inte överföringar av externa saldon online; banken visar inte kontonummer eller dirigera nummer online
- Resulterande EF till bankkonto ba lans: 0.0
-
Hot: Hacker använder senaste listor över stulen användar-id / lösenord från en social mediasida
- Sårbarheter: HUMINT : många kontoinnehavare använder samma lösenord på alla webbplatser och AUTHEN: många webbplatser (inklusive denna bank) använder en e-postadress som användar-ID
- Mitigatorer: banken har tvåfaktorautentisering på plats
- Resulterande EF till bankkontosaldo: 0,0
-
För de flesta andra risker måste man bedöma sårbarheten , hotet och eventuella sårbarhetsreducerande medel för att besluta om en beräknad EF. Om man inte har många riktiga observerade data för att basera EF beroende på risken, kan dessa enskilda SLE vara väldigt out-of-line. När de samlas upp till sammanlagda årliga förlustförväntningar kan det ha en mycket stor felmarginal på grund av alla dåligt uppskattade enskilda EF: er.
Men använder bankbranschen som ett exempel för en bank som har varit i -drift under många år, de har detaljerade historiska förlustdata (inklusive cyberrelaterade förluster). En bank kan faktiskt beräkna dessa värden (EF, SLE, ARO, ALE) ganska exakt för deras historia hittills och sedan använda dem för att förutsäga framtida förluster.
Med tanke på den detaljerade förlusthistoriken , kan banker göra relativt noggranna analyser av kostnadseffektivitet och nytta för implementering av nya mitigatorer (till exempel tvåfaktorautentisering).
- Bestäm den totala kostnadsuppskattningen för att implementera och distribuera den mildraren .
- Beräkna de sammanlagda ALE-givna aktuella EF: erna över en tidsperiod (säg 10 år).
- Justera alla EF: er som mitigatorn påverkar.
- Beräkna den nya aggregerade ALE över samma tidsperiod
- Beräkna skillnaden mellan den nya aggregerade ALE och den aktuella aggregerat ALE (vilket är den önskade fördelen genom att den nya ALE idealiskt sett är mindre än den nuvarande ALE)
- Om nyttan (förlustminskning) är större än den totala kostnaden att genomföra, gör det; om nyttan (minskning av förlusten) är betydligt lägre än den totala kostnaden att genomföra, skulle kostnads-nytta-analys rekommendera att inte begränsa åtgärden.
Kommentarer
- Vilket " akademiskt " -område behandlar dessa uppskattningar? Det verkar vara ganska aktuariellt.
- Många akademiska områden använder och forskar om riskanalys.Ekonomisk / försäkringsrisk är ett utmärkt exempel, och efter att ha fått min MBA vet jag att riskanalys är en del av läroplanen. Riskhantering är den faktiska grunden för all cybersäkerhet från början, och som certifierad INFOSEC Risk Assessment Professional vet jag att den lärs ut i datavetenskapens läroplan. Riskanalys är också sannolikt en del av Human Behavioral Science, Disease Management Science och många andra.
- Tack. Det slog mig som en rudimentär motsvarighet till premiumprissättning i allmän försäkring (kostnad för ett anspråk x sannolikhet för nämnda anspråk).