Wie kann ich eine einzelne Verlusterwartung ohne einen bestimmten Expositionsfaktor berechnen?

Kann mir bitte jemand erklären?

Kommentare

  • Lesen zwischen den Zeilen der SLE-Definition Ich glaube, dass der Expositionsfaktor ein etwas subjektives Maß sein muss, das Sie selbst schätzen müssen.

Antwort

Sie können keine Single Loss Expectancy (SLE) ohne einen tatsächlichen, historischen, geschätzten oder erratenen Expositionsfaktor (EF) berechnen ). Ich denke, was in den meisten INFOSEC-Risikomanagement-Schulungsmaterialien, die quantitative Analysen abdecken, fehlt, ist, dass sie nicht viele Anleitungen geben, wie die generische Risikodefinition [Risiko = f (Vermögenswert, Bedrohung, Verwundbarkeit)] in eine EF und in eine EF übersetzt werden kann Die SLE- und ALE-Formeln. Ich habe gerade online gesucht und niemanden gesehen, der sie gut behandelt hat.

Damit ein Risiko besteht, muss es eine Sicherheitslücke geben, die ausgenutzt werden kann, und Bedrohungen gegen diese Sicherheitsanfälligkeit. Diese Bedrohungen haben auch eine Eintrittswahrscheinlichkeit (die auf beobachteten Angriffen beruhen kann). Die Bedrohungswahrscheinlichkeit wird in der quantitativen Analyse in die annualisierte Auftrittsrate umgerechnet. Ihre EF basiert also hauptsächlich auf der Sicherheitsanfälligkeit und ihren Folgen für das Asset, wenn die Bedrohung auftritt.

Viele EFs pro Risiko (dh pro Bedrohung / Sicherheitsanfälligkeitspaar) führen zu einer EF von 0 oder 1 EF Dies reduziert einen Teil des Arbeitsaufwands für die Risikoanalyse. Manchmal ist es auch hilfreich, bei der EF-Schätzung auch zu berücksichtigen, welche Abhilfemaßnahmen eingerichtet wurden, um die Sicherheitsanfälligkeit zu verringern oder zu beseitigen.

Einige vereinfachende Beispiele für triviale 0- und 1-EFs:

  • Asset: Der Kontostand eines online zugänglichen Bankkontos

    • Bedrohung: Hacker verwendet Angel-E-Mails, um Bankkonto-Logins zu erhalten, um Konten zu entleeren

      • Sicherheitslücken: HUMINT: Der Kontoinhaber wird dazu verleitet, seine Benutzer-ID & Passwort
      • Mitigatoren: keine
      • Resultierende EF zu enthüllen Kontostand: 1.0

    • Bedrohung: Hacker verwendet Angel-E-Mails, um Bankkonten-Logins zum Entleeren von Konten zu erhalten.

      • Sicherheitslücken: HUMINT : Der Kontoinhaber wird dazu verleitet, seine Benutzer-ID & Passwort
      • preiszugeben. Mitigatoren: Die Bank erlaubt nicht, dass externe Kontostandtransfers online initiiert werden Routing-Nummern online
      • Resultierende EF auf Bankkonto ba Lanze: 0.0

    • Bedrohung: Hacker verwendet aktuelle Listen gestohlener Benutzer-IDs / Kennwörter von einer Social-Media-Site.

      • Sicherheitslücken: HUMINT : Viele Kontoinhaber verwenden auf allen Websites dieselben Passwörter und AUTHEN: Viele Websites (einschließlich dieser Bank) verwenden die E-Mail-Adresse eines Benutzers als Benutzer-ID.
      • Mitigatoren: Die Bank verfügt über eine Zwei-Faktor-Authentifizierung
      • Resultierender EF zum Bankkontostand: 0.0

Bei den meisten anderen Risiken muss die Sicherheitsanfälligkeit bewertet werden , die Bedrohung und alle Schwachstellenminderer, um sich für eine geschätzte EF zu entscheiden. Wenn man nicht viele wirklich beobachtete Daten hat, um die EF abhängig vom Risiko zu stützen, können diese einzelnen SLEs völlig außerhalb der Linie liegen. In aggregierten annualisierten Verlusterwartungen zusammengefasst, kann es aufgrund all der schlecht geschätzten einzelnen EF zu einer sehr großen Fehlerquote kommen.

Am Beispiel der Bankenbranche für eine Bank, in der bereits tätig war -betrieb seit vielen Jahren haben sie detaillierte historische Verlustdaten (einschließlich Cyber-bezogene Verluste). Eine Bank kann diese Werte (EF, SLE, ARO, ALE) für ihre bisherige Historie ziemlich genau berechnen und sie dann für Vorhersagen zukünftiger Verluste verwenden.

Angesichts dieser detaillierten Verlusthistorie Banken können eine relativ genaue Was-wäre-wenn-Kosten-Nutzen-Analyse der Implementierung neuer Mitigatoren durchführen (z. B. Zwei-Faktor-Authentifizierung).

  1. Bestimmen Sie die Gesamtkostenschätzung für die Implementierung und Bereitstellung dieses Mitigators .
  2. Berechnen Sie den aggregierten ALE bei aktuellen EFs über einen Zeitraum (z. B. 10 Jahre).
  3. Optimieren Sie alle EFs, auf die sich der Mitigator auswirkt.
  4. Berechnen Sie den neuen aggregierten ALE über denselben Zeitraum.
  5. Berechnen Sie die Differenz zwischen dem neuen aggregierten ALE und dem aktuellen Gesamt-ALE (was der erhoffte Nutzen ist, da der neue ALE idealerweise kleiner als der aktuelle ALE ist)
  6. Wenn der Nutzen (Verlustreduzierung) größer ist als die Gesamtkosten für die Implementierung, dann tun Sie dies; Wenn der Nutzen (Verlustreduzierung) erheblich unter den Gesamtkosten für die Implementierung liegt, wird in der Kosten-Nutzen-Analyse empfohlen, den Mitigator nicht zu implementieren.

Kommentare

  • Welcher " akademische " Bereich befasst sich mit diesen Schätzungen? Es scheint ziemlich versicherungsmathematischer Natur zu sein.
  • Viele akademische Bereiche nutzen und erforschen die Risikoanalyse.Das Finanz- / Versicherungsrisiko ist ein Paradebeispiel, und nachdem ich meinen MBA erworben habe, weiß ich, dass die Risikoanalyse Teil dieses Lehrplans ist. Das Risikomanagement ist von Anfang an die eigentliche Grundlage aller Cybersicherheit. Als zertifizierter INFOSEC Risk Assessment Professional weiß ich, dass es im Lehrplan für Informatik unterrichtet wird. Die Risikoanalyse ist wahrscheinlich auch Teil der Human Behavioral Science, der Disease Management Science und vieler anderer.
  • Danke. Es kam mir als ein rudimentäres Äquivalent der Prämienpreise in der allgemeinen Versicherung vor (Kosten eines Anspruchs x Wahrscheinlichkeit dieses Anspruchs).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.