确定特定IT漏洞的财务影响
是优先修复和防止攻击的好方法。
WannaCry和NotPetya 勒索病毒事件表明,恶意软件可以在全球范围内迅速传播并使企业瘫痪。它们的影响超出了传统IT基础设施,扩展到用于控制工业、制造业和关键基础设施的操作系统。这些事件的规模迫使各组织考虑与网络威胁相关的财务影响和业务风险,以更好地降低风险。
在大多数情况下,这些攻击是由于安全运维人员没有及时修复系统补丁造成的,因为它们所利用的漏洞以及受到保护的补丁早在几个月前就已经被披露过了。
在许多组织中缺乏的是对漏洞补救措施的智能优先级排序。实现这一目标的一种有效方法是通过确定IT基础设施中存在的特定漏洞造成的财务影响。
基于记录的暴露模型是不准确的
传统上,财务影响是根据可识别的记录信息数量来评估,这些数据被输入到业务影响分析系统或类似公平的风险框架中,以提取业务风险。但基于这种模型的计算是不准确的,因为这些信息可能在网络攻击中被攻破或被过滤。
但是,只考虑数据丢失的情况,而确定财务影响并不能提供全面的评估,因为数据泄露并不总是涉及大规模的攻击。例如,WannaCry和Petya勒索爆发加密,但没有泄露数据。
因此,在计算网络威胁的财务影响时,必须考虑以下因素:
(a)由于宕机造成的收入损失;
(b)事件后安全人员分析所需时间成本;
(c)基础设施损坏和实施补偿的成本;
(d)事后通知和法律费用。
以威胁为中心的模型更可靠
为了做到这一点,组织应该评估攻击者对网络的威胁和业务风险。这可以通过攻击使用方法构建模型、使用策略、技术和攻击模式框架来实现。
CAPEC(常见攻击模式枚举和分类)是一种开放攻击模式分类框架,它使分析人员能够确定适用于高风险漏洞的不同攻击模式。当威胁的攻击模式映射到存在高风险漏洞的资产时,可以判断出全面的业务风险。
举例来说,我们将CAPEC应用于WannaCry和NotPetya攻击中使用的EternalBlue漏洞,以评估其对一个通用组织的财务影响。
EternalBlue漏洞以整数溢出(CAPEC-92)开始,在目标系统上运行任意代码,导致缓冲区溢出(CAPEC-100),以劫持系统进程中的特权线程。这最终导致劫持执行的特权线程(CAPEC-30)。虽然CAPEC-30的利用可能性很低,但其严重程度却非常重要,并通过获得特权或身份认定来运行未经授权的命令。
将CAPEC分析应用于EternalBlue,揭示了对手在目标系统上执行的策略,这些策略很容易受到攻击和结果的影响,获得特权并执行未经授权的命令。
因为EternalBlue的对手模型是已知的,所以脆弱性(对EternalBlue敏感)对目标组织的操作影响是显而易见的。有了这些知识,就有可能估计这些漏洞造成的业务风险。
例如,如果组织的文件服务器上存在易受EternalBlue影响的漏洞,则我们知道可以执行任意命令来篡改该机器上的文件。在WannaCry和NotPetya的攻击中,通过加密文件以获取赎金。
预测财务损失
接下来,根据组织对这些文件的业务依赖性,我们可以使用它们的不可用性作为因素来确定由于勒索软件攻击而导致的财务损失。
传统上,网络安全风险是使用以下公式计算的:
可能性X影响=风险
以下修改后的公式可用于根据风险评估判断出财务影响:
可能性X临界量X f(影响分析)=财务影响
它可以应用于风险评估过程中发现的每个漏洞,以评估其各自的财务影响。
可能性
可能性是基于网络安全智能或算法作为概率测量而导出的单点值。这表示某个漏洞被成功利用的可能性,一些可以用来推导可能性的来源包括:
l 适用于该漏洞的威胁
l 修补程序可用与应用于此漏洞
l 利用漏洞后可以使用的策略
l 易于可利用性
临界量
临界量是一种单点值,它代表了资产在特定漏洞存在时的关键性。
f(影响分析)
而f(影响分析)是一种结合了成功的网络攻击造成的货币损失的函数。上面列出了应计算货币损失的因素清单。确定货币损失的主要标准之一是适用于该漏洞的策略的严重程度和影响。例如,远程命令执行策略将在货币价值方面产生巨大损失。
通过评估单个网络威胁的财务影响,组织可以更有效地优先安排补救措施,调整安全资源以保护其最重要的资产,并将新的投资分配给将限制攻击业务影响的计划。
https://www.darkreading.com/risk/the-financial-impact-of-cyber-threats/a/d-id/1330668
领取专属 10元无门槛券
私享最新 技术干货