判断特定IT漏洞的金融影响是确定补救措施优先级和预防攻击的有效方法。 笔者认为基于数据泄露数量的风险评估模型是不准确的,而以威胁为中心的风险评估模型更加可靠,并给出一个改进版的风险评估公式。
WannaCry 和 NotPetya勒索软件 的流行表明 恶意软件 可在全球范围内迅速传播,并削弱各个企业。它们的影响已超越传统IT基础架构,并扩展到用于控制工业、制造业和 关键基础设施 的操作系统。这些安全事件的规模正在迫使组织考虑与 网络威胁 相关的金融影响和业务风险,以更好地减轻风险。
大多数情况下,这些攻击是操作安全程序较差(或缺失)造成的,因为它们所利用的漏洞及防护补丁早在数月前已经披露了。很多组织缺少的是对漏洞补救措施进行智能优先处理。判断IT基础结构中特定漏洞的金融影响是实现上述目标的有效方法之一。
基于数据泄露记录数量的风险模型不准确
传统意义上,金融影响是基于在网络攻击中可被泄露的个人可识别信息记录的数量进行评估的。这些数据被融入业务影响分析系统或风险框架(如FAIR)中,从而反映业务风险。
FAIR:http://www.fairinstitute.org/
然而,在确定金融影响时只考虑数据丢失的情况并不能提供全面评估,因为并非所有的大规模攻击都会涉及 数据泄露。例如,WannaCry和Petya勒索软件虽加密数据但并未泄露数据。
因此,在计算网络威胁的金融影响时,必须考虑以下因素:
(a)停机造成的收入损失,
(b)事件后分析所需的工时,
(c)基础设施损害和补偿控制费用,
(d)攻击后通知和法律费用。
以威胁为中心的风险评估模型更可靠
要做到这一点,组织应评估其在个人网络威胁方面的业务风险。这可以通过攻击建模,使用战术、技术和攻击模式框架来实现。
CAPEC(常见的攻击模式枚举和分类)是一种开放式的攻击模式分类框架,分析人员能够判断适用于高风险漏洞的不同攻击模式。当威胁的攻击模式映射到存在高风险漏洞的资产上时,可了解到全面的业务风险。
CAPEC:https://capec.mitre.org/about/
例如,我们将CAPEC应用到WannaCry和NotPetya攻击中,以及所利用的EternalBlue漏洞利用程序中,来评估其对组织的金融影响。
EternalBlue 漏洞利用程序始于整数溢出(CAPEC-92),它在目标系统上运行任意代码,导致缓冲区溢出(CAPEC-100),从而在系统进程中劫持特权线程,并最终导致劫持特权执行线程(CAPEC-30)。尽管CAPEC-30被利用的可能性很小,但其严重程度很高,并导致通过获取权限或假定身份来运行未经授权的命令。
将CAPEC分析应用到EternalBlue中可发现攻击者在存在漏洞的攻击目标系统上所使用的策略及结果(如:获得特权和执行未经授权的命令)。由于EternalBlue的攻击者建模是已知的,漏洞(易受EternalBlue影响)对目标组织的运营影响显而易见。了解到这一点,就可以评估这些漏洞带来的业务风险。
例如,若组织的文件服务器上存在易受EternalBlue影响的漏洞,我们就能了解可被执行的任意命令,从而篡改该机器上的文件。其中,在WannaCry和NotPetya攻击中涉及文件加密,诱骗用户支付赎金。
预测财务损失
接下来,根据组织对这些文件的业务依赖关系,我们可将文件的不可用性作为遭遇 勒索软件 攻击后可带来的财务损失的判断依据。传统意义上,网络安全风险的计算公式为:
| 可能性 X 影响 = 风险 |
此公式的修改版本可用于根据风险评估计算出金融影响:
| 可能性 X 风险等级 X f (影响分析) = 金融影响 |
该公式可用于风险评估过程中发现的每个漏洞,从而估计各自不同的金融影响。
1. 可能性
可能性 是根据网络安全情报或算法的概率测度导出的单点值。这表示将某个漏洞被成功利用的可能性。可用于计算出可能性的一些源包括:
- 适用于漏洞的威胁
- 应用于漏洞的可用补丁
- 漏洞利用后的可用策略
- 漏洞缓解
2. 风险等级
风险等级是一个单点值,它表示资产业务中存在某个漏洞的风险等级。
f (影响分析)
f(影响分析)是一个函数,表示成功网络攻击造成的货币损失。以上列出了计算货币损失的因素清单。适用于漏洞的策略的风险等级和影响是判断货币损失的主要标准之一。例如,远程命令执行策略将可产生很大的货币损失。
通过评估单个网络威胁的金融影响,组织可更有效地确定补救措施的优先级,协调安全资源,保护最重要的资产,并为可限制攻击业务影响的项目分配新投资。
