概率損失模型成風(fēng)險評估新趨勢

申請免費(fèi)試用、咨詢電話：400-8352-114

近來安全業(yè)界對于最新的概率損失模型給予了前所未有的重視。當(dāng)企業(yè)試圖確定向安全技術(shù)投入多少資金和哪些資產(chǎn)需要保護(hù)時，它們依靠的是一種將損失影響乘以損失概率的風(fēng)險評估模型。

重新思考風(fēng)險

長期以來，用戶在進(jìn)行各種形式的風(fēng)險評估工作時，都會把精力放在企業(yè)的“核心資產(chǎn)的核心層上”，希望能夠?qū)⑵淞袨殚_支和防御預(yù)算的重中之重。這樣的思路屬于人之常情，但反過頭來想，這樣的評估是否就代表了企業(yè)的風(fēng)險需求呢？或者說，這樣評估產(chǎn)生的結(jié)果是否最有價值呢？

目前國內(nèi)外主流安全論壇中流行一種說法，即將至關(guān)重要的公司信息資產(chǎn)比作是“女王王冠”。這種比喻在很多方面是恰當(dāng)?shù)?。顧名思義，價值連城的王冠當(dāng)然要受到多重安全措施的保護(hù)，但事實是，它對于竊賊來說是非常糟糕的目標(biāo)。因為它太與眾不同了，因而也難以銷贓。若想賣掉這類物品，竊賊必須冒巨大的風(fēng)險和忍受大出血的殺價。對竊賊來說，相比王冠他們更加青睞鈔票。

事實上，對于此類物品，不管它們是像王冠這樣的有形之物，還是像公司某些核心信息的無形資產(chǎn)，都只值買家開出的價格。如果這種物品的市場太小或洗錢的風(fēng)險太高，這個物品的價值必然大打折扣。但是，在使用傳統(tǒng)的信息安全風(fēng)險評估方法時，大都只是此類物品遭竊的損失，而忽視竊賊潛在的收益。

新模型出爐

有意思的是，在近期舉行的中國首屆“IT治理與信息安全大會”上，以ISSA、ISACA為代表的一些安全組織提出了一種新的評估方法：概率損失模型。

這種模型的思路很簡單：損失的影響是風(fēng)險評估的非常重要的組成部分，它使企業(yè)可以比較保護(hù)某種資產(chǎn)安全的成本和收益。有意思的是，一些計算機(jī)罪犯也在通過類似的模型考慮信息盜竊所帶來的成本與收益。在選擇攻擊目標(biāo)時，犯罪分子必須根據(jù)某種資產(chǎn)變現(xiàn)的難易程度考慮這種資產(chǎn)的折現(xiàn)價值。

舉例來看，企業(yè)最核心的信息資產(chǎn)，如某些專利設(shè)計等，這些信息只有很少的買家，并會留下痕跡，因為它的來源很容易確定。因此，很多攻擊者并不青睞這些信息。在大多數(shù)公司中，頻繁遭遇信息竊取的主要是與現(xiàn)金和金融工具有關(guān)的信息，比如保存在不同數(shù)據(jù)庫中的身份信息。根據(jù)IDC的統(tǒng)計，全球身份偷竊市場規(guī)模龐大而且發(fā)展非?？?。身份信息在黑市上的平均價格高達(dá)14～18美元，并可以匿名銷售，而且有大量的買主。

不難看出，傳統(tǒng)上很多企業(yè)花大價錢保護(hù)的信息資產(chǎn)基本無人問津。因此不少專業(yè)人士建議，企業(yè)應(yīng)當(dāng)利用概率損失模型，從新的思路考慮信息安全。當(dāng)公司試圖確定向安全技術(shù)投入多少資金和哪些資產(chǎn)需要保護(hù)時，他們依靠一種將損失影響乘以損失概率的風(fēng)險評估。反過來，損失的概率取決于攻擊率和資產(chǎn)的脆弱性。

概率損失模型的好處是，不僅可以計算出企業(yè)相關(guān)資產(chǎn)的脆弱性，而且可以確定被攻擊的概率。傳統(tǒng)的風(fēng)險評估模型都是采用根據(jù)大量攻擊報告得出的統(tǒng)計數(shù)據(jù)。然而，概率損失模型可以憑借攻擊的成功率與損失變現(xiàn)率對企業(yè)的信息資產(chǎn)進(jìn)行排序。換句話說，企業(yè)的核心信息雖然被關(guān)注，但企業(yè)的HR數(shù)據(jù)庫就像是一堆現(xiàn)金，誘人而且易于交易。因此，考慮這些因素的概率損失模型將會成為未來風(fēng)險評估的新趨勢。(ccw-cnw)