網絡安全保險 預測網絡攻擊成本的新模式
責編:gltian |2018-05-18 10:17:37世界上最大的保險公司之一澳大利亞保險集團(IAG)已經模擬了一次數據泄露或勒索軟件攻擊可能會對受害者公司業務造成的財務成本,其目的是為了了解需要擬議多少信息安全投資才能彌補其損失。
IAG公司網絡安全和管理負責人 Ian Cameron在悉尼舉辦的IBM Think 2018大會上表示,“風險價值建模”項目呼吁公司的保險精算師為不同類型和級別的安全威脅標注明確的風險價值。
Cameron表示,“因為我們是一家保險公司,我們可以使用精算方法對損失事件的成本進行定價或建模。我們已經在過去12個月中,模擬了重大數據泄露和勒索軟件攻擊事件會對企業生產力方面帶來的凈損失成本、重新樹立客戶信任感的廣告成本,以及法律費用和監管成本等。我們目前已經能夠計算出不同類型和等級的損失成本分布(從小事件到重大事件)。”
去年,受到Petya惡意軟件影響的組織,都已經報告了自己因為這次惡意軟件感染活動而遭受的不同程度的銷售損失以及數億美元的成本損失,例如烏克蘭最大的國有貸款機構之一 ——國家儲蓄銀行(Oschadbank)就報告稱,部分銀行服務受到“黑客攻擊”影響,全國3650個網點和2850臺ATM受到影響,造成存取款業務受限。
Cameron表示,IAG通過將此事作為“假設”(即不同的安全投資可能會對減少潛在損失造成影響)情境的基礎,已經將其風險價值建模往前完善了一大步。
Cameron表示,“那么,如果我們在適當的位置部署了所有額外的安全措施呢?我們已經能夠計算出哪些安全控制措施可以最有效地將事故影響的成本降低。這是一次相當新穎的實踐,而且它確實需要進行一些投資才能實現。”
Cameron表示,想要進行類似項目的組織通過不太成熟的經濟建模也可能會得到類似的結果。
他表示,“我認為這實際上就意味著,與整個企業的關鍵人員一起就該主題舉辦研討會,聽聽他們對于最低或最高成本是什么的看法,然后將他們的想法綜合起來,你就能夠理解如果你具備更好的安全性那將意味著什么,這個損失成本又將會降低多少?”
該風險價值建模不僅有助于理解不同威脅和投資的影響,還能為業務安全風險討論提供基礎。
Cameron表示,“從一場風險討論入手是非常重要的步驟。說實話,我們經常會直接跳入解決方案模式,并且說‘你需要所有這些安全措施’,但是老實說,有時候它可能有些投資過度了。安全投資必須與我們試圖保護的信息價值相匹配。所以我認為,關鍵還是要先圍繞企業面臨的威脅進行風險討論,并對于威脅的可能性及影響進行教育性討論,這會更好地幫助你理解應該部署哪種解決方案以及安全級別。”
將安全性納入云端
Cameron表示,IAG目前正處于將工作負載從其數據中心遷移到云端的“挑戰中”。
他表示,“這迫使我們從根本上重新思考和挑戰我們過去所使用的方法,以確保我們的數據得到更充分的保護。”
安全團隊的重點之一是將安全性納入流程,如此才能開發出安全代碼并將其運行在云中。
現在,我們正試圖在DevOps中構建安全性。我們正在進行很多嘗試來試圖分散安全功能,教導開發人員如何“以安全為代碼”,并將安全性融入到持續交付工具鏈中。作為一個安全團隊,這意味著我們必須學習一種全新的語言來與開發人員交流,所以我們正在嘗試新的方式來參與他們。我們現在正通過教導他們將安全性納入開發流程中,來引導他們成為我們的安全衛士。這是我們真正能夠在云環境中實現一定規模、敏捷性和適應性的唯一途徑。我們不能再使用過去曾嘗試應用的傳統運營模式來實現這一點。