判斷特定IT漏洞的金融影響是確定補(bǔ)救措施優(yōu)先級(jí)和預(yù)防攻擊的有效方法。 筆者認(rèn)為基于數(shù)據(jù)泄露數(shù)量的風(fēng)險(xiǎn)評(píng)估模型是不準(zhǔn)確的，而以威脅為中心的風(fēng)險(xiǎn)評(píng)估模型更加可靠，并給出一個(gè)改進(jìn)版的風(fēng)險(xiǎn)評(píng)估公式。

[[218878]]

WannaCry 和 NotPetya勒索軟件 的流行表明 惡意軟件 可在全球范圍內(nèi)迅速傳播，并削弱各個(gè)企業(yè)。它們的影響已超越傳統(tǒng)IT基礎(chǔ)架構(gòu)，并擴(kuò)展到用于控制工業(yè)、制造業(yè)和 關(guān)鍵基礎(chǔ)設(shè)施 的操作系統(tǒng)。這些安全事件的規(guī)模正在迫使組織考慮與 網(wǎng)絡(luò)威脅 相關(guān)的金融影響和業(yè)務(wù)風(fēng)險(xiǎn)，以更好地減輕風(fēng)險(xiǎn)。

大多數(shù)情況下，這些攻擊是操作安全程序較差(或缺失)造成的，因?yàn)樗鼈兯玫穆┒醇胺雷o(hù)補(bǔ)丁早在數(shù)月前已經(jīng)披露了。很多組織缺少的是對(duì)漏洞補(bǔ)救措施進(jìn)行智能優(yōu)先處理。判斷IT基礎(chǔ)結(jié)構(gòu)中特定漏洞的金融影響是實(shí)現(xiàn)上述目標(biāo)的有效方法之一。

基于數(shù)據(jù)泄露記錄數(shù)量的風(fēng)險(xiǎn)模型不準(zhǔn)確

傳統(tǒng)意義上，金融影響是基于在網(wǎng)絡(luò)攻擊中可被泄露的個(gè)人可識(shí)別信息記錄的數(shù)量進(jìn)行評(píng)估的。這些數(shù)據(jù)被融入業(yè)務(wù)影響分析系統(tǒng)或風(fēng)險(xiǎn)框架(如FAIR)中，從而反映業(yè)務(wù)風(fēng)險(xiǎn)。

FAIR：http://www.fairinstitute.org/

然而，在確定金融影響時(shí)只考慮數(shù)據(jù)丟失的情況并不能提供全面評(píng)估，因?yàn)椴⒎撬械拇笠?guī)模攻擊都會(huì)涉及 數(shù)據(jù)泄露。例如，WannaCry和Petya勒索軟件雖加密數(shù)據(jù)但并未泄露數(shù)據(jù)。

因此，在計(jì)算網(wǎng)絡(luò)威脅的金融影響時(shí)，必須考慮以下因素：

(a)停機(jī)造成的收入損失，

(b)事件后分析所需的工時(shí)，

(c)基礎(chǔ)設(shè)施損害和補(bǔ)償控制費(fèi)用，

(d)攻擊后通知和法律費(fèi)用。

以威脅為中心的風(fēng)險(xiǎn)評(píng)估模型更可靠

要做到這一點(diǎn)，組織應(yīng)評(píng)估其在個(gè)人網(wǎng)絡(luò)威脅方面的業(yè)務(wù)風(fēng)險(xiǎn)。這可以通過攻擊建模，使用戰(zhàn)術(shù)、技術(shù)和攻擊模式框架來實(shí)現(xiàn)。

CAPEC(常見的攻擊模式枚舉和分類)是一種開放式的攻擊模式分類框架，分析人員能夠判斷適用于高風(fēng)險(xiǎn)漏洞的不同攻擊模式。當(dāng)威脅的攻擊模式映射到存在高風(fēng)險(xiǎn)漏洞的資產(chǎn)上時(shí)，可了解到全面的業(yè)務(wù)風(fēng)險(xiǎn)。

CAPEC：https://capec.mitre.org/about/

例如，我們將CAPEC應(yīng)用到WannaCry和NotPetya攻擊中，以及所利用的EternalBlue漏洞利用程序中，來評(píng)估其對(duì)組織的金融影響。

EternalBlue 漏洞利用程序始于整數(shù)溢出(CAPEC-92)，它在目標(biāo)系統(tǒng)上運(yùn)行任意代碼，導(dǎo)致緩沖區(qū)溢出(CAPEC-100)，從而在系統(tǒng)進(jìn)程中劫持特權(quán)線程，并最終導(dǎo)致劫持特權(quán)執(zhí)行線程(CAPEC-30)。盡管CAPEC-30被利用的可能性很小，但其嚴(yán)重程度很高，并導(dǎo)致通過獲取權(quán)限或假定身份來運(yùn)行未經(jīng)授權(quán)的命令。

將CAPEC分析應(yīng)用到EternalBlue中可發(fā)現(xiàn)攻擊者在存在漏洞的攻擊目標(biāo)系統(tǒng)上所使用的策略及結(jié)果(如：獲得特權(quán)和執(zhí)行未經(jīng)授權(quán)的命令)。由于EternalBlue的攻擊者建模是已知的，漏洞(易受EternalBlue影響)對(duì)目標(biāo)組織的運(yùn)營影響顯而易見。了解到這一點(diǎn)，就可以評(píng)估這些漏洞帶來的業(yè)務(wù)風(fēng)險(xiǎn)。

例如，若組織的文件服務(wù)器上存在易受EternalBlue影響的漏洞，我們就能了解可被執(zhí)行的任意命令，從而篡改該機(jī)器上的文件。其中，在WannaCry和NotPetya攻擊中涉及文件加密，誘騙用戶支付贖金。

預(yù)測財(cái)務(wù)損失

接下來，根據(jù)組織對(duì)這些文件的業(yè)務(wù)依賴關(guān)系，我們可將文件的不可用性作為遭遇 勒索軟件 攻擊后可帶來的財(cái)務(wù)損失的判斷依據(jù)。傳統(tǒng)意義上，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的計(jì)算公式為：

此公式的修改版本可用于根據(jù)風(fēng)險(xiǎn)評(píng)估計(jì)算出金融影響：

該公式可用于風(fēng)險(xiǎn)評(píng)估過程中發(fā)現(xiàn)的每個(gè)漏洞，從而估計(jì)各自不同的金融影響。

1. 可能性

可能性 是根據(jù)網(wǎng)絡(luò)安全情報(bào)或算法的概率測度導(dǎo)出的單點(diǎn)值。這表示將某個(gè)漏洞被成功利用的可能性。可用于計(jì)算出可能性的一些源包括：

• 適用于漏洞的威脅
• 應(yīng)用于漏洞的可用補(bǔ)丁
• 漏洞利用后的可用策略
• 漏洞緩解

2. 風(fēng)險(xiǎn)等級(jí)

風(fēng)險(xiǎn)等級(jí)是一個(gè)單點(diǎn)值，它表示資產(chǎn)業(yè)務(wù)中存在某個(gè)漏洞的風(fēng)險(xiǎn)等級(jí)。

f (影響分析)

f(影響分析)是一個(gè)函數(shù)，表示成功網(wǎng)絡(luò)攻擊造成的貨幣損失。以上列出了計(jì)算貨幣損失的因素清單。適用于漏洞的策略的風(fēng)險(xiǎn)等級(jí)和影響是判斷貨幣損失的主要標(biāo)準(zhǔn)之一。例如，遠(yuǎn)程命令執(zhí)行策略將可產(chǎn)生很大的貨幣損失。

通過評(píng)估單個(gè)網(wǎng)絡(luò)威脅的金融影響，組織可更有效地確定補(bǔ)救措施的優(yōu)先級(jí)，協(xié)調(diào)安全資源，保護(hù)最重要的資產(chǎn)，并為可限制攻擊業(yè)務(wù)影響的項(xiàng)目分配新投資。