加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

《信息安全風險的量化》報告解讀,有深度、有內涵_AIR:FAI幣

Author:

Time:1900/1/1 0:00:00

來自霧幟智能K2實驗室的汪浩博士在XCon上做了《信息安全風險的量化》的報告后,后臺收到不少PPT的下載請求。但PPT內容精簡,本文是對報告的深入解讀。閱讀本文大概需要15分鐘。

報告的主要內容包括:

1.一種描述安全風險、衡量安全績效的方式

2.一種處理復雜、不確定問題的計算流程

兩個問題

要做的工作很多,優先級怎么定?

我的工作對公司/組織的貢獻有多大?

不管你當前是技術骨干,還是管理精英,一定在某個時刻考慮過以上兩個問題。不妨想一下你的答案會是什么。

汪浩采訪了幾位安全領域專家,匯總之后的結論如下:

優先級,可以有以下幾個考慮方向:個人經驗和積累;看行業最佳實踐;找業務了解安全需求;非常重要的合規等等。

貢獻則可以從這么幾個點來描述:合規沒有問題,安全事故減少了,外部發現的漏洞減少了多少,安全能力增加了多少,覆蓋了多少風險場景等等。

這說明當前的規劃和匯報策略是可行的。那為什么還要討論別的方式呢?

用錢衡量安全工作

接受采訪的幾位專家同時提到,安全的上級主管,比如CEO,是認可甚至鼓勵現有的規劃方式的:就是通過看齊行業最佳實踐、滿足合規要求等確定優先級;他們也接受現有的安全成績的匯報方式。安全預算申請時,被以投資回報率這種量化指標來挑戰這種事,基本不會發生。這說明當前的規劃和匯報策略是可行的。

那為什么還要討論新的方式呢?因為用錢討論問題,在易于理解這一點上,有不言自明的優勢:其他團隊能理解,領導也能看懂。此外,就像我們將要看到的,以錢量化安全成績,有望解決安全工作“做不好會減分,做好不加分”,這個我們一直認為是安全職業屬性的難題。

但很可能你也曾或多或少琢磨過,甚至是親身實踐過化安全風險的量化。事實上,學界相關的研究一直就沒有斷過——攻擊圖(attackgraph)有至少20年的歷史;新一些的如貝葉斯攻擊圖、博弈論討論內鬼作案可能性等等,不可謂不先進。但似乎并沒聽說過基于這些技術的風險量化方案落地案例。為什么?

業務部門用錢描述成績,是因為它的KPI是實際發生的,簡單匯總即可,用到的技術主要有:加、減、乘——可能都用不到除法!但安全面對的是不確定性,是不斷變化的攻擊面,這些簡單工具顯然不夠用。但太復雜而玄妙的,做出來可能自己也難以相信,也就很難持續。

報告:2022年至2027年間區塊鏈技術市場將增長110.4761億美元:金色財經報道,Technavio 發布的最新報告表示,2022年至2027年間區塊鏈技術市場將增長110.4761億美元,復合年增長率為32.72%。區塊鏈即服務(BaaS)的興起通過確保安全的記錄保存和透明度進一步推動了這種增長。盡管初始成本較高,但區塊鏈在減輕電網故障和確保數據安全方面的潛力繼續推動其在能源領域的采用和擴展。 歐洲地區,尤其是英國、德國和俄羅斯,將成為這一增長的焦點,對市場整體增長的貢獻率為 38%。[2023/8/11 16:19:20]

概括來說,把安全風險和成績換成錢,有以下三個困難:

1.不確定:會不會被攻擊?攻擊會不會成功?攻擊成功會不會造成實際損失?

2.太復雜:最典型的——數據泄露被媒體報道,聲譽損失要怎么算?

3.數據少:重大事件原本就少,被攻擊的公司又通常不會公開

他山之石

要想把安全風險就換成錢,而且讓別人認可,我們必須能夠克服以上這三個困難。逐個看下來,我們會發現在其他領域已經有成熟的,或者行之有效的解決方案了:

1.用概率工具和風險管理語言,解決不確定性困難。金融行業,比如保險,會面對很多不確定的問題。像地震、奧運會舉辦延期,都非常罕見。但客戶出險,保險公司作出賠償,不會因此就認為精算師工作做的不好。因為風險經過了量化,這樣的結果在預測之內。企業風險治理是另一個處理不確定的領域。在這類包含不確定性的領域,人們使用概率、數值模擬來描述這些不確定性。除了錢之外,CEO們也精通企業風險治理,這意味著用類似的語言跟他們溝通,效果更有保障。

2.分類分解,解決復雜性困難。這方面,像麥肯錫這類咨詢公司比較有經驗。把問題或者主題,按照統一的方式,分解成幾個小問題。每個小問題比較容易解決。金字塔原則,零秒思考之類名詞,都是在講怎樣高效率地把復雜、沒有頭緒的事情系統地拆解為可解決的問題。

3.提取專家經驗,解決數據少的困難。把領域專家經驗作為數值給挖掘、提取出來,可能是質量很高的數據。人們平時很少用數字去思考,但能安全的在馬路上穿行,說明了大腦中各種信息的有效性。這涉及認知科學,得從相關文獻里找工具。但也有咨詢公司做過不少嘗試,效果可能超出你我預期。

如果你碰巧對以上幾個方面都有研究,可以嘗試把它們組合起來,應用到安全領域,設計一個安全風險量化方案出來。但現在有一個現成的——已經有人組合了這么一套框架出來,對自己搭框架也會有借鑒意義。

ParaSpace創始人:48小時內將發布詳細鏈上數據及完整事后分析:5月10日消息,ParaSpace 創始人 Yubo 在社交媒體上發布相關鏈上數據,表示該數據系按計劃完成剩余 10% 的黑客債務償還的相關鏈上交易記錄,其個人將在未來 48 小時內發布每筆交易的完整事后分析,為此前被錯誤地描述為濫用用戶資金的情況做出解釋和正名。

此前報道,ParaSpace官推稱,此前從黑客攻擊中截流的資金實際被創始人Yubo控制。[2023/5/10 14:55:26]

FAIR

這個框架叫做“信息風險因子分析”,簡稱FAIR。

目前在美國,FAIR可能是應用最廣的信息安全風險量化框架:

FAIR學院的成員遍布Netflix,惠普等超過45%的美國財富1000企業;NASA、美國能源部等政府部門使用FAIR量化風險;IBM有一個知名的年度數據泄露損失報告,2021年版使用FAIR來量化數據泄露的損失;NIST2021年報告《將安全與企業風險管理整合》建議以FAIR作為量化安全風險的手段;FAIR被TheOpenGroup收錄,是目前安全風險量化唯一的國際標準。

Figure1IBM數據泄露報告2021以FAIR量化風險

可以看到,FAIR至少是在部分組織里被接受、并實際使用的。雖然FAIR執行起來需要費些腦筋,但能夠被眾多公司和機構接受,來替代簡單易行的最佳實踐、風險矩陣,應該是因為FAIR做了某些雖然麻煩、但是正確的事情。

案例:一個有問題的分析

勒索攻擊最近兩年已經成為最受關注的信息安全威脅。一個電商公司想要知道自己遭受勒索攻擊的風險。

先看一下一個過于簡單的量化是怎么做的:

1.提出問題:公司被勒索攻擊的風險?

2.風險分析:安全專家判斷:損失頻率0.01-0.1次/年,最可能是0.01次/年;經過內部討論,認為損失大小100萬-1000萬,最可能是在200萬上下

3.匯報結果:1萬-100萬/年,最可能是20萬。

從問題到求解,因為在如下幾個細節處沒有合理進行處理,使得它實際上沒法用。

問題模糊——

今天要想執行一次成功的勒索攻擊可能是要費些功夫的,如果目標有備份,那么連同備份服務器一起加密才能勒索成功。根據自己公司的情況,對手是小黑客,還是有組織的、用到了“勒索即服務”(RaaS)的團伙?兩者造成的損失發生率不同,單次損失差別可能也比較大。混在一起分析,不會有可信的結果。所以,把一個受關注的風險,拆分成幾個明確的場景是關鍵的第一步。比方說,簡單分析之后,結合自己公司的實際,你發現小黑客的風險可以忽略,把這個結論記下來;然后進一步把勒索團伙作案的勒索攻擊方法,拆分為“通過釣魚郵件入侵內網”,“通過遠程桌面暴力破解管理員密碼入侵內網”兩種場景;這兩種的發生頻率可能不同,但單次造成的損失應該是一樣的。

比特幣礦企CleanSpark將2023年哈希率展望下調近30%:金色財經報道,比特幣礦企Clean Spark(CLSK)將其2023年年底的哈希率或計算能力指導從之前的22.4EH/s下調至16exahash/s(EH/s),理由是其合作伙伴之一Lancium延遲建設采礦設施。(Coindesk)[2022/12/15 21:45:26]

問題模糊是困難2里的一個原因,FAIR這個框架的第一步是明確場景,降低復雜度。

數值由來不清楚——

這個量化方案中,把損失拆解為損失頻率和發生次數,這是沒問題的。但損失頻率是怎么定出來的?單次損失大小是怎么定出來的?有什么道理嗎?要想對一類事件發生之后涉及的損失大小有全面了解,需要多個部門的信息。安全部自己定的損失,很難經得住推敲。

FAIR對這個問題的解決方法是因子分解和引入領域專家。因素分解體現為如下一棵樹形數據結構。我們大概描述一下,風險=損失發生率*單次損失大小——這個很自然吧?如果損失發生頻率不好估計,可以進一步拆分為威脅發生率和脆弱程度,如此細分下去——圖里的每一個節點的定義,都是FAIR這個框架的一部分。但在計算一個風險時,我們通常只會到第二、三層。以筆者的理解,層數越少越好,如果能直接估計損失發生率,就不要繼續拆分——因為越向下細分,離真實、可驗證的數據越遠。

Figure2FAIR因素分解示意圖

對于用到的節點,如果數據充分,我們可以直接用,這是理想狀態。但前面提到的困難3,僅有的還可能不準確。比如勒索,同行業有很多公司,但實際中了勒索可能很少;選擇公開的會更少。這時候專家經驗就會發揮作用,但需要把準確的信息提取出來。

另外,上述提到損失會有多種。在對已知事件的歸納總結基礎上,FAIR把損失類型分為六種,從而任何事件,按照這六種逐個分析就可以。

(1)生產力:典型的像可用性受到破壞,業務中斷或降級,都會影響營收

(2)響應:發生安全事件,安全團隊,業務、HR、客服、公關部門都可能要出人手應對。在此期間,這些人無法進行日常工作,構成響應費用

(3)替換:員工因惡意泄露信息被開除,需要新招聘員工

(4)競爭優勢:核心數據泄露,并購信息泄露等,造成競爭中的被動

新加坡向MetaComp頒發支付機構許可證:金色財經報道,新加坡金融管理局(\"MAS\")已向MetaComp私人有限公司頒發了許可證。Ltd. (f.k.a. Cyberdyne Tech Services Pte. Ltd.)獲得許可,以主要支付機構的身份提供數字支付代幣服務。

自2022年12月起,MetaComp獲得了《支付服務法》頒發的許可證,使其能夠向企業以及傳統和加密原生機構投資者提供一套整體的、端到端的數字資產服務,并使其能夠為客戶安全地彌合傳統金融和加密資產之間的差距。(finextra)[2022/12/1 21:15:21]

(5)法律處罰:比如數據泄露被罰款

(6)聲譽:股價下跌;融資成本上升;員工留存或招聘的成本上升等

現在你只需要相信,任何損失都可以不重也不漏地分解為這六種形式就好了。換句話說,按照這六個方向思考,可以把可能出現的損失都算進來。

把損失分解開之后,就可以進行數據采集了。如果有公司自身的歷史數據最好,否則就需要借助專家經驗,這是為什么需要安全同HR、法務、業務各領域專家充分溝通。比如HR專家幾乎一定聽說甚至參與過員工違規事件的處理,對這方面的損失有更合理的預期。FAIR將專家估計等同于數據,因此如何將專家的估計提取為數字顯得至關重要,稍后我們會詳細介紹方法。

總結一下,這里涉及的困難是損失分析起來涉及方面太多,以及數據太少,而FAIR的對策是因素分解,以及引入相關領域專家。另外需要注意關鍵一點,在每一個估計結果處做好記錄,即為什么這么估計?比如,為什么忽略小黑客們勒索的威脅?

這樣,因為有明確的場景,每個分解都對應著確切的概念,數據采集過程有詳細記錄,同時估計結果由利益相關方的專家給出,結果就能經得住挑戰和復盤。

然后我們繼續分析前述過于簡單量化方案中的第三個問題。

Figure3一個過于簡單、問題多多的量化流程

結果匯總——

這里并沒有明顯的問題。實際計算中,因為每個場景對應多類可能損失,各損失對應的風險值也都以一定的形式彌散在某個范圍內。將隨機變量整合起來,沒有簡單的解析辦法。

Web3基金會公布第15期資助項目名單,37個項目入選:10月14日,據官方消息,Web3基金會近日公布第15期(Wave 15)資助項目名單,涵蓋用戶界面、鏈和Pallet、ink智能合約、工具、API和語言、研究、錢包等領域。

Polkadot js plus、Blockcoders、QRUCIAL Oü、Lee、Standard Protocol、Common Orbit LLC: Rust、Equilibrium、LimeChain、Skye Kiwi等37個項目入選。[2022/10/14 14:27:50]

Figure4FAIR的量化流程

FAIR使用數值模擬來進行結果匯總。這是一個在金融和科研中常用的手段,也應該是惟一的辦法。除了能夠解決多個風險相加的問題,它得到的是一個完整的風險分布,基于它可以很方便地得到以不同方式呈現的風險。比如損失曲線(lossexceedancecurve;圖5);風險矩陣,甚至是散點圖等。這一步有開源工具可以直接使用,只需要輸入各個范圍,就可以自動算出風險,甚至自動生成風險報告。

Figure5損失曲線

Figure6風險矩陣

Figure7模擬結果

以上通過一個反面案例,把FAIR的流程梳理了一遍。雖然看似復雜,但當分析的風險增多,你會發現有很多數據可以復用。客服的人時費用、工程師開會的人時費用、替換工程師的損失等數據,短時間內可以認為是常數;一次獲取后,可以用在很多有場景內。另外,每個場景的FAIR風險分析,半年或者一年做一次就可以。

專家知識的挖掘

報告把FAIR流程中的一個重要但人們接受起來有困難的問題,單獨做了講解。

前面提到,提取專家知識,是為了解決量化困難3。FAIR在計算中將專家估計與數據同等對待。也因此專家估計的準確性,決定了最后結果的準確性;如果專家估計不可信,那么前面這一切從一開始就不用做了。

壞消息,是我們的主觀估計通常來說是不準的。好消息,是它可以被“校準”。為此,報告中設計了一個互動環節,結果堪稱完美:參與答題的觀眾中,100%改進了估計準確度;其中更有超過40%可以認為校準至準確——通常人的估計能力是需要經過多輪校準才能達到準確的。讀者不妨也試一下。

第一次估計

寫出以下問題的答案。它們并不容易;但不知道準確答案沒關系,只需要給一個范圍即可。要求是你有90%的把握,正確答案在你給的范圍里。這些問題乍看起來和安全沒關系,反倒像是個無聊游戲。但只要花幾分鐘試一下,你會發現這種能力是可以應用到包括安全在內的所有認知領域的。現在開始。

1.天安門城樓最高處有多高?

2.北京到上海的空中距離?

3.朱自清先生《背影》的寫作時間?

4.第五套人民幣100塊錢的長邊長度?

5.第五套人民幣100塊錢的短邊長度?

6.XCON會場的經度是多少?

7.XCON會場的緯度是多少?

8.中國有多少地級市?

9.乒乓球臺有多寬?

10.諸葛亮哪一年去世?

強調一下,只要你有90%的把握,正確答案在你給的范圍里就好,比方說10m-20m。這里面可能有的問題你不清楚,甚至感覺完全沒概念。不要擔心。我們練習的目標之一,正是從“沒概念、不知道”,到能夠給出答案,并且是準確的答案。為了見證這個變化,對每一個問題,你務必要給一個范圍,不確定的話,范圍可以取大一些。最關鍵的是有勇氣,不放棄!

Figure8一個90%中獎率的轉盤抽獎

校準及第二次估計

現在我們一起對大腦的“估計系統”進行一次校準。有耐心讀到這里各位讀者,一定都是業界精英,對玄學和忽悠也會比較敏感。但你要相信,接下來的內容有理論依據,且經過了實踐的驗證。請暫時忽略頭腦中嘀嘀作響的告警信號。

首先,剛才題意是說,你有90%把握,正確答案落在你給出的范圍以內。這意味著,對于每一道題有90%的可能性你答對了。現在我們給答題加上一個贏錢的設定如果你答對了這道題,就會贏一萬塊錢。因此對于每一道題,你應該有90%的概率贏1萬塊錢,否則就沒錢。

Ok,沒有問題的話,先把這個游戲放一邊。

來想象另一個游戲,轉盤抽獎。這是一個餅狀圖,小的這個部分占10%,其余的占90%,注意,這里的刻度是準確的。12點位置有一個固定的指針。主持人撥一下轉盤讓它轉起來,如果指針最終指向綠色區域,就是大的區域,你就會贏得1萬塊錢,如果指針停在這塊小的藍色區域,就沒有錢。那么你贏的概率有多大?

——這不是腦筋急轉彎,概率也是90%。

現在,對于每一個問題,請你在“回答問題贏獎金”和“轉盤抽獎”之間選擇一個游戲。兩個游戲的贏錢概率理論上都是90%,你會選擇玩哪個?

如果是更傾向于玩轉盤游戲,那意味著你現在認為,自己所給的范圍并沒有90%的正確把握,就請調整下你的答案范圍。直到你覺得這倆游戲的勝率差不多,隨便選哪個玩都行。然后寫在第二列。如果更傾向于玩第一個游戲,也是一樣;你的大腦認為,自己所給的范圍太大了,那就縮小一下范圍。直到你覺得玩哪個游戲都一樣。

在公眾號留言“答案”即可獲取十個問題的正確答案。然后統計下兩次估計的結果。你分別答對了幾道題?也可以在文后留言告訴我們。

對原理的討論

我們完全沒有概念的東西可能非常少。至少比我們所認為的少——我們只是從來沒有用明確的數字去描述一個東西,但相關信息大腦已經編碼好。要提取這個編碼,我們需要用到一些認知科學的結論。人類的大腦有如下兩個特點:

(1)過度自信。所以才會發生“大多數司機認為自己駕駛水平高于中間水平”的事情;

(2)損失厭惡。一個“可能贏100,也可能虧100”的游戲,大部分人不會去玩。因為雖然平均來看不贏不輸,但損失100塊錢的痛苦大于贏得100塊錢的快樂,即情緒的平均值是負的;

第一次答案,我們給的范圍往往偏小;這其中部分原因是過度自信。另一個原因,則是我們更習慣給一個確切的數,即不自覺地追求“精確”(accurate)。但對于決策,準確很重要——你可以給一個對但模糊的范圍,這樣結果可能也會模糊,但最多也就是對決策用處不大而已;但給一個精確到小數點后三位的錯誤數值,一定會誤導決策。我們需要有意識地在精確和準確之間做平衡。

第二次答案中,我們加入了贏錢設定。雖然我們知道是假設,但大腦的損失厭惡能力已經激活。即便不用轉盤做輔助,準確率也會提高——我們得以用大腦的一個缺陷去對抗另一個缺陷,完成對大腦中信息的準確提取。最后,轉盤圖像可以調動視覺功能來糾正大腦對90%認知的可能的偏差。

參考資料:

1.Hubbard,D.W.,&Seiersen,R.(2016).Howtomeasureanythingincybersecurityrisk.

2.Freund,J.,&Jones,J.(2015).Measuringandmanaginginformationrisk.

3.張威等(2021).CISO進階之路:從安全工程師到首席安全官

4.NIST.(2021).IdentifyingandEstimatingCybersecurityRiskforEnterpriseRiskManagement.NationalInstituteofStandardsandTechnology,8286A,55.

5.IBMCorporation.(2021).CostofaDataBreachReport2021.IBMSecurity,1–73.

備注:

如果你對嚴謹性要求比較高,認為專家估計不能用于計算。下面是一個論證,說明專家估計和測量在表現上沒有本質區別。比如,我們所有人都是估計別人身高的專家。所以你看到我的時候,可能會估計我在1.65-1.85米之間,而且最可能是在1.75上下之類。或者是一個更小的范圍。寫出來就是1.75m+-10cm。注意,這跟拿一個尺子量在形式上是不能區分的:我們從初中物理學過,每次測量都有誤差,所以需要多次測量,最后的測量結果類似1.76m+-2cm。因此經過校準的專家估計也是一個測量系統,只是有可能精度不高。

在霧幟智能公眾號留言“答案”即可獲取文中問題的正確答案

Tags:AIRFAIRFAIAIR幣AIR價格FAIR價格FAIR幣FAI價格FAI幣

以太坊最新價格
虛擬貨幣再遇騙局?魷魚幣暴漲暴跌,投資者340萬美元被卷走!_魷魚幣:加密貨幣市場還有未來嗎知乎

前段時間,奈飛網劇《魷魚游戲》爆火。與此同時,虛擬貨幣市場誕生了一款以該品牌命名的“魷魚幣”。該幣種發布后開啟暴漲模式,過去一周內最高漲幅達2300倍,幣價達到驚人的2861.8美元.

1900/1/1 0:00:00
《保姆級教程|手把手教你流動性挖礦》_CAKE:以太坊CAKE幣

到了這一講,我們終于進入了DeFi世界的第一個“深水區”,關于流動性挖礦。對于“挖礦”這個概念,相信只要對區塊鏈有過涉獵的家人們都不陌生,最早的比特幣挖礦、萊特幣挖礦、以太坊挖礦,都是礦工要持續.

1900/1/1 0:00:00
起底跨境電商Shein:3000億估值“黑馬”虛與實_TED:LIMIT幣

來源:網易財經   出品|清流工作室   作者|梁耀丹主編|趙妍  短期之內,一家跨境電商平臺突然頻繁見諸國內外媒體.

1900/1/1 0:00:00
馬斯克推特發曹植《七步詩》很棒,但英文翻譯好爛……_馬斯克:加密貨幣市場還有未來嗎知乎

特斯拉老總、全球首富馬斯克昨天突然在他的推特上,發了一首中文詩: 定睛一看,這不是曹植的《七步詩》么…魏文帝曹丕妒忌曹植的才學,命曹植在七步之內作出一首詩,否則曹植將被處死,曹植沒走到七步.

1900/1/1 0:00:00
吉林:新騙術!注銷比特幣賬戶詐騙,請轉發給身邊所有人_比特幣:比特幣最新價格行情走勢

9月24日,人民銀行等十部門發布《關于進一步防范和處置虛擬貨幣交易炒作風險的通知》,央行再次重申無論是金融機構還是非銀行支付機構都必須“封殺”虛擬貨幣交易.

1900/1/1 0:00:00
2021年中級經濟師《經濟基礎》真題及解析完整版(10.30上午)_GDP:ABC幣

2021年中級經濟師《經濟基礎》真題答案及解析 一、單選題 下列每小題的四個選項中,只有―項是最符合題意的正確答案,多選、錯選或不選均不得分.

1900/1/1 0:00:00
ads