Normalerweise haben wir solche Probleme gemessen, indem wir die Eintrittswahrscheinlichkeit mit dem erwarteten Schaden multipliziert haben. In diesem Fall verlieren wir jedoch den Versuch, eine Zahl, die gegen Null tendiert, mit einer Zahl zu multiplizieren, die gegen unendlich tendiert, und finden eine zusammenhängende Antwort.

Leider müssen Sie dies in diesem Fall tun. Ich glaube jedoch nicht, dass diese Berechnung wirklich so schwierig ist, wie Sie es sich vorstellen.

Das Risiko kann geschätzt werden, indem zunächst geschätzt wird, wie viele Unternehmen der gleichen Sicherheitsbedrohung ausgesetzt sind und diese nicht in Kauf nehmen notwendige Vorsichtsmaßnahmen. Anschließend überfliegen Sie die Nachrichtenberichte, um zu überprüfen, wie viele Unternehmen jedes Jahr davon betroffen sind (plus eine fundierte Vermutung, wie viele von ihnen es geschafft haben, zu verhindern, dass das Chaos öffentlich wird). Teilen Sie die zweite Zahl durch die erste, und Sie haben einen Risikoprozentsatz.

Ihr Schaden tendiert nicht zur Unendlichkeit. Das Ereignis, das dem "unendlichen Schaden" am nächsten kommen würde, wäre ein Zusammenbruch des gesamten Zeit / Raum-Kontinuums des Universums (und selbst das ist ein Ereignis , bei dem Sie eine Fermi-Schätzung vornehmen könnten, um den Schaden in Dollar a zu quantifizieren >, wenn Sie gelangweilt sind und sich für Astrophysik interessieren). Der höchste Schaden, den Sie realistisch anrichten können, ist der Bankrott Ihres Unternehmens. Vielleicht könnten Sie noch mehr Schaden anrichten, wenn Sie auch Schäden berücksichtigen, die anderen Personen zugefügt wurden. Aber wenn Ihr Unternehmen bankrott ist, kann es diese Verbindlichkeiten nicht bezahlen. Sie können also das Nettovermögen des Unternehmens als Obergrenze für Ihren erwarteten Schaden verwenden.

Eine Warnung, dass diese Antwort aus der Theorie stammt, nicht aus der Erfahrung.

1. Gibt es ethische Konsequenzen hinsichtlich der Auswirkungen des schlechten Ereignisses auf andere? Wird es Ihren Benutzern schaden? Berücksichtigen Sie auch die Mitarbeiter des Unternehmens, die verletzt werden können, wenn es durch einen Angriff ruiniert wird. In diesem Fall haben Sie möglicherweise das Gefühl, eine ethische Verpflichtung zur Abschwächung zu haben.

2. Wenn Sie den Angriff abschwächen, kann Ihr Unternehmen dies als Verkaufsargument oder Wettbewerbsvorteil nutzen?

3. Die Versicherung funktioniert möglicherweise nicht, wenn der Ruf Ihres Unternehmens geschädigt wird. Eine Versicherung kann Ihnen nicht wirklich helfen, sich davon zu erholen. Es hängt davon ab, in welcher Form der Schaden auftritt. Vielleicht ist eine Versicherung eine gute Option.

4. Die Maximierung der erwarteten monetären Ergebnisse ist nicht unbedingt ein guter Weg, um Entscheidungen zu treffen, außer bei Problemen mit geringen Einsätzen. Angenommen, Sie könnten ein Risiko eingehen, bei dem eine 99% ige Chance besteht, das Unternehmen in Konkurs zu bringen, aber eine 1% ige Chance, das Nettovermögen mit 200 zu multiplizieren. "In Erwartung" verdoppeln Sie den Wert des Unternehmens, sind aber mit ziemlicher Sicherheit arbeitslos.

5. Betrachten Sie anstelle des erwarteten Werts möglicherweise Ziele wie das langfristige Überleben des Unternehmens. Wie lange erwarten Sie beispielsweise unter den beiden Optionen (mildern oder nicht), dass das Unternehmen in der Nähe ist? (a) Wenn das Unternehmen Probleme hat und eine Erhöhung des Budgets um 8% wahrscheinlich zu einem Bankrott führen wird, haben Sie keine andere Wahl, als das Problem zu ignorieren und zu hoffen, dass Sie Glück haben. Wenn es diese Zeit überlebt und gedeiht, können Sie an diesem Punkt investieren. (b) Wenn es dem Unternehmen gut geht, kann es sich anscheinend leisten, auf Nummer sicher zu gehen. (c) Wenn irgendwo in der Mitte, wird die Entscheidung aus dieser Perspektive schwierig.

6. Es scheint unwahrscheinlich, dass die höheren Schichten eine solche Entscheidung ohne ihre Eingabe oder Kontrolle wünschen würden ...

ol>

Sie sollten die Tatsache berücksichtigen, dass Ihr Team über diesen Angriffsvektor Bescheid weiß.

Wenn das einfache Wissen über die Sicherheitsanfälligkeit die Ausführung des Angriffs erleichtert, können Sie dies tun habe ein größeres Problem als du gedacht hast. (Zum Beispiel eine schwer zu findende Hintertür, die Ihrem Team bekannt ist.)

Wenn dies der Fall ist, stehen Ihre eigenen Teammitglieder ganz oben auf der Liste der Gegner, um die Sie sich Sorgen machen müssen, und der Wahrscheinlichkeit, angegriffen zu werden kann viel höher sein, als es wäre, wenn Ihr Team nichts davon wüsste.

Mitarbeiter können und werden oft verärgert. Berücksichtigen Sie dies.

Sie erhalten eine Versicherung, die dieses Risiko abdeckt. Da die Wahrscheinlichkeit sehr gering ist, ist es für Sie schwer zu beurteilen. Anstatt eine Einzelversicherung abzuschließen, versuchen Sie, diese in eine Versicherung einzubeziehen, die eher weltliche Risiken abdeckt. Grundsätzlich prüfen Sie, welche Versicherung Sie bereits haben oder wahrscheinlich benötigen, um sie am wahrscheinlichsten abzudecken. Wenn dies nicht der Fall ist, versuchen Sie, ein zusätzliches Geschäft auszuhandeln, bei dem es unter die Deckung fällt geringeres zusammenfassendes Risiko (Wahrscheinlichkeit des Ereignisses mal monetäre Kosten für die Minderung des Ereignisses) in ein höheres zusammenfassendes Risiko (Wahrscheinlichkeit des 1-fachen monetären Versicherungsaufwands) bei Umwandlung eines höheren operationellen Risikos (Wahrscheinlichkeit des Ereignisses mal endgültiger Schaden aller Folgen des Auftretens für das Geschäft) in einen niedrigeren (monetäre Versicherungskosten).

Dies ist sowohl für den Versicherungsverkäufer als auch für den Käufer nur dann sinnvoll, wenn der Schaden ohne Minderung höher ist als die Kosten der Minderung, nämlich wenn der Schaden ohne Minderung würde das fortgesetzte Geschäft kritisch gefährden.

Sie haben den richtigen Ansatz gewählt:

Normalerweise haben wir solche Probleme gemessen, indem wir die Eintrittswahrscheinlichkeit mit dem erwarteten Schaden multipliziert haben ...

und Ich bin gerade an seine Grenzen gestoßen:

Wir haben den Versuch verloren, eine Zahl, die gegen Null tendiert, mit einer Zahl zu multiplizieren, die gegen unendlich tendiert.

Ich würde sagen, dass Sie vor uns stehen Ein inakzeptables Risiko ( könnte die Geschäftstätigkeit des Unternehmens erheblich beeinträchtigen und möglicherweise das gesamte Unternehmen ruinieren ) mit einem sehr geringen Vorkommen.

Meiner Meinung nach stehen Sie vor einem strategische Entscheidung. Als Teamleiter besteht Ihre Aufgabe darin, das Problem zusammen mit seinen Elementen an Ihren Chef weiterzugeben: Was passiert, wenn Ihre Organisation diesen Angriff erleidet, wie viele Angriffe in den letzten Jahren verzeichnet wurden, welche möglichen Abschwächungen für diese Angriffe möglich sind und Was kostet es? Wenn es um ein wichtiges Risiko und wichtige Kosten geht, liegt die Entscheidung normalerweise beim Hauptchef.

Ihr erster Schritt wäre eine ordnungsgemäße, quantitative Risikoanalyse. Andere Antworten haben hier bereits Hinweise gegeben. Ich möchte insbesondere die Erwähnung von "Wie man alles im Cybersicherheitsrisiko misst", einem brillanten Buch, unterstützen. Sie können FAIR auch als quantitative Methode betrachten.

Das Risikomanagement beginnt und endet jedoch nicht mit der Risikoanalyse. Insbesondere für die "Black Swan" -Risiken spielen andere Faktoren eine Rolle. Sie decken diese mit definierten Risikoappetit und Risikokriterien ab.

Ihr Unternehmen muss seinen Risikoappetit definieren wie es sich überhaupt auf Risiken bezieht (bevorzugt konservativ zu sein und Risiken zu vermeiden, bevorzugt aggressiver zu sein und Risiken zu akzeptieren usw.). Dies könnte definieren, dass Risiken, die über eine bestimmte Auswirkung hinausgehen, nicht akzeptabel sind, selbst wenn ihre Wahrscheinlichkeit oder Häufigkeit gering ist. In der Regel fallen Risiken, die das Unternehmen mit Sicherheit zerstören würden, in diese Kategorie.

Dies sind gute Kandidaten, die nach Möglichkeit über Versicherungen gemindert werden können. Das "seltene Ereignis, aber katastrophale Auswirkungen" ist das Heimatgebiet der Versicherungen.

Die zweite Definition, die Sie benötigen, sind Risikokriterien , die definieren, welche Arten von Risiken Sie nicht akzeptieren möchten ethische Gründe, Gründe der gesetzlichen Haftung oder andere. Sie könnten beispielsweise definieren, dass das Risiko für das menschliche Leben nicht akzeptabel ist, selbst wenn die Quantifizierung in den akzeptablen Bereich fällt. Oder dass eine mögliche Haftstrafe für Führungskräfte auf C-Ebene unabhängig vom quantifizierten Risikowert nicht akzeptabel ist.

Mit diesen drei Schritten - Risikoanalyse, Risikoappetit und Risikokriterien - sollten Sie ein umsetzbares Ergebnis erzielen. Ihr schwarzer Schwan ist entweder aufgrund von Appetit- oder Kriteriendefinitionen inakzeptabel, oder wenn nicht, ist es einfach ein weiteres Risiko, das wie jedes andere behandelt werden muss. Die Analyse kann aufgrund der geringen Häufigkeit und Unsicherheit bei der richtigen Schätzung besonders volatil sein. Hier kommt eine geeignete quantitative Methode ins Spiel, die a) Wertebereich und b) Vertrauen der Schätzungen berücksichtigt und Ihnen hilft . (* siehe unten)

Zum Beispiel verwende ich in der Risikoanalyse, die ich normalerweise durchführe, eine Monte-Carlo-Methode und eine meiner Ausgaben ist ein Streudiagramm aller Szenarioergebnisse. Alle schwarzen Schwäne werden als einzelne (und seltene) Ausreißer angezeigt, und ich kann sie identifizieren und im Kontext sehen.

Am Ende, insbesondere bei Risiken mit hohem Einfluss, bereiten Sie die Entscheidung vor . Jemand mit der richtigen Autorität trifft die Entscheidung auf der Grundlage Ihrer Informationen. Daher ist es Ihre Pflicht, ihnen das Gesamtbild zu vermitteln, ohne sie mit Informationen zu überladen, die für die Entscheidungsfindung nicht wichtig sind.

Noch eine Bemerkung zur Risikobehandlung . Sie können über die Analyse hinausblicken und mögliche Behandlungsoptionen prüfen. Wenn Sie mit geringem Aufwand eine Behandlung identifizieren können, die sich dramatisch auf Ihre Eingabewerte auswirkt, lohnt es sich möglicherweise, dies zu tun, um Ihre Lager näher zusammenzubringen. Wenn es beispielsweise eine Maßnahme gibt, mit der die Auswirkungen von katastrophalen Unternehmenszerstörungen auf schwerwiegende, aber überlebensfähige Maßnahmen reduziert werden und Sie Ihren schwarzen Schwan in ein regelmäßiges Risiko mit hohen Auswirkungen verwandeln können.

(*)

Da viele Menschen noch nie eine richtige quantitative Risikoanalyse gesehen haben, suchen Sie nach etwas, das nicht einen Wert als Eingabe, sondern einen Bereich und einen Formparameter verwendet. PERT ist eine Methode - Sie identifizieren den niedrigsten Wert mit vernünftiger Wahrscheinlichkeit, den höchsten Wert mit vernünftiger Wahrscheinlichkeit und den wahrscheinlichsten Wert. Auch als optimistisch-realistisch-pessimistisch bekannt. Ein anderer Ansatz besteht darin, explizit einen Konfidenzwert anzugeben, der Ihre Kurve formt. In einer Beta-Distribution wäre dies der Lambda-Wert.

Schauen Sie sich Fair-U als Beispiel an. Ich mag die FAIR-Methode sehr, aber es gibt noch andere. Akzeptieren Sie nur nicht weniger als einen geeigneten quantitativen (manchmal als statistisch bezeichneten) Ansatz, um diese schwierigeren Risikoszenarien zu lösen.

tl; dr: Wenn es um eine Sicherheitslücke geht, bedeutet eine ausreichend hohe Auswirkung, dass sie gemindert werden sollte, egal wie gering die Wahrscheinlichkeit ist. Darüber hinaus ist diese Wahrscheinlichkeit nicht statisch, sondern nimmt ständig, vielleicht radikal, zu.

Es gibt ein Buch The Black Swan: The Impact of the Highly Unwahrscheinlich von Nassim Taleb, der die meisten seiner Beispiele aus dem Finanzbereich bezieht, aber ein Buch über das Problem ist, mit dem Sie konfrontiert sind, wenn

• das Ereignis selten ist und möglicherweise fast nie stattfindet
• Wenn das Ereignis eintreten würde, wären die Auswirkungen schwerwiegend.

Das Buch enthält ein umfassendes philosophisches Argument dafür, warum einfache / allgemeine Risikobewertungsinstrumente wie Ihre "Wahrscheinlichkeit mit Auswirkungen multiplizieren" krank sind geeignet zur Bewertung der Risiken, die von solchen Extremfällen ausgehen und zu einer Unterbewertung des Risikos führen.

Taleb befürwortet die Minimierung der Exposition gegenüber Ereignissen mit hohen negativen Auswirkungen, selbst wenn die Wahrscheinlichkeit eines Ereignisses verschwindend gering ist, der richtige Schritt mildert eine potenzielle Katastrophe.

Ich mag Talebs Ideen, und ich glaube, er erwähnte auch die Cybersicherheit und wie Unternehmen unterschätzt wurden Cyber-Risiko in seinem Nachtrag zu diesem Buch, aber hier ist meine Ansicht als jemand, der zumindest ein vorübergehendes Interesse an Sicherheit hat.

Wenn Ihr Unternehmen anfällig für eine Bedrohung ist, die in freier Wildbahn aktiv ausgenutzt wird, die Die Wahrscheinlichkeit, dass dieser Angriff auf Ihr Unternehmen gerichtet wird, wächst mit der Zeit geometrisch. Angriffe verschwinden nicht, sie werden nur komplexer und einfacher zu erkennen und zu automatisieren. Was heute einige praktische Überlegungen und Manipulationen durch einen intelligenten Cracker erfordert, ist nur wenige Jahre davon entfernt, von einem Bot automatisch erkannt und ausgenutzt zu werden. Dieser Technologiesprung könnte über Nacht passieren und Sie werden am nächsten Tag pwned.

All dies bedeutet, dass im Gegensatz zu einigen eindeutigen 0-Tagen in Ihrer Anwendung die Wahrscheinlichkeit eines Angriffs in Ihrer Situation keine feste Zahl ist, sondern zunimmt. Darüber hinaus wird diese Wahrscheinlichkeit nicht stetig wachsen, sondern kann und wird wahrscheinlich schnelle Sprünge machen.

• Sprechen Sie in Bezug auf mögliche Schäden mit einigen qualifizierten Anwälten darüber, wer wie zur Rechenschaft gezogen werden könnte. Das Risiko für ein Unternehmen als Unternehmen kann auf das Nettovermögen des Unternehmens begrenzt sein. Es gibt jedoch einige Szenarien, in denen CEOs oder sogar Mitarbeiter im zivil- oder strafrechtlichen Recht persönlich haften könnten, falls dies erforderlich sein sollte kannte das Problem. (Abhängig von Ihrer Rechtsprechung natürlich. Ich denke beispielsweise über Verstöße gegen Datenschutzbestimmungen nach, um den Gewinn zu steigern.)
• Je nachdem, wie viele IT-Mitarbeiter Sie haben und was sie tun, kann ein anderer Mitarbeiter eingestellt werden Erhöhen Sie den Busfaktor Ihrer Abteilung erheblich. Sie haben klugerweise nicht erklärt, was Sie in einem öffentlichen Forum tun, aber wenn Sie einen anderen Administrator haben, können Sie möglicherweise eine Zwei-Mann-Regel für mehr Ihrer Verfahren einführen oder sich mit geplanten oder ungeplanten Abwesenheiten usw. befassen. Es könnte daher falsch sein zu sagen, dass der Umgang mit diesem Risiko 8% plus einen Mitarbeiter kostet. Es wäre eher so, als ob für 8% plus einen Mitarbeiter wir uns gegen dieses und viele andere Risiken schützen könnten.

Hier ist der Deal:

Wenn Sie nur Ihre eigenen Daten zum Schutz haben, tun Sie, was Sie wollen, aber wenn Sie andere Daten in Ihrem System haben, die möglicherweise kompromittiert sind, werden Sie eine der folgenden Aktionen ausführen Folgendes:

1. Schützen Sie die Daten mit Industriestandards oder Empfehlungen.
2. Informieren Sie Ihre Kunden / Kunden / Produkte darüber, dass Sie die Daten, die sie Ihnen anvertrauen, durch Vertrauen schützen dass Angreifer Ihre Systeme nicht angreifen.
ol>

Damit kommen Sie zu einer einfachen Schlussfolgerung: Schützen Sie Ihre Systeme so, dass Sie Ihren Kunden / Kunden / Produkten sagen können, wie Sie sind Schützen Sie ihre Daten, ohne dass sie nicht mehr Ihre Kunden / Kunden / Produkte sind.

Weniger als das und Sie betrügen Ihre Stakeholder (Dies mag überraschen, aber ja, Ihre Kunden / Kunden / Produkte, deren Daten Sie speichern, sind Stakeholder in Ihrem Unternehmen - auch normale Personen -, insbesondere wenn es um die Verfügbarkeit dieser Daten für Außenstehende geht t Diese Stakeholder möchten möglicherweise nicht, dass etwas passiert, und Sie sind dafür verantwortlich, dass die Daten angemessen geschützt sind, damit Sie ihnen nicht mitteilen, dass Sie bei der Übermittlung ihrer Daten halbe Maßnahmen zum Schutz ihrer Daten anwenden.

Darüber hinaus zu allem anderen: Lassen Sie sich nicht von einfachen Formeln blenden, die Ihre Chancen berechnen, das Ziel eines Angriffs zu sein. Das Ziel eines Angriffs wird nicht zufällig aus allen Unternehmen ausgewählt, die für einen Angriffsversuch zur Verfügung stehen (eine naive statistische Analyse würde diese Liste verwenden, um die statistische Wahrscheinlichkeit eines Angriffs zu ermitteln), sondern es wird eines (möglicherweise auch ALL). aus der Liste der für den Angriff anfälligen Unternehmen.

Dies kann zu der Illusion führen, dass Sie sich nicht die Mühe machen müssen, sich selbst zu schützen, weil die Chance, das Ziel zu sein, so gering ist. In Wirklichkeit stellen Sie sich jedoch nur in die Risikogruppe der gefährdeten Ziele und können es unmöglich wissen Ihre tatsächlichen Chancen, ein Ziel zu sein, da Unternehmen (aus offensichtlichen Gründen) nicht genau für ihre Verteidigungsstufe werben. Wenn dieses Konzept schwer zu verstehen ist, stellen Sie sich das folgende Szenario vor: Von 100 Unternehmen wird jedes Jahr 1 Unternehmen erfolgreich angegriffen. 90 dieser Unternehmen verwenden, ohne dass Sie es wissen, einen starken Schutz vor Angriffen, und Angreifer lassen sie einfach in Ruhe, nachdem sie versucht haben, sie anzugreifen. Fast alle erfolgreichen Angriffe richten sich gegen die verbleibenden 10 Unternehmen, die halbe Sachen anwenden. Als Neuling in dieser Szene sehen Sie sich die Statistiken an und stellen fest, dass Sie Ihre Systeme nicht schützen müssen, da Ihr Unternehmen nur mit einer Wahrscheinlichkeit von 1/100 angegriffen werden kann, wenn Ihre Änderungen in Wirklichkeit 0 sind, wenn Sie verwenden starken Schutz und 1 zu 11, wenn Sie halbe Sachen verwenden. Ihre interne Berechnung des Risikos wäre völliger Müll.

TLDR; Sie können keine statistische Analyse durchführen, ob Sie Ihre Systeme schützen sollen oder nicht, da Sie nicht über genügend Informationen verfügen, um dies zu tun. Sie sollten dies so tun, dass Sie Ihren Stakeholdern mitteilen können (dh sicherstellen, dass sie diese verstehen und die Informationen nicht vor ihnen verbergen), was Sie tun, um ihre Daten zu schützen, und sie nicht zu einem anderen Dienstanbieter wechseln.

Als Ingenieur, der viel Zeit mit sicherheitsrelevanten Arbeiten verbracht hat, möchten Sie sich wahrscheinlich mit FMEA befassen. Die FMEA wendet die von Ihnen beschriebene "Multiplikations" -Methode an, gruppiert jedoch vor der Multiplikation Bereiche mit Effekt- / Wahrscheinlichkeits- / Erkennungsraten. Diese Bereiche sind genau definiert. Wenn Sie also eine Vorstellung von diesen Wahrscheinlichkeiten haben, können Sie einen zuverlässigen RPN-Wert aus dem System herausholen.

Natürlich müssen Sie das Ausgeben des Geldes noch rechtfertigen! Aber zumindest haben Sie Ihre Risiken offiziell identifiziert.

Ich werde Ihnen eine ganz andere Antwort geben.

Ich denke, Sie bewerten dies völlig falsch. Ich weiß nicht, wie Sie auf ein Risiko / eine Schwachstelle gekommen sind, für deren Verwaltung ziemlich spezifische (und sehr hohe) Geldkosten und Vollzeitstellen erforderlich sind, aber das klingt so, als würden Sie mit einem bestimmten Tool verkauft, um ein Problem zu lösen / p>

Wenn die Kosten von 8% aus der Kenntnis der Lizenzkosten eines Tools stammen oder die Vollzeitstelle für die Verwaltung eines Tools erforderlich ist (z. B. "unser EDR-Typ") ... Ich meine, es gibt keine Tool da draußen, das ein Risiko von selbst auflöst.

Wenn die hohen Kosten Sie zurückhalten, anstatt Zeit damit zu verbringen, das Risiko als Forderung nach Ausgaben zu rechtfertigen, warum nicht prüfen? die Grundursache und wie Sie sie mit geringerem Aufwand lösen können. EDR, DLP ... es gibt keinen Sicherheitsbereich (oder keine Sicherheitslücke), in dem eine Lösung mit einem Kosten verfügbar ist.

Die Industrie nähert sich den meisten Entscheidungen zu „Risikokontrollinvestitionen“ mit „Quantitativer Analyse“. Die folgenden Methoden sind die Standardmethode für diese Analyse. Die folgende Tabelle zeigt die Matrizen, die während dieses Entscheidungsprozesses verwendet werden.

Das Folgende ist nur ein Beispiel, um zu zeigen, wie es geht Wenden Sie die folgenden Formeln an:

Nehmen wir an, Ihr Unternehmen verkauft Mobiltelefone online und hat viele Denial-of-Service-Angriffe (DoS) erlitten. Ihr Unternehmen erzielt einen durchschnittlichen Gewinn von 30.000 USD pro Woche, und ein typischer DoS-Angriff senkt den Umsatz um 50%. Sie erleiden durchschnittlich sieben DoS-Angriffe pro Jahr. Ein DoS-Minderungsdienst ist für eine Abonnementgebühr von 15.000 USD / Monat verfügbar. Sie haben diesen Dienst getestet und glauben, dass er die Angriffe abschwächen wird. Die Frage ist, ob es sich lohnt, diesen Service in Anspruch zu nehmen und das Risiko zu mindern oder das Risiko zu akzeptieren und nichts zu tun.

Lassen Sie uns die Analyse durchführen:

AV = 40.000 USD

EF = 50%

SLE = AV * EF = 20.000 USD

ARO = 7

ALE = SLE * ARO = 140.000 USD

TCO (1 Jahr) = DDoS-Abonnement * 12 Monate = 180.000 USD

ROI (1 Jahr) = ALE - TCO = - 40.000 USD (negativ)

Da der ROI beträgt negativ (- 40.000 USD pro Jahr), können Sie mit Fakten zu einer Entscheidung empfehlen, nicht in die Risikominderung (in diesem Fall Anti-DDoS-Abonnement) zu investieren und das Risiko zu akzeptieren.

Hinweis: Im praktischen Szenario müssen Sie dies möglicherweise auch anhand der Auswirkungen anderer Werte bewerten (z. B. Markenreputationsschaden usw.).

Siehe: https://resources.infosecinstitute.com/quantitative-risk-analysis/#gref

Daher zu Ihrem Fall, wenn Sie Wenn Sie AV, EF, ARO usw. identifizieren können, können Sie Ihre Entscheidung (zumindest ungefähr) mit f unterstützen handelt.

Auch wenn bei einer sehr geringen Wahrscheinlichkeit (beispielsweise für das Floor-Risiko beträgt die ARO 0,001) die Auswirkungen sehr hoch sein könnten (10.000.000 USD) und der ALE beträchtlich hoch wäre. Wenn Ihre Kosten für die Schadensbegrenzungskontrolle geringer sind, können Sie mit der Bereitstellung der Schadensbegrenzungskontrolle mit Fakten fortfahren.

Simulation ist eine Technik, die dazu beitragen kann, eine stärkere Intuition für strategische Fragen zu entwickeln, bei denen eine erhebliche Unsicherheit besteht.

Im Kontext der Frage ist ein einfacher Einstieg:

1. Wählen Sie eine Reihe unterschiedlicher Zeitrahmen aus, basierend auf der Entscheidungsflexibilität des Unternehmens. Das heißt, wenn die Organisation in einem Zeitraum von 06.03.12 Entscheidungen zu diesem Thema treffen kann, planen Sie, Modelle für jeden dieser Zeiträume auszuführen.

2. Arbeiten Sie mit Kollegen zusammen, um Daten zu sammeln, mit denen Daten zur Eintrittswahrscheinlichkeit innerhalb eines bestimmten Zeitrahmens, zu den Kosten der Schadensminderung und zu den Kosten der Auswirkungen erstellt werden können.

   Eine der anderen Antworten beschreibt einen vernünftigen Prozess, um dies zu tun: Holen Sie sich eine Liste von Kollegen, sprechen Sie mit ihnen / studieren Sie Nachrichten, um festzustellen, ob / wann sie einen ähnlichen Angriff gesehen haben, und erfahren Sie, was sie zur Abschwächung ausgegeben haben / vermeiden, oder wie viel sie für Reaktion und Kosten der Auswirkungen ausgegeben haben.

   Es wird inhärente Probleme mit diesen Daten geben, aber das ist in Ordnung. Die Simulation hilft bei der Lösung dieser Probleme.

3. Erstellen Sie für jeden Zeitraum eine Tabelle mit:

   • Wirkungsbereich von Minimum bis Maximum mit 90% iger Sicherheit ( IOW - Der Experte ist zu 90% davon überzeugt, dass die Kosten für die Auswirkungen zwischen der minimalen und der maximalen Wahrscheinlichkeit des Auftretens des jeweiligen Vorfalls innerhalb des Zeitrahmens liegen.

   Verwenden Sie die Daten, die von Kollegen gesammelt wurden, um eine Reihe von Wahrscheinlichkeiten und Wirkungskostenbereichen zu ermitteln und eine bestimmte Wahrscheinlichkeit und einen bestimmten Bereich auszuwählen.

4. Mit diesen minimalen Daten, die in eine Tabelle eingegeben werden, Verwenden Sie die Zufallszahlengenerierung, um zwei weitere Zellen zu erzeugen:

5. Tritt das Problem tatsächlich auf
6. Wenn es auftritt, welche finanziellen Auswirkungen hat es

Diese Randomisierung einmal durchzuführen ist ein Versuch. Verdrahten Sie die Tabelle neu, damit Sie 10.000 oder 100.000 Versuche ausführen und alle Ergebnisse dieser Versuche sammeln und grafisch darstellen können.

7. Wiederholen Sie dies mit unterschiedlichen Wahrscheinlichkeiten und Wirkungsbereichen, die unterschiedliche Interpretationen der vom Peer gesammelten Daten widerspiegeln, und wiederholen Sie dies für unterschiedliche Zeiträume.

ol>

An einem bestimmten Punkt muss man nur noch einen Anruf tätigen, aber eine gezielte Simulation mit Visualisierung kann Annahmen und Implikationen auf eine Weise beleuchten, die ein kontinuierliches Durchlaufen des Raums im Diskussionsmodus nicht kann.

Diese und viel ausgefeiltere Simulationstechniken für die Risikobewertung in Compsec werden in einem großartigen Buch behandelt:

So messen Sie alles im Cybersicherheitsrisiko

https://www.amazon.com/How-Measure-Anything-Cybersecurity-Risk-ebook/dp/B01J4XYM16/ https://www.howtomeasureanything.com/ Cybersicherheit /

• Haben Sie nicht die Alternative, nur (dh nur) einen Wiederherstellungsplan und -prozess zu haben, falls der betreffende Angriff stattfindet - sozusagen ein Backup?

Nachdem Sie das gesagt haben… von Ihre Formulierung sieht so aus, als könnten Sie einen Angriff dieser Art erleiden, ohne es zu wissen, es sei denn, Sie geben Geld aus, um ihn erkennen zu können. … Vielleicht ist das Vorstehende ein nichtiges Konzept.

• Subjektiver sieht es so aus, als ob dies das Standardmerkmal (und unglaublich ärgerlich) schwieriger Entscheidungen ist, da es sich um Unbekannte handelt. Wenn Sie X wüssten (in diesem Fall, dass ein Angriff stattfinden würde / nicht), würden Sie sicherlich Y tun (in diesem Fall viel Geld für einen Zähler ausgeben oder nicht). Manchmal kann es hilfreich sein zu erkennen, dass Sie wirklich nicht über die Informationen verfügen, die Sie benötigen, um zu informieren, in welche Richtung Sie springen. Dann wirfst du eine Münze und springst… anstatt viel Energie zu verbrauchen, um deine Hände zu wringen. (In extremen Situationen neigen Menschen dazu, sich auf der Grundlage zu verhalten, dass die Eventualität das ist, was sie sich erhoffen, wie unwahrscheinlich es auch sein mag.)

Für Ihre Mitarbeiter ist es wertvoll, nur eine zu haben Person, die die Verantwortung für das dunkle Unbekannte übernimmt.

Ich möchte Will Barnwells Antwort (und dem zitierten Nassim Taleb) ein Nicken geben. Das bedeutet absolut keine Beleidigung für "umfangreiche philosophische Argumentation //" ... solche sind nicht unbedingt richtig. Das Problem für mich ist, dass es leicht vorstellbar ist, dass es innerhalb weniger Jahre zwei bis drei dieser Bestien geben könnte, was bedeutet, dass die Kosten für Gegenmaßnahmen von erheblich auf lähmend steigen. Unabhängig davon… wenn das Risiko vernünftigerweise voraussichtlich steigen wird, ändert dies die (gegebenen) Parameter der Entscheidung.

Auf der einen Seite haben wir die Kosten des Angriffs. Wie Philipp bemerkt hat, gibt es ein Maximum, das durch den Wert des Unternehmens festgelegt wird; Es wäre falsch, 10 Millionen Dollar für den Wiederaufbau eines Unternehmens auszugeben, das nur 1 Million Dollar wert ist. Leider werden die Gesamtkosten für die Kunden des Unternehmens ignoriert. Während es für ein Unternehmen mit 1 Mio. USD nicht sinnvoll ist, ein potenzielles Problem mit mehr als seinem eigenen Wert zu bewerten, bleibt es wahr, dass die Bedeutung des Problems leicht (sagen wir) 50 Mio. USD betragen könnte.

Auf der anderen Seite gibt es die Größe des Risikos. Auch hier könnte ein Buchhalter (sozusagen) einfach herausfinden, wie viele Unternehmen für den betreffenden Angriffstyp anfällig sind und wie viele davon in den letzten Jahren jeweils getroffen wurden, und daraus direkt eine Wahrscheinlichkeit ableiten Jedes Unternehmen wird in einem bestimmten Jahr getroffen. Eine etwas ausgefeiltere Version würde eine Schätzung der Anzahl der Treffer beinhalten und es schaffen, sie geheim zu halten - sofern dies vernünftigerweise möglich ist. Eine noch ausgefeiltere Version würde herausfinden, wie viele dieser Unternehmen es wert waren, angegriffen zu werden. Dies kann die Frage beinhalten, ob sie einzeln Gegenmaßnahmen ergriffen haben oder nicht geheim… und ist bis zu einem gewissen Grad einem Angreifer bekannt.

Dann besteht die Möglichkeit, dass auf der einen Seite eine clevere, billige Verteidigung verfügbar wird und auf der anderen Seite die Angreifer in fünf Jahren mehr oder weniger motiviert oder zahlreich sind oder Möglicherweise finden Sie eine Sicherheitsanfälligkeit in einer Teilmenge der möglichen Ziele usw. Ferner kann sich herausstellen, dass einige Unternehmen auf diese oder eine ähnliche Weise angegriffen werden und es nicht wissen (und einige könnten es nach dem Ereignis herausfinden, wenn überhaupt).

Ferner besteht das kumulative Risiko. Es ist sehr gut, das Risiko als Jahreszahl zu berechnen, wenn das Risiko angemessen hoch ist und die Frage lautet, wie viel für die Verhinderung und Minderung des Risikos ausgegeben werden muss. Wenn umgekehrt der Effekt dazu neigen würde, das gesamte Unternehmen auszuschalten, ist eine annualisierte Zahl von geringerer Bedeutung.

Das OP sagte, dass diese Art von Angriff selten ist, aber tatsächlich vorkommt. Der ganze Grund, warum OP auf dieser Website eine Frage gestellt hat, ist, dass das Risiko nicht verschwindend gering ist und dass das Risiko nicht hoch genug ist, um als selbstverständlich angesehen zu werden.

Stellen wir uns vor, das Unternehmen beschließt, nichts zu tun. Nehmen wir weiter an, dass dies objektiv vernünftig ist (für einen idealen Beobachter). Wenn es in ein paar Jahren getroffen wird, werden die Kosten nicht nur für das Unternehmen, sondern auch für viele seiner Kunden verheerend sein (ich nehme an). Es besteht die Gefahr, dass dies nicht verschwindet und möglicherweise nicht trivial klein ist.

Stellen wir uns umgekehrt vor, dass das Unternehmen beschließt, erhebliche Geldbeträge für die Verhinderung und Abschwächung dieses Angriffs auszugeben, und dass dies wiederum vernünftig ist. Wenn es niemals getroffen wird, sind die Kosten (der Prävention) signifikant bis sehr signifikant. Es bestand die Gefahr, angegriffen zu werden, aber es war sehr gering, und das Geld sieht nach einem erheblichen Verlust aus.

Schließlich gibt es den möglichen Quasi-Catch-22, den die Angreifer sehen und woanders suchen, wenn es Gegenmaßnahmen gibt, und umgekehrt.

Ich könnte auch bemerken, dass der Erhalt einer Versicherungsauszahlung, die (sagen wir) dem (Buchhaltungs-) Wert des Geschäfts entspricht, das Problem nicht beheben kann, wenn das Lebenselixier des Geschäfts - Daten - verloren geht oder sonst kompromittiert.

Wenn wir das Problem leicht umformulieren, um festzustellen, dass Sie in diesem Fall arbeitslos sind (und es scheint), und dieses Problem zu mindern, bedeutet, die IT-Ausgaben des Unternehmens leicht zu erhöhen Die Antwort ist etwas einfacher zu finden.

dh Wenn ich das nicht tue und es passiert, bin ich arbeitslos (möglicherweise mit dem Ruf in Trümmern). Wenn Sie etwas dagegen unternehmen, muss Ihr Unternehmen etwas mehr Geld bezahlen.

Scheint mir ein Kinderspiel zu sein.