web-dev-qa-db-ja.com

デスクトップマシンが危険にさらされる確率はどのくらいですか?

セキュリティ対策の正式な費用対効果分析を行いたいので、デスクトップマシンが危険にさらされる可能性/頻度に関する詳細な統計を探しています(これを回避する方法の推奨ではありません)。これは、特定の資産の管理状況、実施されているセキュリティ制御、および攻撃の性質によって影響が大幅に異なることによって大きく変わることを理解していますが、現在、ベンダーの宣伝以外には何もすることがありません。

私のグーグルでは、妥協を回避する方法についての同じアドバイスを含む数千の記事だけが表示されます。

これは正確ですが ここで質問されます 答えが見当たりません。

statistics
2
symcbean

デスクトップの妥協に関する「厳密な統計」はありません。妥協が生じた限られた状況についてのケーススタディと研究しかありません。しかし、そのデータは他のコンテキストで推論を行うのに役立ちません。

ケーススタディと「ベンダープロパガンダ」は、限られたシステムのセットを研究し、過去の結果を比較します。これは、システムが同じコンテキストにあり、同じユーザー、脅威、プロセスなどを持っている場合に最適です。説明として混乱するため、異なる結果を持つ同じコンテキストにシステムを含めることはありません。

これをグーグルできず、信頼できるデータセットを取得できない理由があります。関係する要因の数は非常に多く、相互に関連しており(ある要因が別の要因に影響を与える可能性があります)、要因と結果の間に線形因果関係がないことがよくあります。これは「複雑な問題」です(「邪悪な問題」とも呼ばれます)。

確率とコスト/利益分析は、安定したシステムに依存します。情報セキュリティの問題は、安定したデジタルシステムが珍しいことです。デジタルシステムは更新のたびに複雑化し、パッチはシステムの機能を変更し、システムコンテキストは変化し、人々はシステムを使用および保守し、システムに対する外部の脅威は知覚的で適応的です。これらの各要因は、計算の基礎となる基準を変更します。

形式的な確率アプローチを使用して確率計算により近づく方法があります。そして、あなたはそのために サイバーセキュリティリスクのあらゆるものを測定する方法 を読みたくなるでしょう。しかし、著者は、システムとそのコンテキストが偏差を心配するほど十分に変化しないというアプローチを採用しています。私はそれを普遍的な前提として議論します。それは、私が働いたことのあるコンテキストではなく、いくつかのコンテキストで本当です。

分析をシステムの安定した形式に制限すると、システムの状態とコンテキストの計算がなくなり、存在しなくなります。次に何をするかの意思決定支援として機能的に役に立たない派手な回答。

実行したい分析を行うには:

  1. コンテキストでシステムを分析して、既知の限定された原因/結果コンテキストと線形である要因を特定します。あなたにとって線形であるものは、別の組織では線形ではない可能性があります(そして、あなたにとって線形であるものは、時間とともに変化する可能性があります)。次に、それらの確率を計算します。
  2. 次に、非線形コンテキスト、複雑なコンテキストを識別し、システムとコンテキストを知っている多くの人々に意見を聞いてもらう必要があります。複雑なコンテキストでは、確率の線形計算を使用できません。視点が必要です。次に、それらの意見を経時的に追跡します。

費用対効果の予測分析を実行できなくなる可能性は非常に現実的であり、遡及的な分析のみが可能です。それを知ることは非常に重要です。

この問題の詳細については、次を参照してください。

  • MITのDr Nancy Leveson -影響と可能性が本質的に予測できない社会技術システムには複雑さのしきい値があると彼女は主張します
  • デイビッド・スノーデン博士- Cynefin Framework の作成者であり、線形と非線形の混合であるコンテキストを理解する(そしてそれについて何をするか)
  • WEFの「 サイバーリスクの定量化に向けて 」-「バリューアットリスク」アプローチを促進します。これは、履歴データを平均化していくつかの有用な推論を行うための素晴らしい方法です。
  • 私もこの分野で数年間仕事をしてきました。 私の最初のスライドデッキ 6年前に同じ質問をした後。

スライドデッキでは、いくつかのフレームワークがこの問題にどのように取り組むかを説明しています。

  • COSO
  • ISO 31000/ISO 27005
  • NIST 800-39
  • リスクIT
  • 公正
  • OCTAVEアレグロ

米国政府説明責任局 (GAO)は問題について これは言う を持っています:

「情報セキュリティリスク要因に関連する可能性とコストに関するデータは制限されていることが多く、リスク要因は常に変化しているため、情報セキュリティリスクを確実に評価することは、他のタイプのリスクを評価するよりも困難になる場合があります。」

「正確な情報が入手できたとしても、テクノロジーの急速な変化と侵入者になるために利用できるツールの改善などの要因により、すぐに古くなるでしょう。」

1
schroeder

これは興味深い質問だと思います。上記の以前のコメントにも同意します。

また、あなたは間違った側面に焦点を合わせていると感じています。説明が多すぎるため、すべての発生率を得ることができません。

私はあなたのネットワークを見て、その弱点を特定してから、リスク要因、その特定のリスクが発生する可能性のあるフードを評価してから、ARO-年間発生率を計算することをお勧めします。

上記を実際の過去のインシデントのコンパイル済みリストと相互参照して、現在の場所、これらのインシデントが発生する頻度、直面するリスク、およびそれらに対処するために必要なことのロードマップを提供することができます。

それはあなたが考える必要があると私が信じているものの非常に基本的な始まりです。インシデントレスポンスプランを作成したいようです。私が会社で読んでいる標準の1つは、NIST 800-61です。ISO標準はすばらしいですが、ペイウォールの背後に隠れています。一方、NIST 800-61は、インシデント対応のための非常に優れた基盤を提供します。

NIST 800-61: https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final

お役に立てれば!

0
Shaundor