觀點

安全就是:量了又量,測了又測

2005 / 03 / 14
Pete Lindstrom
安全就是:量了又量,測了又測

針對這個難題,可以透過資安矩陣(security metrics)進行量化–不管是資安政策,還是作業程序,亦或是資訊資產的量測–我認為,這會是很多人想要知道的答案!資安專家長期渴望有一個神奇的式子,只消填填數字便能算出資安風險和成效,接著,企業就會減低所冒的風險。事實上,資安量化過程可沒這麼簡單! 量測資安是要運用一些常識來判斷的!資安管理者要決定量測的項目為何?並將所測得的數值集合起來,並賦予所要代表的意涵,接下來,請建立一個具可重覆執行性的公式,好讓我們可以快速了解目前的資安狀態外,還能看到它變化的情況。

在本文之中,我們會定義出資安矩陣的根本元素,教導貴企業的資安人員運用這些因子,對企業內部資安程序進行量化動作。我相信在研讀之後,你會對資安矩陣的情形有較深刻的概念,並且理解如何分配這些資料以強化在量測上面的成效。
找出資訊資產的價值
企業通常都會賦予資訊資產一個價值(管他是硬體設備也好,軟體也罷,甚至是寶貴的資料),好彰顯出IT項目的建置費用。而企業也會依據一項設備的價格,希望它能為自己帶來預期中的利潤回饋—要不然,起碼在使用年限之內,達到此項資產設備之總體成本(TCO,Total Cost of Ownership)的平損點。

在這前題下,我們可以計算一下所有資訊資產的最小總值–其實也就等同企業每年花在IT上面的費用(像是人事薪資、作業費用,以及維護費用等),再加上資訊資產(軟硬體皆包含在內)的折舊或是分期攤還的成本而已。像是一套值2,000萬的ERP系統,最起碼在它的使用年限內所回收的利潤就要達到這個價值吧? 但是,每項計算都得要有一個道理在才行,這也就是為什麼我們對資訊資產的量測要有客觀的評估和比較的原因了。下列會列舉資訊資產分類的方式:

產值層面
一項資訊資產價值,應當要包含建置費用、維護費用和使用成本。就單拿一台PC來講,最基本的開銷就是購置PC的費用,再加上內含的軟體價值,還有IT部門的經常性費用(例如像是設置問題求助台),以及人員薪資。稍後再提及資產產值對資安矩陣的必要性!

另外,計算一個IT人員的資安產值,則是用個人的年薪,再加上所屬設備的TCO值,會貢獻在資安上頭的工時比例。

報酬層面
就某部分資訊資產來講,其價值的量測會落在交易的層面上。舉例:假若企業的e-commerce系統每天可以有一億元的交易量,那麼,以一年來計算的話,它就值365億!

不過,並非所有收入都可以算的這樣清清楚楚。像是生產還是控制設備之類的供應鏈系統,並未帶來任何的收益效果,但要是沒了它們,連帶地,那些可以幫企業賺錢的資產可就一點作用也沒有了。所以要量測它們的價值所在,通常就是要看當其停止運作時,會造成企業多少的損失來決定。

而一項純粹資訊資產的報酬更是不大容易去估算,像是軟體、音樂、影片,還是數位檔案等,因為這類東西都可以完全地被複製出來,所以此類資產經過銷售多次之後,所獲得的報酬會高過它們原先所賦予的價值才對,在這邊,我們可以參照過去的資料和銷售方面的資訊,來看待這些待售資產的價值。

流動性金融資產層面
金融機構那些有點誇大的資產統計數字,其實也是一個可以對其流動資產一目了然的方式。舉例來說,要是有一億元的資產受到托管的話,這個數還要再加上資產的產值,才能算是真正的資產總值。當你這樣做時,其實就是已經在計算交易類資產的總價值了。

智財權層面
最難計算價值的,我看就屬智財權這類資產了!一般說來,這也是公司涉入商業活動的「理由」之一。總會有書籍用複雜無比的公式來教導你計算智財權的價值,然而,如果將智財權視為是公司的一項市值(market capitalization)資產,那算起來豈不是簡單的多?所以要計算智財權的資產,可以將各項資產的資產市值(market capitalization)和資產淨值(book value)的差額累加起來,得出的總金額就是智財權的總值。

估算潛在性損失
推估潛在性損失跟計算資產價值是有些許不同的!資訊資產在一般的認知裡面,並不會有所「損失」–其實就因為它們仍然持續運作的緣故,也因此可能會喪失掉少部分(甚至更大)的價值。某些資訊,像是美國的社會福利安全號碼,對企業來講,原本就沒有多大的存在價值;而音樂檔案則在歷經多次變賣之後,比起其票面價值(face value)來講,會承受較大的資產價值損失,原因就在於潛在性利潤的緣故。所以資訊的存在價值是有其時空背景在的。

雖然資訊資產本身的價值有連帶關係,但卻不緊密,我們可以直接將它記入損失的項目當中;所以當計算潛在性損失時,我們必須思索以下五個層面的損害情形:

1.資料機密性損害(Confidentiality breaches)
當極具價值的資料(例如商業機密或是金融資料)直接自儲存裝置讀取,或者遭未授權方藉由網路探得,又或者經由內部洩露給第三者知情。

2.資料完整性損害(Integrity breaches)
當資料在傳輸或未動作時遭竄改,通常這種情況伴隨在交易之中,會表現出不正常的交易量或是幣值。

3.資料可用性損害(Availability breaches)
當資料遭刪除或使其無法使用。

4.資料產能損害(Productivity breaches)
當資料源頭遭斷絕所發生的損害情形,諸如e-mail伺服器遭圾垃郵件塞爆。

5.責任性損害(Liability breaches)
當系統仍持續運作而資料也在可取得的情況下,兩者被誤用。也許是員工利用企業資源架設色情網站,或者駭客入侵,將偷來的影片存放在受害機器上面。

決定資訊資產價值,可以讓企業只專注於真正必要的資安身上,並且得以作出適當的資源配置。可是,會有價值減損的不只是資訊資產而已!隨事件而來的顯性和隱性成本也要通通納入考慮才行。事已件成本除了包括所喪失的資產價值以外,應當還要涵蓋與此事件有特定關聯性的成本,例如:IT產能、訴訟費用以及間接成本(regulatory cost)等。

一個事件以及其所造成的嚴重性,可以用與其損害類型相關聯的價值型態估算出來。舉例,假若企業網路遭蠕蟲襲擊以致癱瘓的話,那麼就產生了所謂的資料可用性損害和資料產能損害兩種情形,同樣地,這也影響到了企業網路上的每樣事物–產能絕對受影響,也許還要加上盈收呢?所以總損失就等同於失掉的產能,加上盈收,再加上與IT產能和訴訟費用以及間接成本(regulatory cost)三者相關聯的事件成本。

對於潛在性損失來說,目前較熱門的計算辦法是用年預期損失(ALE,Annual Loss Expectancy),所以要估計預期損失就是用事件類型的年發生概率乘上潛在損失金額。舉例來說,如果有10%的機會會損失掉$1,000,000,那麼ALE便是$100,000。同樣地,如果在一年之中發生10個事件,共損失$10,000的話,則ALE也是$100,000。

年預期損失(ALE,Annual Loss Expectancy)只要用事件類型的年發生概率乘以潛在損失金額即可求得,目前是評估期望損失最受歡迎的方式!

很顯然地,可能性損失跟以一年內所發生事件量所產生的損失情況是不同的。有一個方法可以分野這種情形–就是將ALE歸成「再發性損失」和「特定事件損害」兩類,而以這種方式進行,配合以往的數據資料可以評估出推測的正確性。這時候,如果你發現企業遭惡意程式的襲擊,是每個月平均100件(再發性事件)的話,表示進行損失推測的時候,會有比較大的依據;就另一方面來說,要是所受攻擊的頻率再低一點,這項推測就會比較有欠準確。

評估資安經費
綜觀所有資安控管程序中,比較佔有重要地位,便是衡量資安經費和檢視資安成效。要全面量測整體企業的資安經費,會比實際上所看到的狀況還要困難的多!資安經費常常要分配給企業所屬的相關單位和部門,而這筆經費通常又跟網路事物和基礎建置費用扯在一塊兒。所以,想到要找齊資安經費並從其他預算項目挪出資安費用,光是這點,還真令人望之怯步!

不過,有個辦法可以用來整頓這種IT亂象,那就是導入作業管理制度(activity-based management)!這樣做可讓企業分級資安作業,俾使所有資安費用與之形成關聯。(我採行一個名為「資安控管作業四法則」的制度–http://www.spiresecurity.com/fourdisciplines.asp),共分四大領域:信任管理制度(包含資安政策管理、資訊安全架構、安全認證管理),辨識管理制度(包含身份辨識、用戶帳號管理、密碼重置作業),弱點管理制度(包含強化系統組態設定、弱點修補、系統存取控制),最後則是威脅管理制度(包含安全監控、威脅分析、事件通報、電腦鑑識)。只要能貫徹執行,建立起這套作業管理系統並非難事。

什麼樣子的經費資訊適合用在作業制度?答案是–每一樣的資訊都可以!我們可以將經費打散到薪資(計算個人用在資安方面的工時)、軟硬體設備,還有支援及維護成本上。

不過,在人事費用方面倒有個小問題–就是從事在資安部分的報酬要如何決定?理論上,每個IT人員都應負起資安職責才是。事實上,目的就是要估量員工貢獻在資安上面的工時,然後將這種算得的金額,當成是員工薪資中的小報酬,算法跟計算產能差不多是一樣的。而在為每位人員完成此事之後,所合計出來的費用,就是企業要花在人員身上的總資安經費了!

估算資安經費確實是不太容易,不過,給定數種方式好讓資安可以融入IT和企業帳目。最後,將人員資安工時薪資和資安軟硬體的TCO二者相加,資安管理者就可以概算出資安經費了。

將這些好處配置在作業管理模型中的各個資安活動,最簡單的方式就是依每個活動的報酬給定一段工時,當用完了,就再重新配置一次。這種報酬方式可以讓員工、部門,甚至是整個企業,用來推算每個活動中的經費。

最後,要取得與各資安活動相關的資產費用,其TCO要包含資產成本再加上維護與技術支援等費用。因為此類資產的獲利狀況是要經過若干年後才看得到的,所以將預期獲利在資產使用年限內以年為單位分攤計算。(此法與會計折舊和分年攤還的道理是一樣的)

此時,企業投在資安方面的經費,會顯現出一個鮮明的輪廓。往後,作業制度分析法將會是運用在度量資安經費方面的趨勢,它對於評估資安服務購置和計算資安的投資報酬(ROI,return on investment)都是一項絕佳的辦法。(詳見「計算資安的投資報酬」)

一測再測,降低風險
所謂的風險值,指的就是意外發生的機率問題。依照慣例,資安專家會將風險問題納入ALE裡頭。假設一次事件所產生的預期損失是$100,000,預估每十年會發生一次,從第一年到第十年的年預期損失就是$10,000。

可是,究竟哪兒個問題才是你所關心的?是10%的機率會損失$100,000,還是從1~100次的事件,總共會損失$1,000,000?其實風險就是一種見人見智的看法而已!

訂出企業所有的資安風險幾近是不可能的任務。但有個比較接近的作法,就是將風險切割化成更小單位的類型,這兒提供三個量測的方向,如下:

顯見型(Manifest risk)
這類風險是針對電腦環境下,惡意事件發生次數與總件數的比率值。至少有四種事件型態:流量(flows)、會談(sessions)、電腦指令(program commands)以及交易(transactions)。量測這類的風險,只消計算一下流量值,或者藉由以往的記錄查看惡意攻擊的事件數。

固有型(Inherent risk)
這也就是系統組態設定出了紕漏所導致的風險。查看一下組態設定檔的屬性:連接埠,目前執行的系統服務,或與這些屬性相關聯的弱點數量。

促成型(Contributory risk)
通常是指正常作業或維護之下,程序錯誤所衍生出來的資安風險。此種與系統帳戶管理程序以及弱點管理程序上有所牽連的錯誤,就是這類風險的溫床了!

使用顯見型和固有型來量測風險值有二種方式,可以把它們當成在測試防火牆的效力。藉由改變防火牆組態設定進行網路流量的觀測,所建立起來的方程式1,要可以顯示固有型風險的情況;而方程式2則是可以顯現遭阻擋的流量在總流量上面的比例。

即使有這三樣法寶,你仍舊得去測定資安事件發生的頻率。首要任務,就是利用過去的資料來預測未來。舉例來說,要是我們可以參考過去入侵偵測的資料來識別惡意流量,這樣就等同於計算完總流量數,而我們可以依此推斷未來的風險。 不過,在這些數值具參考價值前,恐怕還得等上一段時間才行,也許有些數據根本就連參考作用也沒有。可是,這種方式仍舊存在著一些好處:即使就連一次惡意攻擊都沒有,這也可以作為是網路的安全暴露指標(exposure)。

指標作用是意謂著一種資安情況發生的可能性,而非機率。暴露指標可以在一個網路作業環境裡,或者在企業之間作相對比較而得到。事實上,對規模大小相仿的企業,我們可以指定資安風險值為一個常數(即使我們不知道這個常數值真正為多少?),這項指標針對風險等級中的差異部分,會扮演著「風險基準衡量」的角色。

如果你覺得量化資安的特質難以捉摸,那麼暴露指標正是一個量測的好方法!

困惑嗎?
本文並不是解決所有關於資安矩陣問題的答案所在。但是,對於量測資產價值、估算潛在損失以及資安費用和風險所提及的方法論,會提供一些準則,教你如何蒐集相關資料以符合企業目標、期望和標準。再者,這邊也稍微提及如何指派資安方程式中的數值,並且為企業找出一套合用的風險量測工具。

本文作者PETE LINDSTROM,持有CISSP證照,目前擔任Spire Security研究部主管一職。針對本文的任何指教,煩請e-mail至iseditor@asmag.com