概率损失模型成风险评估新趋势

申请免费试用、咨询电话：400-8352-114

近来安全业界对于最新的概率损失模型给予了前所未有的重视。当企业试图确定向安全技术投入多少资金和哪些资产需要保护时，它们依靠的是一种将损失影响乘以损失概率的风险评估模型。

重新思考风险

长期以来，用户在进行各种形式的风险评估工作时，都会把精力放在企业的“核心资产的核心层上”，希望能够将其列为开支和防御预算的重中之重。这样的思路属于人之常情，但反过头来想，这样的评估是否就代表了企业的风险需求呢？或者说，这样评估产生的结果是否最有价值呢？

目前国内外主流安全论坛中流行一种说法，即将至关重要的公司信息资产比作是“女王王冠”。这种比喻在很多方面是恰当的。顾名思义，价值连城的王冠当然要受到多重安全措施的保护，但事实是，它对于窃贼来说是非常糟糕的目标。因为它太与众不同了，因而也难以销赃。若想卖掉这类物品，窃贼必须冒巨大的风险和忍受大出血的杀价。对窃贼来说，相比王冠他们更加青睐钞票。

事实上，对于此类物品，不管它们是像王冠这样的有形之物，还是像公司某些核心信息的无形资产，都只值买家开出的价格。如果这种物品的市场太小或洗钱的风险太高，这个物品的价值必然大打折扣。但是，在使用传统的信息安全风险评估方法时，大都只是此类物品遭窃的损失，而忽视窃贼潜在的收益。

新模型出炉

有意思的是，在近期举行的中国首届“IT治理与信息安全大会”上，以ISSA、ISACA为代表的一些安全组织提出了一种新的评估方法：概率损失模型。

这种模型的思路很简单：损失的影响是风险评估的非常重要的组成部分，它使企业可以比较保护某种资产安全的成本和收益。有意思的是，一些计算机罪犯也在通过类似的模型考虑信息盗窃所带来的成本与收益。在选择攻击目标时，犯罪分子必须根据某种资产变现的难易程度考虑这种资产的折现价值。

举例来看，企业最核心的信息资产，如某些专利设计等，这些信息只有很少的买家，并会留下痕迹，因为它的来源很容易确定。因此，很多攻击者并不青睐这些信息。在大多数公司中，频繁遭遇信息窃取的主要是与现金和金融工具有关的信息，比如保存在不同数据库中的身份信息。根据IDC的统计，全球身份偷窃市场规模庞大而且发展非常快。身份信息在黑市上的平均价格高达14～18美元，并可以匿名销售，而且有大量的买主。

不难看出，传统上很多企业花大价钱保护的信息资产基本无人问津。因此不少专业人士建议，企业应当利用概率损失模型，从新的思路考虑信息安全。当公司试图确定向安全技术投入多少资金和哪些资产需要保护时，他们依靠一种将损失影响乘以损失概率的风险评估。反过来，损失的概率取决于攻击率和资产的脆弱性。

概率损失模型的好处是，不仅可以计算出企业相关资产的脆弱性，而且可以确定被攻击的概率。传统的风险评估模型都是采用根据大量攻击报告得出的统计数据。然而，概率损失模型可以凭借攻击的成功率与损失变现率对企业的信息资产进行排序。换句话说，企业的核心信息虽然被关注，但企业的HR数据库就像是一堆现金，诱人而且易于交易。因此，考虑这些因素的概率损失模型将会成为未来风险评估的新趋势。(ccw-cnw)