判斷特定IT漏洞的金融影響是確定補救措施優先級和預防攻擊的有效方法。 筆者認為基于數據泄露數量的風險評估模型是不準確的，而以威脅為中心的風險評估模型更加可靠，并給出一個改進版的風險評估公式。

[[218878]]

WannaCry 和 NotPetya勒索軟件 的流行表明 惡意軟件 可在全球范圍內迅速傳播，并削弱各個企業。它們的影響已超越傳統IT基礎架構，并擴展到用于控制工業、制造業和 關鍵基礎設施 的操作系統。這些安全事件的規模正在迫使組織考慮與 網絡威脅 相關的金融影響和業務風險，以更好地減輕風險。

大多數情況下，這些攻擊是操作安全程序較差(或缺失)造成的，因為它們所利用的漏洞及防護補丁早在數月前已經披露了。很多組織缺少的是對漏洞補救措施進行智能優先處理。判斷IT基礎結構中特定漏洞的金融影響是實現上述目標的有效方法之一。

基于數據泄露記錄數量的風險模型不準確

傳統意義上，金融影響是基于在網絡攻擊中可被泄露的個人可識別信息記錄的數量進行評估的。這些數據被融入業務影響分析系統或風險框架(如FAIR)中，從而反映業務風險。

FAIR：http://www.fairinstitute.org/

然而，在確定金融影響時只考慮數據丟失的情況并不能提供全面評估，因為并非所有的大規模攻擊都會涉及 數據泄露。例如，WannaCry和Petya勒索軟件雖加密數據但并未泄露數據。

因此，在計算網絡威脅的金融影響時，必須考慮以下因素：

(a)停機造成的收入損失，

(b)事件后分析所需的工時，

(c)基礎設施損害和補償控制費用，

(d)攻擊后通知和法律費用。

以威脅為中心的風險評估模型更可靠

要做到這一點，組織應評估其在個人網絡威脅方面的業務風險。這可以通過攻擊建模，使用戰術、技術和攻擊模式框架來實現。

CAPEC(常見的攻擊模式枚舉和分類)是一種開放式的攻擊模式分類框架，分析人員能夠判斷適用于高風險漏洞的不同攻擊模式。當威脅的攻擊模式映射到存在高風險漏洞的資產上時，可了解到全面的業務風險。

CAPEC：https://capec.mitre.org/about/

例如，我們將CAPEC應用到WannaCry和NotPetya攻擊中，以及所利用的EternalBlue漏洞利用程序中，來評估其對組織的金融影響。

EternalBlue 漏洞利用程序始于整數溢出(CAPEC-92)，它在目標系統上運行任意代碼，導致緩沖區溢出(CAPEC-100)，從而在系統進程中劫持特權線程，并最終導致劫持特權執行線程(CAPEC-30)。盡管CAPEC-30被利用的可能性很小，但其嚴重程度很高，并導致通過獲取權限或假定身份來運行未經授權的命令。

將CAPEC分析應用到EternalBlue中可發現攻擊者在存在漏洞的攻擊目標系統上所使用的策略及結果(如：獲得特權和執行未經授權的命令)。由于EternalBlue的攻擊者建模是已知的，漏洞(易受EternalBlue影響)對目標組織的運營影響顯而易見。了解到這一點，就可以評估這些漏洞帶來的業務風險。

例如，若組織的文件服務器上存在易受EternalBlue影響的漏洞，我們就能了解可被執行的任意命令，從而篡改該機器上的文件。其中，在WannaCry和NotPetya攻擊中涉及文件加密，誘騙用戶支付贖金。

預測財務損失

接下來，根據組織對這些文件的業務依賴關系，我們可將文件的不可用性作為遭遇 勒索軟件 攻擊后可帶來的財務損失的判斷依據。傳統意義上，網絡安全風險的計算公式為：

此公式的修改版本可用于根據風險評估計算出金融影響：

該公式可用于風險評估過程中發現的每個漏洞，從而估計各自不同的金融影響。

1. 可能性

可能性 是根據網絡安全情報或算法的概率測度導出的單點值。這表示將某個漏洞被成功利用的可能性。可用于計算出可能性的一些源包括：

• 適用于漏洞的威脅
• 應用于漏洞的可用補丁
• 漏洞利用后的可用策略
• 漏洞緩解

2. 風險等級

風險等級是一個單點值，它表示資產業務中存在某個漏洞的風險等級。

f (影響分析)

f(影響分析)是一個函數，表示成功網絡攻擊造成的貨幣損失。以上列出了計算貨幣損失的因素清單。適用于漏洞的策略的風險等級和影響是判斷貨幣損失的主要標準之一。例如，遠程命令執行策略將可產生很大的貨幣損失。

通過評估單個網絡威脅的金融影響，組織可更有效地確定補救措施的優先級，協調安全資源，保護最重要的資產，并為可限制攻擊業務影響的項目分配新投資。