控制系统安全ROI 部署网络安全措施已成为当务之急,尤其是在任务关键型环境中,一次违规就可能造成灾难性后果。虽然建立这些保护的合理理由是直观的,但控制系统运营商和IT高管通常必须为网络安全投资提供业务理由。
这可能需要减轻风险或提供财务理由。调查数据1表明,59%的公司采用风险缓解方法,其余公司采用财务理由。 减少风险的步骤 无论风险缓解方法是非正式实施的,还是通过正式的定量分析实施的,该过程:确定将降低关键公司风险的措施,检查每项措施的成本和收益,并为资助决策提供候选项目的总体排名。
第一步涉及确定组织可用的主要风险缓解机会。分析通常使用分类来识别某些候选人比其他候选人更重要,或者可能需要特殊处理的事实。 例如,在电力行业,必须实施法规要求(例如新的NERC网络安全标准CIP-002到CIP-009)。 下一步是根据许多因素对风险缓解项目进行分类,从风险缓解的严重性(风险发生的严重性和概率)和成本,到项目的持续时间和价值/回报。有了评估数据在手,就可以决定管理哪些风险,接受哪些风险。 继续以电力行业为例,实施电子边界保护和安装电子访问控制的项目都被提名为风险管理候选项目。两者都被列为强制性合规类别,因为它们将有助于NERC CIP认证。然而,前者具有更高的估计回报,并且更加关键,因为目前没有解决方案存在,而后者将现有的手动解决方案自动化。由于资金有限,电子周界项目在2005年获得了资金,而门禁项目没有。 最后,由于组织面临的风险每天都在变化,因此需要定期重复此分析过程。随着风险和商业环境的变化,过去被拒绝的项目可能会在未来重新考虑。 为了完成这个例子,2006年组织将再次考虑访问控制项目。这一次,它的排名进入了可融资类别。 投资回报 安全投资的财务方法包括预测项目在一段时间内的回报率,相对于既定的最低回报率。风险项目与任何其他项目一样,包括能力增加、效率改进等。 尽管许多组织需要ROI模型来证明任何财务投资的合理性,但是传统上很难将这种方法应用于安全投资。 为了量化和估计控制环境的网络安全投资的项目回报,Verano开发了一个安全投资回报模型。为了说明,我们将扩展上面的电子边界示例,以包括其他所需的功能,例如控制应用程序和网络入侵检测。 金融因素 对控制系统的网络攻击可以影响各种财务因素,包括:
金融因素 |
导致 |
生产/生产损失 |
影响控制系统的安全漏洞可能会破坏发电设施和损坏设备,导致生产损失(按兆瓦/小时计算)、维修成本和重新启动成本。 |
操作效率 |
安全违规会导致大量的工作量增加,以确定违规的原因,了解损害,补救损害并采取预防措施。联邦调查局为IT环境中各种不同的违规行为提供实际成本。由于需要专业技能和供应商的参与,控制环境中的损害控制工作可能会相当昂贵。 |
劳动效率 |
由于安全漏洞而产生的增量劳动力成本,包括管理事件/中断、完成内部和监管报告等的加班时间。 |
安全审计和事件报告效率 |
在调查可疑活动时,安全管理系统提供跨大量计算机和网段的事件的单一集成视图。这消除了从一台机器到另一台机器寻找信息的需要,使实时分析/预防成为可能,并降低了取证成本。 |
取消/减少监管罚款 |
通过主动的安全管理来避免中断,公司可以避免昂贵的副作用,比如监管罚款。 |
减少保险费 |
安全管理解决方案降低了风险,因此,一些运营商在部署安全管理解决方案时提供了折扣。 |
公共关系、公众商誉、股票估值等无形资产 |
无形因素不应该被考虑到正式的财务投资分析中,因为这些因素对业务人员来说很难估计。但这些可能是巨大的成本,不应被忽视。如果您的组织采用ROI方法,它们最好在分析的结论中处理。风险缓解方法更适合处理这些因素。 |
为了确保这个框架背后的逻辑清晰,下面给出一个示例;注:计算中不包括货币的时间价值,假设时间期限为三年。 金融模型 在处理上面列出的因素时,必须区别对待固定成本(例如每年的保险节省)和每次事故成本。 为了模拟每个事件成本对环境的影响,必须估计这些事件发生的频率。这需要分析三个问题:
哪些事故可能对你的工厂产生影响?FBI的报告是建立这个清单的一个很好的起点。通过对500多家公司的调查,它显示了去年经历的安全漏洞类型。请记住,控制系统通常构建在较旧的、未打补丁的系统上,因此在IT环境中不常见的漏洞可能仍然存在于控制环境中。
违规频率:对于每种类型的安全事件,在您的安全环境下,您预计每年会有多少次成功的入侵?您的历史记录是搜索这类数据的最佳位置。答案很少是零。例如,大多数IT组织都有适当的病毒保护,但他们总是会遇到病毒扫描程序无法捕获的病毒感染,或者是通过未受保护的来源引入的病毒感染。
结果的可能性:一些违规行为不会导致上面列出的一些后果,而另一些则会。例如,一次成功的破坏总是导致操作效率低下,因为必须对破坏进行分析和修复,但它并不总是导致中断。对于每种类型的事件,您还需要估计它将导致特定后果的概率。
有了这些数据,您可以使用以下公式估算每次事件的成本:
为了计算事故成本,你需要与工厂运行有关的财务数据。在这个三个单元的例子中,我们使用以下假设:
假设: |
1.下面的成本是根据从一个单位或工厂故障返回的最短时间计算的: —热重启:设备恢复满负荷平均时间= 6小时 - 625兆瓦(满载)X 6小时= 3750兆瓦时/台(11,250兆瓦时/台) -单位成本:3750兆瓦时X $45/兆瓦时= $168,750/单位+ $40,000启动成本= $208,750 -工厂成本:10,350 MWH X $45/MWH = $506,250/台+ 120,000启动成本= $626,250 |
2.本版本模型中使用的具体数值: 单位旅行损失的机会$208,750 工厂旅行损失的机会626250美元 安防系统安装费用$50,000 每年的支持费用为8000美元 年劳动力成本每小时75美元 每天工作时间8 每周天数 |
3.由于机组之间的DCS网络,工厂跳闸的概率与机组跳闸的概率相似。 |
4.其他不包括在计算中的经济损失:设备损坏或损失时间、数据丢失或被盗等。 |
使用这些假设,我们填充了第一个场景的模型,在这个场景中,泄漏导致整个工厂停机:
类别 |
事件 |
成本 |
频率 |
概率 |
储蓄 |
恶意软件 |
病毒/木马 蠕虫 |
626250美元 626250美元 |
4 2 |
0.05 0.05 |
125250美元 62625美元 |
黑客 |
DoS 接管机器 僵尸 |
626250美元 626250美元 626250美元 |
0.25 0.25 0.5 |
0.05 0.05 0.05 |
7828美元 7828美元 15656美元 |
内幕 |
DOS Roguemachine |
626250美元 626250美元 |
4 4 |
0.05 0.05 |
125250美元 125250美元 |
总计 |
|
|
|
|
469688美元 |
注:假设单元之间的局域网连接,增加了网络事件影响所有三个单元的可能性。 |
然后为其他场景重新运行此模型。例如,更有可能的是,一个漏洞将导致单个单元的中断,而不是整个工厂。在这种情况下,我们运行与上面相同的模型-成本更低,但结果的概率更高:
类别 |
事件 |
成本 |
频率 |
概率 |
储蓄 |
恶意软件 |
病毒/木马 |
208750美元 |
4 |
0.10 |
83500美元 |
黑客 |
蠕虫 DOS |
208750美元 208750美元 |
2 0.25 |
0.10 0.10 |
41750美元 5219美元 |
|
接管机器 僵尸 |
208750美元 208750美元 |
0.25 0.5 |
0.10 0.10 |
5219美元 10438美元 |
内幕 |
DOS Roguemachine |
208750美元 208750美元 |
4 4 |
0.10 0.10 |
83500美元 83500美元 |
总计 |
|
|
|
|
313125美元 |
请注意,由于概率因素,单个机组停机的预期损失与工厂停机的预期损失在量级上相似。 类似地,您可以运行一个没有中断结果的模型。在此场景中,操作效率从网络反病毒保护、入侵防御、流氓机器检测、网络监控和集成存储库等功能中得到体现。
类别 |
事件 |
成本 |
频率 |
概率 |
储蓄 |
恶意软件 |
病毒/木马 |
3000美元 |
4 |
1.00 |
12000美元 |
|
蠕虫 |
3000美元 |
2 |
1.00 |
6000美元 |
黑客 |
DOS |
3000美元 |
0.25 |
1.00 |
750美元 |
|
接管机器 |
48000美元 |
0.25 |
1.00 |
12000美元 |
|
僵尸 |
48000美元 |
0.5 |
1.00 |
24000美元 |
内幕 |
DOS |
3000美元 |
4 |
0.60 |
7200美元 |
|
Roguemachine |
3000美元 |
4 |
0.90 |
10800美元 |
总计 |
|
|
|
|
72750美元 |
最后一步是将每个事件场景添加到固定成本节省估计中,以从安全投资中产生年度总回报。在这种情况下,结果是安全审计和事件报告效率提高了15万美元。然后,我们用总储蓄减去三年投资产生的增量成本,除以投资成本来计算投资回报率:
金融因素 |
预期成本节省 |
3年投资回报率 |
工作场景 |
469688美元 |
|
单一机组情况 |
313125美元 |
|
操作效率 |
72750美元 |
|
安全效率 |
150000美元 |
|
总储蓄 |
1005563美元 |
5885% |
上面展示的模型提供了一个模板,可以使用行业资源和内部评估来开发一个商业案例,证明在保护任务关键型基础设施方面的投资是合理的。 Al Cooley是Verano Inc.的安全营销总监;www.verano.com 参考文献 1.卡内基梅隆软件工程学院,www.cert.org 2.FBI/CSI计算机犯罪和安全调查 |