隨著網(wǎng)絡(luò)攻擊手段的日益多樣化和復(fù)雜化，傳統(tǒng)基于檢測(cè)的網(wǎng)絡(luò)安全防護(hù)模式已經(jīng)難以應(yīng)對(duì)當(dāng)前的安全威脅挑戰(zhàn)。在此背景下，越來越多的組織開始采用網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化，并將其作為增強(qiáng)組織安全風(fēng)險(xiǎn)分析和治理能力的一種有效手段。通過將網(wǎng)絡(luò)風(fēng)險(xiǎn)量化，組織可以讓所有利益相關(guān)者更好地了解當(dāng)前所面臨的安全風(fēng)險(xiǎn)態(tài)勢(shì)，從而與組織更廣泛的數(shù)字化業(yè)務(wù)發(fā)展相融合。

　　什么是網(wǎng)絡(luò)風(fēng)險(xiǎn)量化?

　　量化是指對(duì)事物數(shù)量的統(tǒng)計(jì)表達(dá)或測(cè)量。當(dāng)其應(yīng)用于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析時(shí)，就意味著從業(yè)務(wù)發(fā)展的角度去度量組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露情況和該風(fēng)險(xiǎn)的潛在危害影響。換句話說，它是用一種數(shù)學(xué)術(shù)語(yǔ)來定量化描述網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)。

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化(CRQ)需要應(yīng)用先進(jìn)的建模技術(shù)來全面評(píng)估企業(yè)中的隱藏風(fēng)險(xiǎn)和暴露風(fēng)險(xiǎn)可能性，以及如何應(yīng)對(duì)可能的危害。然后，這些信息被用來計(jì)算財(cái)務(wù)風(fēng)險(xiǎn)，以得出估計(jì)的損失。使用網(wǎng)絡(luò)風(fēng)險(xiǎn)量化，阻止可以更準(zhǔn)確的回答以下重要問題：

　　?如果組織不解決安全項(xiàng)目中的一些特殊缺口，可能造成的經(jīng)濟(jì)損失會(huì)有多大?

　　?什么樣的網(wǎng)絡(luò)安全事件會(huì)導(dǎo)致最嚴(yán)重的業(yè)務(wù)影響?

　　?哪些網(wǎng)絡(luò)安全項(xiàng)目需要優(yōu)先考慮的，對(duì)穩(wěn)定風(fēng)險(xiǎn)至關(guān)重要?

　　?我們需要在安全控制/資源方面進(jìn)行哪些投資?在哪些方面?

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化并不等同于網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估。網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估是指將系統(tǒng)、數(shù)據(jù)或網(wǎng)絡(luò)劃分為低、中、高等不同的風(fēng)險(xiǎn)等級(jí)。這個(gè)過程可以是基于內(nèi)容、上下文或用戶行為的，往往傾向于定性的或動(dòng)態(tài)的發(fā)現(xiàn)。

　　雖然網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估對(duì)組織的風(fēng)險(xiǎn)防護(hù)工作是有效的，但并不足夠。當(dāng)多個(gè)資產(chǎn)處于同等的風(fēng)險(xiǎn)等級(jí)時(shí)，網(wǎng)絡(luò)安全團(tuán)隊(duì)該如何確定安全控制的優(yōu)先級(jí)?此外，如何低風(fēng)險(xiǎn)系統(tǒng)被優(yōu)先處置時(shí)，又會(huì)造成什么危害呢?這時(shí)候，就需要更加客觀、定量的風(fēng)險(xiǎn)測(cè)量來進(jìn)行補(bǔ)充。

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化會(huì)使用數(shù)學(xué)公式、邏輯流程圖以及定量指標(biāo)體系來計(jì)算風(fēng)險(xiǎn)，這是其與傳統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法主要區(qū)別。它能夠更直觀的反映出，當(dāng)組織受到網(wǎng)絡(luò)攻擊的影響情況，組織可能會(huì)損失的嚴(yán)重程度，從而使其調(diào)查結(jié)果更加合理，并以數(shù)據(jù)為依據(jù)。

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化的框架

　　組織在始對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行量化之前，必須選擇一個(gè)適當(dāng)?shù)娘L(fēng)險(xiǎn)分析框架作為參考。以下是幫助組織實(shí)現(xiàn)這一目標(biāo)的常用安全框架，包括：

　　?NIST SP 800-53：這是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布的安全和隱私控制目錄。它能夠根據(jù)嚴(yán)重程度衡量網(wǎng)絡(luò)威脅，以幫助公司優(yōu)先考慮這些威脅并保護(hù)信息系統(tǒng)。

　　?ISO 27005：這是由國(guó)際標(biāo)準(zhǔn)化組織(ISO)發(fā)布的執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估指南框架。它適用于各種規(guī)模的企業(yè)組織，并已多次更新，是一種通用的網(wǎng)絡(luò)風(fēng)險(xiǎn)量化框架。

　　?FAIR模型：信息風(fēng)險(xiǎn)因素分析(FAIR)模型由非營(yíng)利組織FAIR研究所發(fā)布。這是一種基于概率的模型使用數(shù)學(xué)算法從貨幣和數(shù)量上衡量風(fēng)險(xiǎn)。雖然它很實(shí)用，但它需要大量的信息。

　　?Monte Carlo分析模型：這種模型主要通過使用計(jì)算機(jī)生成的場(chǎng)景來測(cè)試組織的網(wǎng)絡(luò)安全彈性并識(shí)別潛在風(fēng)險(xiǎn)，幫助評(píng)估組織在各種風(fēng)險(xiǎn)情況下的結(jié)果。

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化的價(jià)值

　　現(xiàn)代企業(yè)的安全決策者應(yīng)該盡快考慮實(shí)施網(wǎng)絡(luò)風(fēng)險(xiǎn)量化，而非類似的替代方案，因?yàn)榫W(wǎng)絡(luò)攻擊的頻率和嚴(yán)重程度都在增加，組織需要更準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估結(jié)果。安全領(lǐng)導(dǎo)者不僅要確保組織的網(wǎng)絡(luò)安全，還要證明其防護(hù)成本是合理的。

　　調(diào)查數(shù)據(jù)顯示，約69%的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者預(yù)計(jì)，到2024年底，他們的網(wǎng)絡(luò)安全預(yù)算將增長(zhǎng)10%-100%。然而在大多數(shù)組織中，安全策略和業(yè)務(wù)目標(biāo)之間存在不一致，安全團(tuán)隊(duì)通常無法與公司高級(jí)管理人員、董事會(huì)進(jìn)行有效溝通。網(wǎng)絡(luò)風(fēng)險(xiǎn)量化作為一種彌合安全和業(yè)務(wù)領(lǐng)域之間鴻溝的方式，自然受到了廣泛關(guān)注。

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化能夠讓公司董事會(huì)和高管層看清當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)格局;它還將使安全團(tuán)隊(duì)能夠在業(yè)務(wù)需求的背景下做出網(wǎng)絡(luò)安全決策，幫助組織確定哪些風(fēng)險(xiǎn)對(duì)業(yè)務(wù)構(gòu)成最大的威脅，以及預(yù)期的經(jīng)濟(jì)損失將是什么。

　　因此，實(shí)施網(wǎng)絡(luò)風(fēng)險(xiǎn)量化可以給現(xiàn)代企業(yè)組織帶來大量的戰(zhàn)術(shù)和戰(zhàn)略收益，具體包括以下幾點(diǎn)：

　　1.資源和預(yù)算的合理分配

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化可以讓組織更好地了解網(wǎng)絡(luò)安全威脅的成本及其合理的補(bǔ)救措施，從而為網(wǎng)絡(luò)安全投資決策提供信息。例如，特定網(wǎng)絡(luò)安全計(jì)劃的投資回報(bào)率可以通過測(cè)量它們降低妥協(xié)風(fēng)險(xiǎn)水平的程度來體現(xiàn)，這有助于證明組織未來網(wǎng)絡(luò)安全投資的合理性。

　　.2制定更高效的行動(dòng)計(jì)劃

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化使安全管理團(tuán)隊(duì)能夠根據(jù)財(cái)務(wù)和業(yè)務(wù)影響確定緩解計(jì)劃的優(yōu)先級(jí)。徹底了解哪些關(guān)鍵資產(chǎn)處于重大風(fēng)險(xiǎn)之中，以及攻擊路線、破壞和緩解成本，使組織能夠規(guī)劃和優(yōu)先考慮預(yù)防和緩解計(jì)劃。修復(fù)特定的關(guān)鍵網(wǎng)絡(luò)漏洞以避免這些攻擊，比簡(jiǎn)單地采用“一攬子”解決方案更有效。

　　3.實(shí)現(xiàn)高效的溝通

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化的一個(gè)關(guān)鍵好處是，它可以從財(cái)務(wù)和業(yè)務(wù)角度定義組織的安全風(fēng)險(xiǎn)態(tài)勢(shì)，用一種通用語(yǔ)言在安全和業(yè)務(wù)領(lǐng)域之間架起溝通的橋梁，管理層可以更好地了解組織的風(fēng)險(xiǎn)狀況，并就降低風(fēng)險(xiǎn)做出更明智的決策。這將大大改變網(wǎng)絡(luò)安全工作是一種“成本中心”的傳統(tǒng)偏見，讓安全建設(shè)成為業(yè)務(wù)發(fā)展的推動(dòng)者。

　　4.提升整體安全性

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化如果實(shí)施得當(dāng)，會(huì)使整個(gè)組織更加安全。因?yàn)樗峁┝烁櫋?bào)告、基準(zhǔn)測(cè)試和優(yōu)化安全團(tuán)隊(duì)工作效率的能力。通過降低風(fēng)險(xiǎn)、改進(jìn)安全投資和確定緩解工作的優(yōu)先級(jí)，它可以幫助組織優(yōu)化安全決策，節(jié)省時(shí)間和金錢。

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化的挑戰(zhàn)與實(shí)踐

　　要科學(xué)實(shí)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)量化并不容易，在此過程中也面臨以下兩個(gè)主要挑戰(zhàn)：

　　1.孤立的數(shù)據(jù)阻礙了可見性

　　現(xiàn)代企業(yè)組織通常使用多種工具和平臺(tái)來生成和獲取數(shù)據(jù)，然后將其分發(fā)到各個(gè)業(yè)務(wù)團(tuán)隊(duì)。大多數(shù)時(shí)候，這些解決方案是沒有互聯(lián)互通的，這就造成了數(shù)據(jù)孤島。遍歷每個(gè)工具并分析數(shù)據(jù)既耗時(shí)又費(fèi)力。如果其中的一些平臺(tái)被忽視了，就會(huì)影響組織風(fēng)險(xiǎn)試圖的完整性，這也將嚴(yán)重限制安全團(tuán)隊(duì)正確度量網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力。

　　2.缺乏用于快速補(bǔ)救的實(shí)時(shí)數(shù)據(jù)

　　網(wǎng)絡(luò)安全是一個(gè)持續(xù)不斷的攻防博弈過程。然而，如果企業(yè)的安全團(tuán)隊(duì)缺乏對(duì)關(guān)鍵安全數(shù)據(jù)的實(shí)時(shí)可見性，那么很多安全策略將會(huì)失效。由于威脅總是在快速變化發(fā)展，組織的風(fēng)險(xiǎn)管理團(tuán)隊(duì)必須能夠?qū)崟r(shí)地處理它們。如果安全團(tuán)隊(duì)限制了對(duì)威脅數(shù)據(jù)的訪問，風(fēng)險(xiǎn)度量工作將無法正確識(shí)別威脅并實(shí)施補(bǔ)救措施。

　　為了應(yīng)對(duì)上述挑戰(zhàn)，建議組織在實(shí)施網(wǎng)絡(luò)風(fēng)險(xiǎn)量化工作時(shí)，遵循如下實(shí)踐步驟和流程：

　　1.識(shí)別并確定組織的關(guān)鍵IT資產(chǎn)

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化工作取得成功的關(guān)鍵，就是要首先確定企業(yè)組織中最可能被攻擊的所有重要IT資產(chǎn)，并針對(duì)這些資產(chǎn)重點(diǎn)進(jìn)行風(fēng)險(xiǎn)量化。當(dāng)組織確定了關(guān)鍵性資產(chǎn)后，還應(yīng)該根據(jù)它們的重要程度進(jìn)行分類分級(jí)，這助于組織確定在網(wǎng)絡(luò)風(fēng)險(xiǎn)量化中應(yīng)包括哪些內(nèi)容。

　　2.充分收集與網(wǎng)絡(luò)威脅相關(guān)的數(shù)據(jù)和情報(bào)信息

　　只有當(dāng)組織有足夠的威脅數(shù)據(jù)和情報(bào)信息提供給風(fēng)險(xiǎn)量化算法模型時(shí)，他們才能準(zhǔn)確的根據(jù)量化規(guī)則計(jì)算出風(fēng)險(xiǎn)值。因此，各種威脅數(shù)據(jù)的收集、預(yù)處理和聚合是風(fēng)險(xiǎn)量化工作成功的關(guān)鍵。IT專業(yè)人員應(yīng)該充分了解當(dāng)前組織網(wǎng)絡(luò)攻擊的頻率和攻擊面情況，并分析網(wǎng)絡(luò)犯罪趨勢(shì)會(huì)如何影響組織的資產(chǎn)安全性。

　　3.區(qū)分內(nèi)部和外部網(wǎng)絡(luò)風(fēng)險(xiǎn)

　　風(fēng)險(xiǎn)度量的準(zhǔn)確性會(huì)隨著網(wǎng)絡(luò)攻擊的特異性改變而變化。除非企業(yè)規(guī)模很小，否則實(shí)施多個(gè)網(wǎng)絡(luò)風(fēng)險(xiǎn)量化流程將符合企業(yè)的最佳利益。考慮到超過98%的公司會(huì)與第三方供應(yīng)商進(jìn)行合作，因此區(qū)分來自內(nèi)部和外部的網(wǎng)絡(luò)威脅應(yīng)該是網(wǎng)絡(luò)風(fēng)險(xiǎn)量化工作的起點(diǎn)。

　　4.向管理層報(bào)告調(diào)查結(jié)果

　　在網(wǎng)絡(luò)風(fēng)險(xiǎn)量化的過程中，評(píng)估團(tuán)隊(duì)需要將發(fā)現(xiàn)的評(píng)估結(jié)果匯整成詳細(xì)報(bào)告，并將原始數(shù)據(jù)轉(zhuǎn)化為易于理解的、沒有專業(yè)話術(shù)的信息圖表，以向管理層準(zhǔn)確展示他們的度量發(fā)現(xiàn)，這樣才可以在風(fēng)險(xiǎn)管理策略的后續(xù)階段幫助組織簡(jiǎn)化管理決策。此外，組織也需要利用風(fēng)險(xiǎn)度量的數(shù)據(jù)指標(biāo)，來向所有員工分享相關(guān)的風(fēng)險(xiǎn)信息，提醒員工更加留意與風(fēng)險(xiǎn)相關(guān)的行為。

　　5.持續(xù)進(jìn)行組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)量化

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)量化并不是一勞永逸的活動(dòng)。由于企業(yè)組織面臨的威脅形勢(shì)是在不斷變化，其復(fù)雜性和危害性也會(huì)不斷增加，因此，網(wǎng)絡(luò)風(fēng)險(xiǎn)量化也應(yīng)該不斷優(yōu)化并持續(xù)開展。

　　原文鏈接：

　　https://hackernoon.com/what-is-cyber-risk-quantification

　　https://cyesec.com/blog/the-complete-guide-to-cyber-risk-quantification

　　https://vulcan.io/blog/cyber-risk-quantification-a-practitioners-guide/