隨著網(wǎng)絡(luò)攻擊手段的日益多樣化和復(fù)雜化，傳統(tǒng)基于檢測的網(wǎng)絡(luò)安全防護模式已經(jīng)難以應(yīng)對當(dāng)前的安全威脅挑戰(zhàn)。在此背景下，越來越多的組織開始采用網(wǎng)絡(luò)安全風(fēng)險量化，并將其作為增強組織安全風(fēng)險分析和治理能力的一種有效手段。通過將網(wǎng)絡(luò)風(fēng)險量化，組織可以讓所有利益相關(guān)者更好地了解當(dāng)前所面臨的安全風(fēng)險態(tài)勢，從而與組織更廣泛的數(shù)字化業(yè)務(wù)發(fā)展相融合。

什么是網(wǎng)絡(luò)風(fēng)險量化？

量化是指對事物數(shù)量的統(tǒng)計表達或測量。當(dāng)其應(yīng)用于網(wǎng)絡(luò)安全風(fēng)險分析時，就意味著從業(yè)務(wù)發(fā)展的角度去度量組織的網(wǎng)絡(luò)風(fēng)險暴露情況和該風(fēng)險的潛在危害影響。換句話說，它是用一種數(shù)學(xué)術(shù)語來定量化描述網(wǎng)絡(luò)風(fēng)險態(tài)勢。

網(wǎng)絡(luò)風(fēng)險量化（CRQ）需要應(yīng)用先進的建模技術(shù)來全面評估企業(yè)中的隱藏風(fēng)險和暴露風(fēng)險可能性，以及如何應(yīng)對可能的危害。然后，這些信息被用來計算財務(wù)風(fēng)險，以得出估計的損失。使用網(wǎng)絡(luò)風(fēng)險量化，阻止可以更準(zhǔn)確的回答以下重要問題：

?如果組織不解決安全項目中的一些特殊缺口，可能造成的經(jīng)濟損失會有多大？

?什么樣的網(wǎng)絡(luò)安全事件會導(dǎo)致最嚴(yán)重的業(yè)務(wù)影響？

?哪些網(wǎng)絡(luò)安全項目需要優(yōu)先考慮的，對穩(wěn)定風(fēng)險至關(guān)重要？

?我們需要在安全控制/資源方面進行哪些投資？在哪些方面？

網(wǎng)絡(luò)風(fēng)險量化并不等同于網(wǎng)絡(luò)風(fēng)險評估。網(wǎng)絡(luò)風(fēng)險評估是指將系統(tǒng)、數(shù)據(jù)或網(wǎng)絡(luò)劃分為低、中、高等不同的風(fēng)險等級。這個過程可以是基于內(nèi)容、上下文或用戶行為的，往往傾向于定性的或動態(tài)的發(fā)現(xiàn)。

雖然網(wǎng)絡(luò)風(fēng)險評估對組織的風(fēng)險防護工作是有效的，但并不足夠。當(dāng)多個資產(chǎn)處于同等的風(fēng)險等級時，網(wǎng)絡(luò)安全團隊該如何確定安全控制的優(yōu)先級？此外，如何低風(fēng)險系統(tǒng)被優(yōu)先處置時，又會造成什么危害呢？這時候，就需要更加客觀、定量的風(fēng)險測量來進行補充。

網(wǎng)絡(luò)風(fēng)險量化會使用數(shù)學(xué)公式、邏輯流程圖以及定量指標(biāo)體系來計算風(fēng)險，這是其與傳統(tǒng)的網(wǎng)絡(luò)風(fēng)險評估方法主要區(qū)別。它能夠更直觀的反映出，當(dāng)組織受到網(wǎng)絡(luò)攻擊的影響情況，組織可能會損失的嚴(yán)重程度，從而使其調(diào)查結(jié)果更加合理，并以數(shù)據(jù)為依據(jù)。

網(wǎng)絡(luò)風(fēng)險量化的框架

組織在始對網(wǎng)絡(luò)風(fēng)險進行量化之前，必須選擇一個適當(dāng)?shù)娘L(fēng)險分析框架作為參考。以下是幫助組織實現(xiàn)這一目標(biāo)的常用安全框架，包括：

?NIST SP 800-53：這是美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的安全和隱私控制目錄。它能夠根據(jù)嚴(yán)重程度衡量網(wǎng)絡(luò)威脅，以幫助公司優(yōu)先考慮這些威脅并保護信息系統(tǒng)。

?ISO 27005：這是由國際標(biāo)準(zhǔn)化組織（ISO）發(fā)布的執(zhí)行信息安全風(fēng)險評估指南框架。它適用于各種規(guī)模的企業(yè)組織，并已多次更新，是一種通用的網(wǎng)絡(luò)風(fēng)險量化框架。

?FAIR模型：信息風(fēng)險因素分析（FAIR）模型由非營利組織FAIR研究所發(fā)布。這是一種基于概率的模型使用數(shù)學(xué)算法從貨幣和數(shù)量上衡量風(fēng)險。雖然它很實用，但它需要大量的信息。

?Monte Carlo分析模型：這種模型主要通過使用計算機生成的場景來測試組織的網(wǎng)絡(luò)安全彈性并識別潛在風(fēng)險，幫助評估組織在各種風(fēng)險情況下的結(jié)果。

網(wǎng)絡(luò)風(fēng)險量化的價值

現(xiàn)代企業(yè)的安全決策者應(yīng)該盡快考慮實施網(wǎng)絡(luò)風(fēng)險量化，而非類似的替代方案，因為網(wǎng)絡(luò)攻擊的頻率和嚴(yán)重程度都在增加，組織需要更準(zhǔn)確的風(fēng)險評估結(jié)果。安全領(lǐng)導(dǎo)者不僅要確保組織的網(wǎng)絡(luò)安全，還要證明其防護成本是合理的。

調(diào)查數(shù)據(jù)顯示，約69%的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者預(yù)計，到2024年底，他們的網(wǎng)絡(luò)安全預(yù)算將增長10%-100%。然而在大多數(shù)組織中，安全策略和業(yè)務(wù)目標(biāo)之間存在不一致，安全團隊通常無法與公司高級管理人員、董事會進行有效溝通。網(wǎng)絡(luò)風(fēng)險量化作為一種彌合安全和業(yè)務(wù)領(lǐng)域之間鴻溝的方式，自然受到了廣泛關(guān)注。

網(wǎng)絡(luò)風(fēng)險量化能夠讓公司董事會和高管層看清當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險格局；它還將使安全團隊能夠在業(yè)務(wù)需求的背景下做出網(wǎng)絡(luò)安全決策，幫助組織確定哪些風(fēng)險對業(yè)務(wù)構(gòu)成最大的威脅，以及預(yù)期的經(jīng)濟損失將是什么。

因此，實施網(wǎng)絡(luò)風(fēng)險量化可以給現(xiàn)代企業(yè)組織帶來大量的戰(zhàn)術(shù)和戰(zhàn)略收益，具體包括以下幾點：

1.資源和預(yù)算的合理分配

網(wǎng)絡(luò)風(fēng)險量化可以讓組織更好地了解網(wǎng)絡(luò)安全威脅的成本及其合理的補救措施，從而為網(wǎng)絡(luò)安全投資決策提供信息。例如，特定網(wǎng)絡(luò)安全計劃的投資回報率可以通過測量它們降低妥協(xié)風(fēng)險水平的程度來體現(xiàn)，這有助于證明組織未來網(wǎng)絡(luò)安全投資的合理性。

.2制定更高效的行動計劃

網(wǎng)絡(luò)風(fēng)險量化使安全管理團隊能夠根據(jù)財務(wù)和業(yè)務(wù)影響確定緩解計劃的優(yōu)先級。徹底了解哪些關(guān)鍵資產(chǎn)處于重大風(fēng)險之中，以及攻擊路線、破壞和緩解成本，使組織能夠規(guī)劃和優(yōu)先考慮預(yù)防和緩解計劃。修復(fù)特定的關(guān)鍵網(wǎng)絡(luò)漏洞以避免這些攻擊，比簡單地采用“一攬子”解決方案更有效。

3.實現(xiàn)高效的溝通

網(wǎng)絡(luò)風(fēng)險量化的一個關(guān)鍵好處是，它可以從財務(wù)和業(yè)務(wù)角度定義組織的安全風(fēng)險態(tài)勢，用一種通用語言在安全和業(yè)務(wù)領(lǐng)域之間架起溝通的橋梁，管理層可以更好地了解組織的風(fēng)險狀況，并就降低風(fēng)險做出更明智的決策。這將大大改變網(wǎng)絡(luò)安全工作是一種“成本中心”的傳統(tǒng)偏見，讓安全建設(shè)成為業(yè)務(wù)發(fā)展的推動者。

4.提升整體安全性

網(wǎng)絡(luò)風(fēng)險量化如果實施得當(dāng)，會使整個組織更加安全。因為它提供了跟蹤、報告、基準(zhǔn)測試和優(yōu)化安全團隊工作效率的能力。通過降低風(fēng)險、改進安全投資和確定緩解工作的優(yōu)先級，它可以幫助組織優(yōu)化安全決策，節(jié)省時間和金錢。

網(wǎng)絡(luò)風(fēng)險量化的挑戰(zhàn)與實踐

要科學(xué)實現(xiàn)網(wǎng)絡(luò)風(fēng)險量化并不容易，在此過程中也面臨以下兩個主要挑戰(zhàn)：

1.孤立的數(shù)據(jù)阻礙了可見性

 現(xiàn)代企業(yè)組織通常使用多種工具和平臺來生成和獲取數(shù)據(jù)，然后將其分發(fā)到各個業(yè)務(wù)團隊。大多數(shù)時候，這些解決方案是沒有互聯(lián)互通的，這就造成了數(shù)據(jù)孤島。遍歷每個工具并分析數(shù)據(jù)既耗時又費力。如果其中的一些平臺被忽視了，就會影響組織風(fēng)險試圖的完整性，這也將嚴(yán)重限制安全團隊正確度量網(wǎng)絡(luò)風(fēng)險的能力。

2.缺乏用于快速補救的實時數(shù)據(jù)

 網(wǎng)絡(luò)安全是一個持續(xù)不斷的攻防博弈過程。然而，如果企業(yè)的安全團隊缺乏對關(guān)鍵安全數(shù)據(jù)的實時可見性，那么很多安全策略將會失效。由于威脅總是在快速變化發(fā)展，組織的風(fēng)險管理團隊必須能夠?qū)崟r地處理它們。如果安全團隊限制了對威脅數(shù)據(jù)的訪問，風(fēng)險度量工作將無法正確識別威脅并實施補救措施。

為了應(yīng)對上述挑戰(zhàn)，建議組織在實施網(wǎng)絡(luò)風(fēng)險量化工作時，遵循如下實踐步驟和流程：

1.識別并確定組織的關(guān)鍵IT資產(chǎn)

網(wǎng)絡(luò)風(fēng)險量化工作取得成功的關(guān)鍵，就是要首先確定企業(yè)組織中最可能被攻擊的所有重要IT資產(chǎn)，并針對這些資產(chǎn)重點進行風(fēng)險量化。當(dāng)組織確定了關(guān)鍵性資產(chǎn)后，還應(yīng)該根據(jù)它們的重要程度進行分類分級，這助于組織確定在網(wǎng)絡(luò)風(fēng)險量化中應(yīng)包括哪些內(nèi)容。

2.充分收集與網(wǎng)絡(luò)威脅相關(guān)的數(shù)據(jù)和情報信息

 只有當(dāng)組織有足夠的威脅數(shù)據(jù)和情報信息提供給風(fēng)險量化算法模型時，他們才能準(zhǔn)確的根據(jù)量化規(guī)則計算出風(fēng)險值。因此，各種威脅數(shù)據(jù)的收集、預(yù)處理和聚合是風(fēng)險量化工作成功的關(guān)鍵。IT專業(yè)人員應(yīng)該充分了解當(dāng)前組織網(wǎng)絡(luò)攻擊的頻率和攻擊面情況，并分析網(wǎng)絡(luò)犯罪趨勢會如何影響組織的資產(chǎn)安全性。

3.區(qū)分內(nèi)部和外部網(wǎng)絡(luò)風(fēng)險

 風(fēng)險度量的準(zhǔn)確性會隨著網(wǎng)絡(luò)攻擊的特異性改變而變化。除非企業(yè)規(guī)模很小，否則實施多個網(wǎng)絡(luò)風(fēng)險量化流程將符合企業(yè)的最佳利益。考慮到超過98%的公司會與第三方供應(yīng)商進行合作，因此區(qū)分來自內(nèi)部和外部的網(wǎng)絡(luò)威脅應(yīng)該是網(wǎng)絡(luò)風(fēng)險量化工作的起點。

4.向管理層報告調(diào)查結(jié)果

在網(wǎng)絡(luò)風(fēng)險量化的過程中，評估團隊需要將發(fā)現(xiàn)的評估結(jié)果匯整成詳細報告，并將原始數(shù)據(jù)轉(zhuǎn)化為易于理解的、沒有專業(yè)話術(shù)的信息圖表，以向管理層準(zhǔn)確展示他們的度量發(fā)現(xiàn)，這樣才可以在風(fēng)險管理策略的后續(xù)階段幫助組織簡化管理決策。此外，組織也需要利用風(fēng)險度量的數(shù)據(jù)指標(biāo)，來向所有員工分享相關(guān)的風(fēng)險信息，提醒員工更加留意與風(fēng)險相關(guān)的行為。

5.持續(xù)進行組織的網(wǎng)絡(luò)風(fēng)險量化

 網(wǎng)絡(luò)風(fēng)險量化并不是一勞永逸的活動。由于企業(yè)組織面臨的威脅形勢是在不斷變化，其復(fù)雜性和危害性也會不斷增加，因此，網(wǎng)絡(luò)風(fēng)險量化也應(yīng)該不斷優(yōu)化并持續(xù)開展。

原文鏈接：

https://hackernoon.com/what-is-cyber-risk-quantification

https://cyesec.com/blog/the-complete-guide-to-cyber-risk-quantification

https://vulcan.io/blog/cyber-risk-quantification-a-practitioners-guide/