风险管理之引入网络安全风险量化
简介
越来越多的人采用网络安全风险量化作为改进风险分析和沟通的一种方式。这样做可以让您用利益相关者可能更熟悉的术语来谈论网络安全风险,并且与组织更广泛的业务环境更相关。由于对自己是否拥有必要的知识或数据存在误解,许多人推迟了量化风险的尝试。本指南介绍了网络安全风险量化,解决了一些误解,并讨论了您可能使用它的原因。
什么是量化?
量化被定义为“事物数量的表达或测量”。应用于网络安全风险分析,这可能意味着使用统计模型来衡量您面临的风险有多大。对于风险沟通,量化可能意味着:
- 将风险的可能性或影响表达为数量,例如每周、每月或每年一次
- 系统停机时间(以小时为单位)
- 补救成本作为影响的货币价值。
序数(第1、第2、第3等)或标签(低、中、高)不衡量某物的数量;它们代表位置或顺序。在网络安全中,序数或标签通常用于对发现或风险的可能性或影响进行评分。这些是有序标签而不是测量数量,因此不是网络安全风险量化的示例。一些风险评估和风险分析方法试图使用数学运算来组合这些标签或序数,并且因为这些不是测量的数量,所以应该避免这种情况。
风险量化神话
关于网络安全风险量化存在很多误解,可能会阻碍人们亲自尝试。在我们讨论为什么您可能会考虑量化之前,下表旨在揭穿其中一些误解(神话)。
误解 | 现实 |
没有数据。 | 可以对已有的数据应用量化。如果对数据没有太多信心或确定性,量化可以为提供一种明确捕获这一点的方法。
可能可以获得比您想象的更多的数据。为了获得最佳结果,建议使用各种数据源,包括开源报告、以前的事件、日志数据以及组织中专家的意见。定量方法并不要求仅使用客观的定量数据源。
关键是了解想要回答什么问题并确定回答所需的数据。如果确实想了解有关在组织中使用定量数据的更多信息,有关数据驱动安全的相关博客可以提供帮助。 |
无法对风险给出准确的值。 | 量化风险时不应该过于精确。量化的好处之一是它可以让您明确了解估算的不确定性。如果一个事件可能会让损失100到10,000英镑,那么可以明确说明并将其构建到您的模型或通信中。即使不确定性范围确实很大,这至少会让利益相关者和决策者清楚地了解不确定性或数据缺乏。 |
无法像衡量其他风险一样衡量网络风险。 | 缺乏历史事件数据或被认为无法量化无形资产(如声誉风险)等常见问题并不是网络安全特有的问题。尽管存在这些担忧,其他学科已经找到了使用量化的方法。虽然您可能无法直接衡量更抽象的概念(例如声誉),但您可以通过考虑新客户数量减少或股价下跌等因素来量化声誉损害的影响。
在量化风险时,您不必使用金钱作为衡量标准。您可以使用事件发生后恢复系统所需的时间或受影响的设备数量(如果它们是更适用的措施)。所有这些都是量化风险影响的潜在方法,以便深入了解风险发生后可能发生的情况。 |
没有使用量化的技能或知识。 | 您不需要一群数学家或经济学家来应用量化。量化风险可能意味着根据可用数据进行估计,而不必涉及复杂的统计模型。如果有兴趣探索统计方法,这些方法不需要统计学学位。许多技术可以通过电子表格来应用。 |
必须从头开始重新启动我的风险管理流程。 | 无需丢弃任何现有的分析或工具。可以在现有方法的同时引入量化,而无需额外的分析或时间。
无需将量化应用于风险管理流程的每个领域;可以选择将其应用于特定分析,以支持需要做出的特定决策。
如果确实想更广泛地采用定量方法,定量风险标准(例如FAIR)与可能在组织中使用的其他标准、工具或框架(例如 ISO27005 或 NIST 网络安全框架)兼容。 |
为什么要使用网络安全风险量化?
1. 用利益相关者关心的术语进行沟通
量化风险有助于以更适用于业务环境的方式表达风险。例如,您可以使用频率或百分比来估计风险发生的可能性(“我们预计此事件在未来 6 个月内发生一次”)。
同样,可以定量地表达风险的潜在影响。这可能包括使用货币价值、受影响的设备数量、受影响的关键服务数量或关键系统或服务不可用的时间。
结合起来,这将允许使用可能性和影响来描述风险,例如,“根据我们当前的安全控制,我们有 90% 的信心这种风险将在明年至少发生一次,并且成本将在 5,000 英镑之间如果发生这种情况,则赔偿 25,000 英镑。” 以这种方式构建风险可以帮助回答诸如“我们有多少风险?”之类的业务问题。并且可以使有关风险是否可能超过风险承受水平的讨论变得更容易管理。
2. 实现成本效益分析和风险比较/优先级排序
风险量化可以更轻松地执行成本效益分析。除了对风险发生的频率(或其影响)进行定量估计外,您还可以估计建议的控制措施将在多大程度上降低该风险。这些估计可以通过一系列来源获得,例如保证活动、控制效果的评估或建议的控制如何集成到系统中的专家知识。
将估计的可能性或影响减少与新控制措施的成本进行比较可以帮助决策者选择是否实施控制措施。这有助于确保尽可能有效地管理有限的安全资源。同样,当有多个选项需要实施控制时,权衡每个选项所提供的风险降低程度(及其成本)可以帮助您做出更明智的决策。
很难比较两个被评为“高”或 5/5 的风险并决定首先需要解决哪一个。如果对风险进行量化,可以更详细地了解风险对您的组织意味着什么,那么它可以帮助从业者和决策者决定首先解决哪个风险。
3. 提供透明度
网络安全存在很多不确定性,而这些不确定性往往未被认识到。这可能会导致意想不到的结果并损害关键利益相关者的信任。通过量化风险,您可以将风险发生的可能性或影响表示为“分布”而不是单个值,从而明确分析中的不确定性有多少。
如果您使用序数标签来传达风险,量化可以帮助您的分析师团队明确每个标签的含义,并在某些风险变为“高”风险而不是“中”或“低”风险时达成一致。分析师为相同的风险分配不同的标签可能是顺序评级系统的陷阱,因此拥有清晰的量化定义可以确保每个人都在同一页面上。
与所有风险分析方法一样,您应该注意记录您的假设,以防以后需要重新审视这些假设。您还应该寻求提供有关在沟通风险时使用哪些数据源或流程来得出结论的信息。