风险管理之引入网络安全风险量化_服务器安全

简介

越来越多的人采用网络安全风险量化作为改进风险分析和沟通的一种方式。这样做可以让您用利益相关者可能更熟悉的术语来谈论网络安全风险，并且与组织更广泛的业务环境更相关。由于对自己是否拥有必要的知识或数据存在误解，许多人推迟了量化风险的尝试。本指南介绍了网络安全风险量化，解决了一些误解，并讨论了您可能使用它的原因。

什么是量化？

量化被定义为“事物数量的表达或测量”。应用于网络安全风险分析，这可能意味着使用统计模型来衡量您面临的风险有多大。对于风险沟通，量化可能意味着：

将风险的可能性或影响表达为数量，例如每周、每月或每年一次
系统停机时间（以小时为单位）
补救成本作为影响的货币价值。

序数（第1、第2、第3等）或标签（低、中、高）不衡量某物的数量；它们代表位置或顺序。在网络安全中，序数或标签通常用于对发现或风险的可能性或影响进行评分。这些是有序标签而不是测量数量，因此不是网络安全风险量化的示例。一些风险评估和风险分析方法试图使用数学运算来组合这些标签或序数，并且因为这些不是测量的数量，所以应该避免这种情况。

风险量化神话

关于网络安全风险量化存在很多误解，可能会阻碍人们亲自尝试。在我们讨论为什么您可能会考虑量化之前，下表旨在揭穿其中一些误解（神话）。

误解	现实
没有数据。	可以对已有的数据应用量化。如果对数据没有太多信心或确定性，量化可以为提供一种明确捕获这一点的方法。可能可以获得比您想象的更多的数据。为了获得最佳结果，建议使用各种数据源，包括开源报告、以前的事件、日志数据以及组织中专家的意见。定量方法并不要求仅使用客观的定量数据源。关键是了解想要回答什么问题并确定回答所需的数据。如果确实想了解有关在组织中使用定量数据的更多信息，有关数据驱动安全的相关博客可以提供帮助。
无法对风险给出准确的值。	量化风险时不应该过于精确。量化的好处之一是它可以让您明确了解估算的不确定性。如果一个事件可能会让损失100到10,000英镑，那么可以明确说明并将其构建到您的模型或通信中。即使不确定性范围确实很大，这至少会让利益相关者和决策者清楚地了解不确定性或数据缺乏。
无法像衡量其他风险一样衡量网络风险。	缺乏历史事件数据或被认为无法量化无形资产（如声誉风险）等常见问题并不是网络安全特有的问题。尽管存在这些担忧，其他学科已经找到了使用量化的方法。虽然您可能无法直接衡量更抽象的概念（例如声誉），但您可以通过考虑新客户数量减少或股价下跌等因素来量化声誉损害的影响。在量化风险时，您不必使用金钱作为衡量标准。您可以使用事件发生后恢复系统所需的时间或受影响的设备数量（如果它们是更适用的措施）。所有这些都是量化风险影响的潜在方法，以便深入了解风险发生后可能发生的情况。
没有使用量化的技能或知识。	您不需要一群数学家或经济学家来应用量化。量化风险可能意味着根据可用数据进行估计，而不必涉及复杂的统计模型。如果有兴趣探索统计方法，这些方法不需要统计学学位。许多技术可以通过电子表格来应用。
必须从头开始重新启动我的风险管理流程。	无需丢弃任何现有的分析或工具。可以在现有方法的同时引入量化，而无需额外的分析或时间。无需将量化应用于风险管理流程的每个领域；可以选择将其应用于特定分析，以支持需要做出的特定决策。如果确实想更广泛地采用定量方法，定量风险标准（例如FAIR）与可能在组织中使用的其他标准、工具或框架（例如 ISO27005 或 NIST 网络安全框架）兼容。

为什么要使用网络安全风险量化？

1. 用利益相关者关心的术语进行沟通

量化风险有助于以更适用于业务环境的方式表达风险。例如，您可以使用频率或百分比来估计风险发生的可能性（“我们预计此事件在未来 6 个月内发生一次”）。

同样，可以定量地表达风险的潜在影响。这可能包括使用货币价值、受影响的设备数量、受影响的关键服务数量或关键系统或服务不可用的时间。

结合起来，这将允许使用可能性和影响来描述风险，例如，“根据我们当前的安全控制，我们有 90% 的信心这种风险将在明年至少发生一次，并且成本将在 5,000 英镑之间如果发生这种情况，则赔偿 25,000 英镑。”以这种方式构建风险可以帮助回答诸如“我们有多少风险？”之类的业务问题。并且可以使有关风险是否可能超过风险承受水平的讨论变得更容易管理。