簡介

越來越多的人采用網(wǎng)絡(luò)安全風(fēng)險量化作為改進(jìn)風(fēng)險分析和溝通的一種方式。這樣做可以讓您用利益相關(guān)者可能更熟悉的術(shù)語來談?wù)摼W(wǎng)絡(luò)安全風(fēng)險，并且與組織更廣泛的業(yè)務(wù)環(huán)境更相關(guān)。由于對自己是否擁有必要的知識或數(shù)據(jù)存在誤解，許多人推遲了量化風(fēng)險的嘗試。本指南介紹了網(wǎng)絡(luò)安全風(fēng)險量化，解決了一些誤解，并討論了您可能使用它的原因。

什么是量化？

量化被定義為“事物數(shù)量的表達(dá)或測量”。應(yīng)用于網(wǎng)絡(luò)安全風(fēng)險分析，這可能意味著使用統(tǒng)計模型來衡量您面臨的風(fēng)險有多大。對于風(fēng)險溝通，量化可能意味著：

• 將風(fēng)險的可能性或影響表達(dá)為數(shù)量，例如每周、每月或每年一次
• 系統(tǒng)停機(jī)時間（以小時為單位）
• 補救成本作為影響的貨幣價值。

序數(shù)（第1、第2、第3等）或標(biāo)簽（低、中、高）不衡量某物的數(shù)量；它們代表位置或順序。在網(wǎng)絡(luò)安全中，序數(shù)或標(biāo)簽通常用于對發(fā)現(xiàn)或風(fēng)險的可能性或影響進(jìn)行評分。這些是有序標(biāo)簽而不是測量數(shù)量，因此不是網(wǎng)絡(luò)安全風(fēng)險量化的示例。一些風(fēng)險評估和風(fēng)險分析方法試圖使用數(shù)學(xué)運算來組合這些標(biāo)簽或序數(shù)，并且因為這些不是測量的數(shù)量，所以應(yīng)該避免這種情況。

風(fēng)險量化神話

關(guān)于網(wǎng)絡(luò)安全風(fēng)險量化存在很多誤解，可能會阻礙人們親自嘗試。在我們討論為什么您可能會考慮量化之前，下表旨在揭穿其中一些誤解（神話）。

為什么要使用網(wǎng)絡(luò)安全風(fēng)險量化？

1. 用利益相關(guān)者關(guān)心的術(shù)語進(jìn)行溝通

量化風(fēng)險有助于以更適用于業(yè)務(wù)環(huán)境的方式表達(dá)風(fēng)險。例如，您可以使用頻率或百分比來估計風(fēng)險發(fā)生的可能性（“我們預(yù)計此事件在未來 6 個月內(nèi)發(fā)生一次”）。

同樣，可以定量地表達(dá)風(fēng)險的潛在影響。這可能包括使用貨幣價值、受影響的設(shè)備數(shù)量、受影響的關(guān)鍵服務(wù)數(shù)量或關(guān)鍵系統(tǒng)或服務(wù)不可用的時間。

結(jié)合起來，這將允許使用可能性和影響來描述風(fēng)險，例如，“根據(jù)我們當(dāng)前的安全控制，我們有 90% 的信心這種風(fēng)險將在明年至少發(fā)生一次，并且成本將在 5,000 英鎊之間如果發(fā)生這種情況，則賠償 25,000 英鎊?！?nbsp;以這種方式構(gòu)建風(fēng)險可以幫助回答諸如“我們有多少風(fēng)險？”之類的業(yè)務(wù)問題。并且可以使有關(guān)風(fēng)險是否可能超過風(fēng)險承受水平的討論變得更容易管理。

2. 實現(xiàn)成本效益分析和風(fēng)險比較/優(yōu)先級排序

風(fēng)險量化可以更輕松地執(zhí)行成本效益分析。除了對風(fēng)險發(fā)生的頻率（或其影響）進(jìn)行定量估計外，您還可以估計建議的控制措施將在多大程度上降低該風(fēng)險。這些估計可以通過一系列來源獲得，例如保證活動、控制效果的評估或建議的控制如何集成到系統(tǒng)中的專家知識。

將估計的可能性或影響減少與新控制措施的成本進(jìn)行比較可以幫助決策者選擇是否實施控制措施。這有助于確保盡可能有效地管理有限的安全資源。同樣，當(dāng)有多個選項需要實施控制時，權(quán)衡每個選項所提供的風(fēng)險降低程度（及其成本）可以幫助您做出更明智的決策。

很難比較兩個被評為“高”或 5/5 的風(fēng)險并決定首先需要解決哪一個。如果對風(fēng)險進(jìn)行量化，可以更詳細(xì)地了解風(fēng)險對您的組織意味著什么，那么它可以幫助從業(yè)者和決策者決定首先解決哪個風(fēng)險。

3. 提供透明度

網(wǎng)絡(luò)安全存在很多不確定性，而這些不確定性往往未被認(rèn)識到。這可能會導(dǎo)致意想不到的結(jié)果并損害關(guān)鍵利益相關(guān)者的信任。通過量化風(fēng)險，您可以將風(fēng)險發(fā)生的可能性或影響表示為“分布”而不是單個值，從而明確分析中的不確定性有多少。

如果您使用序數(shù)標(biāo)簽來傳達(dá)風(fēng)險，量化可以幫助您的分析師團(tuán)隊明確每個標(biāo)簽的含義，并在某些風(fēng)險變?yōu)椤案摺憋L(fēng)險而不是“中”或“低”風(fēng)險時達(dá)成一致。分析師為相同的風(fēng)險分配不同的標(biāo)簽可能是順序評級系統(tǒng)的陷阱，因此擁有清晰的量化定義可以確保每個人都在同一頁面上。

與所有風(fēng)險分析方法一樣，您應(yīng)該注意記錄您的假設(shè)，以防以后需要重新審視這些假設(shè)。您還應(yīng)該尋求提供有關(guān)在溝通風(fēng)險時使用哪些數(shù)據(jù)源或流程來得出結(jié)論的信息。