简析网络风险量化的价值与应用实践

随着网络攻击手段的日益多样化和复杂化，传统基于检测的网络安全防护模式已经难以应对当前的安全威胁挑战。在此背景下，越来越多的组织开始采用网络安全风险量化，并将其作为增强组织安全风险分析和治理能力的一种有效手段。通过将网络风险量化，组织可以让所有利益相关者更好地了解当前所面临的安全风险态势，从而与组织更广泛的数字化业务发展相融合。

什么是网络风险量化？

量化是指对事物数量的统计表达或测量。当其应用于网络安全风险分析时，就意味着从业务发展的角度去度量组织的网络风险暴露情况和该风险的潜在危害影响。换句话说，它是用一种数学术语来定量化描述网络风险态势。

网络风险量化（CRQ）需要应用先进的建模技术来全面评估企业中的隐藏风险和暴露风险可能性，以及如何应对可能的危害。然后，这些信息被用来计算财务风险，以得出估计的损失。使用网络风险量化，阻止可以更准确的回答以下重要问题：

ㆍ如果组织不解决安全项目中的一些特殊缺口，可能造成的经济损失会有多大？

ㆍ什么样的网络安全事件会导致最严重的业务影响？

ㆍ哪些网络安全项目需要优先考虑的，对稳定风险至关重要？

ㆍ我们需要在安全控制/资源方面进行哪些投资？在哪些方面？

网络风险量化并不等同于网络风险评估。网络风险评估是指将系统、数据或网络划分为低、中、高等不同的风险等级。这个过程可以是基于内容、上下文或用户行为的，往往倾向于定性的或动态的发现。

虽然网络风险评估对组织的风险防护工作是有效的，但并不足够。当多个资产处于同等的风险等级时，网络安全团队该如何确定安全控制的优先级？此外，如何低风险系统被优先处置时，又会造成什么危害呢？这时候，就需要更加客观、定量的风险测量来进行补充。

网络风险量化会使用数学公式、逻辑流程图以及定量指标体系来计算风险，这是其与传统的网络风险评估方法主要区别。它能够更直观的反映出，当组织受到网络攻击的影响情况，组织可能会损失的严重程度，从而使其调查结果更加合理，并以数据为依据。

网络风险量化的框架

组织在开始对网络风险进行量化之前，必须选择一个适当的风险分析框架作为参考。以下是帮助组织实现这一目标的常用安全框架，包括：

ㆍNIST SP 800-53：这是美国国家标准与技术研究院（NIST）发布的安全和隐私控制目录。它能够根据严重程度衡量网络威胁，以帮助公司优先考虑这些威胁并保护信息系统。

ㆍISO 27005：这是由国际标准化组织（ISO）发布的执行信息安全风险评估指南框架。它适用于各种规模的企业组织，并已多次更新，是一种通用的网络风险量化框架。

ㆍFAIR模型：信息风险因素分析（FAIR）模型由非营利组织FAIR研究所发布。这是一种基于概率的模型使用数学算法从货币和数量上衡量风险。虽然它很实用，但它需要大量的信息。

ㆍMonte Carlo分析模型：这种模型主要通过使用计算机生成的场景来测试组织的网络安全弹性并识别潜在风险，帮助评估组织在各种风险情况下的结果。

网络风险量化的价值

现代企业的安全决策者应该尽快考虑实施网络风险量化，而非类似的替代方案，因为网络攻击的频率和严重程度都在增加，组织需要更准确的风险评估结果。安全领导者不仅要确保组织的网络安全，还要证明其防护成本是合理的。

调查数据显示，约69%的网络安全领导者预计，到2024年底，他们的网络安全预算将增长10%-100%。然而在大多数组织中，安全策略和业务目标之间存在不一致，安全团队通常无法与公司高级管理人员、董事会进行有效沟通。网络风险量化作为一种弥合安全和业务领域之间鸿沟的方式，自然受到了广泛关注。

网络风险量化能够让公司董事会和高管层看清当前的网络安全风险格局；它还将使安全团队能够在业务需求的背景下做出网络安全决策，帮助组织确定哪些风险对业务构成最大的威胁，以及预期的经济损失将是什么。

因此，实施网络风险量化可以给现代企业组织带来大量的战术和战略收益，具体包括以下几点：

1

资源和预算的合理分配

网络风险量化可以让组织更好地了解网络安全威胁的成本及其合理的补救措施，从而为网络安全投资决策提供信息。例如，特定网络安全计划的投资回报率可以通过测量它们降低妥协风险水平的程度来体现，这有助于证明组织未来网络安全投资的合理性。

2

制定更高效的行动计划

网络风险量化使安全管理团队能够根据财务和业务影响确定缓解计划的优先级。彻底了解哪些关键资产处于重大风险之中，以及攻击路线、破坏和缓解成本，使组织能够规划和优先考虑预防和缓解计划。修复特定的关键网络漏洞以避免这些攻击，比简单地采用“一揽子”解决方案更有效。

3

实现高效的沟通

网络风险量化的一个关键好处是，它可以从财务和业务角度定义组织的安全风险态势，用一种通用语言在安全和业务领域之间架起沟通的桥梁，管理层可以更好地了解组织的风险状况，并就降低风险做出更明智的决策。这将大大改变网络安全工作是一种“成本中心”的传统偏见，让安全建设成为业务发展的推动者。

4

提升整体安全性

网络风险量化如果实施得当，会使整个组织更加安全。因为它提供了跟踪、报告、基准测试和优化安全团队工作效率的能力。通过降低风险、改进安全投资和确定缓解工作的优先级，它可以帮助组织优化安全决策，节省时间和金钱。

网络风险量化的挑战与实践

要科学实现网络风险量化并不容易，在此过程中也面临以下两个主要挑战：

1

孤立的数据阻碍了可见性

现代企业组织通常使用多种工具和平台来生成和获取数据，然后将其分发到各个业务团队。大多数时候，这些解决方案是没有互联互通的，这就造成了数据孤岛。遍历每个工具并分析数据既耗时又费力。如果其中的一些平台被忽视了，就会影响组织风险试图的完整性，这也将严重限制安全团队正确度量网络风险的能力。

2

缺乏用于快速补救的实时数据

网络安全是一个持续不断的攻防博弈过程。然而，如果企业的安全团队缺乏对关键安全数据的实时可见性，那么很多安全策略将会失效。由于威胁总是在快速变化发展，组织的风险管理团队必须能够实时地处理它们。如果安全团队限制了对威胁数据的访问，风险度量工作将无法正确识别威胁并实施补救措施。

为了应对上述挑战，建议组织在实施网络风险量化工作时，遵循如下实践步骤和流程：

1

识别并确定组织的关键IT资产

网络风险量化工作取得成功的关键，就是要首先确定企业组织中最可能被攻击的所有重要IT资产，并针对这些资产重点进行风险量化。当组织确定了关键性资产后，还应该根据它们的重要程度进行分类分级，这助于组织确定在网络风险量化中应包括哪些内容。

2

充分收集与网络威胁相关的数据和情报信息

只有当组织有足够的威胁数据和情报信息提供给风险量化算法模型时，他们才能准确的根据量化规则计算出风险值。因此，各种威胁数据的收集、预处理和聚合是风险量化工作成功的关键。IT专业人员应该充分了解当前组织网络攻击的频率和攻击面情况，并分析网络犯罪趋势会如何影响组织的资产安全性。

3

区分内部和外部网络风险

风险度量的准确性会随着网络攻击的特异性改变而变化。除非企业规模很小，否则实施多个网络风险量化流程将符合企业的最佳利益。考虑到超过98%的公司会与第三方供应商进行合作，因此区分来自内部和外部的网络威胁应该是网络风险量化工作的起点。

4

向管理层报告调查结果

在网络风险量化的过程中，评估团队需要将发现的评估结果汇整成详细报告，并将原始数据转化为易于理解的、没有专业话术的信息图表，以向管理层准确展示他们的度量发现，这样才可以在风险管理策略的后续阶段帮助组织简化管理决策。此外，组织也需要利用风险度量的数据指标，来向所有员工分享相关的风险信息，提醒员工更加留意与风险相关的行为。

5

持续进行组织的网络风险量化

网络风险量化并不是一劳永逸的活动。由于企业组织面临的威胁形势是在不断变化，其复杂性和危害性也会不断增加，因此，网络风险量化也应该不断优化并持续开展。

https://hackernoon.com/what-is-cyber-risk-quantification

https://cyesec.com/blog/the-complete-guide-to-cyber-risk-quantification

https://vulcan.io/blog/cyber-risk-quantification-a-practitioners-guide/