信息化觀察網(wǎng)

本文來自安全牛。

作為一家跨國企業(yè)的首席信息安全官，馬克正在發(fā)愁如何給董事會一個令人信服的匯報。一年前，他向董事會申請了一筆可觀的網(wǎng)絡(luò)安全投資預(yù)算，承諾將全面提升公司的安全防護水平。如今，在馬克和他的團隊的努力下，公司上下的安全意識得到明顯提升，關(guān)鍵系統(tǒng)的防護方案也得以完善，網(wǎng)絡(luò)安全事件數(shù)量和影響范圍較之前有了大幅降低。但是，這一年的投資到底帶來了多少收益?攻擊減少了多少?風險降低了多少?損失避免了多少?馬克由此陷入困境。

這種困境并非馬克獨有，而是整個行業(yè)面臨的普遍挑戰(zhàn)。破解這一難題的關(guān)鍵，就在于建立一套有效的網(wǎng)絡(luò)安全風險量化體系。所謂網(wǎng)絡(luò)安全風險量化，是指通過系統(tǒng)化的方法來評估和衡量與網(wǎng)絡(luò)安全相關(guān)的潛在威脅和損失的過程，將網(wǎng)絡(luò)安全風險轉(zhuǎn)化為可測量的數(shù)值，以便于組織更好地理解、管理和緩解這些風險。

網(wǎng)絡(luò)安全風險量化代表了一種范式轉(zhuǎn)變，即從合規(guī)導(dǎo)向轉(zhuǎn)向風險導(dǎo)向，從主觀判斷轉(zhuǎn)向客觀度量，從事后被動轉(zhuǎn)向事前主動。

網(wǎng)絡(luò)安全風險量化帶來范式轉(zhuǎn)變

進入21世紀，數(shù)字化的快速發(fā)展也為網(wǎng)絡(luò)安全帶來了前所未有的挑戰(zhàn)。一方面，企業(yè)的業(yè)務(wù)系統(tǒng)、數(shù)據(jù)資產(chǎn)、供應(yīng)鏈等不斷向網(wǎng)絡(luò)空間延伸，攻擊面不斷擴大;另一方面，網(wǎng)絡(luò)威脅的種類和復(fù)雜度也在不斷演進，APT攻擊、供應(yīng)鏈攻擊、勒索軟件等層出不窮。

面對日益嚴峻的網(wǎng)絡(luò)安全形勢，傳統(tǒng)的合規(guī)驅(qū)動型安全管理方式暴露出諸多局限性，難以滿足數(shù)字化時代的安全需求。

一是缺乏業(yè)務(wù)視角。傳統(tǒng)安全管理過度關(guān)注技術(shù)指標，如漏洞修復(fù)率、病毒檢出率等，而忽視了業(yè)務(wù)影響。安全團隊與業(yè)務(wù)部門往往各自為政，沒有建立起有效的溝通機制。這導(dǎo)致安全實踐脫離業(yè)務(wù)需求，無法聚焦最關(guān)鍵的風險。

二是決策主觀性強。在缺乏客觀量化依據(jù)的情況下，安全決策往往依賴領(lǐng)導(dǎo)者的直覺和經(jīng)驗，帶有很強的主觀性和隨意性。這種“拍腦袋”式的決策方式，一方面難以令業(yè)務(wù)部門信服，另一方面也無法確保有限的安全資源發(fā)揮最大價值。

三是缺乏全局視野。傳統(tǒng)安全管理往往采用條塊分割的思路，不同的安全領(lǐng)域各自為戰(zhàn)，缺乏統(tǒng)一的風險視圖。這種孤島式的管理方式，無法全面評估網(wǎng)絡(luò)安全風險在整個組織層面的聚合效應(yīng)，容易出現(xiàn)防守盲區(qū)和薄弱環(huán)節(jié)。

四是安全投入產(chǎn)出難以評估。由于缺乏科學(xué)的計量方法，網(wǎng)絡(luò)安全投入與產(chǎn)出之間的關(guān)系往往難以量化，無法直接對標財務(wù)指標。這導(dǎo)致企業(yè)高層難以權(quán)衡安全投資的合理性，也無法持續(xù)優(yōu)化安全策略。

網(wǎng)絡(luò)安全風險量化正是在這樣的背景下應(yīng)運而生，成為破解上述困境的關(guān)鍵抓手。通過在技術(shù)風險和業(yè)務(wù)風險之間建立起定量的對應(yīng)關(guān)系，風險量化在網(wǎng)絡(luò)安全和業(yè)務(wù)戰(zhàn)略之間搭建起了一座溝通的橋梁。

風險量化的核心價值體現(xiàn)在三個方面：

一是讓安全風險可視化。通過對安全威脅、脆弱性、影響等要素進行定量刻畫，風險量化可以客觀呈現(xiàn)企業(yè)所面臨的安全風險狀況，并隨著內(nèi)外部環(huán)境的變化實時更新。這種可視化的風險映射，有助于安全團隊和業(yè)務(wù)管理層建立起共同的語言，加深彼此理解。

二是讓安全決策智能化。風險量化從主觀判斷轉(zhuǎn)向客觀度量，從定性分析轉(zhuǎn)向定量評估，為安全決策提供了科學(xué)依據(jù)。通過對不同安全措施的成本收益進行量化分析，安全團隊可以有針對性地配置資源，優(yōu)先應(yīng)對最關(guān)鍵的風險。同時，量化結(jié)果也為安全投資決策提供了有力支撐，有助于爭取高層支持。

三是讓安全價值可衡量。風險量化以損失為導(dǎo)向，用收入、利潤、股價等財務(wù)指標來評判網(wǎng)絡(luò)安全的影響，使得安全投入產(chǎn)出可以直接對標業(yè)務(wù)價值。這有助于改變網(wǎng)絡(luò)安全的成本中心形象，樹立起"安全=業(yè)務(wù)助推器"的新認知。同時，量化也為持續(xù)優(yōu)化安全策略提供了有力抓手。通過跟蹤量化指標的動態(tài)變化，安全團隊可以評估安全措施的有效性，并據(jù)此改進管理實踐。

正因為如此，越來越多組織和機構(gòu)開始強調(diào)網(wǎng)絡(luò)安全風險量化。工業(yè)和信息化部、國家金融監(jiān)督管理總局發(fā)布的《關(guān)于促進網(wǎng)絡(luò)安全保險規(guī)范健康發(fā)展的意見》，明確提出開展網(wǎng)絡(luò)安全風險量化評估，探索建立網(wǎng)絡(luò)安全風險量化評估模型。美國NIST網(wǎng)絡(luò)安全框架2.0已經(jīng)提供了多種方法來評估和量化網(wǎng)絡(luò)安全風險。

網(wǎng)絡(luò)風險量化面臨的挑戰(zhàn)

盡管風險量化前景光明，但其發(fā)展之路并非坦途。當前，風險量化在數(shù)據(jù)、方法和協(xié)作等方面仍面臨諸多挑戰(zhàn)：

首先是數(shù)據(jù)質(zhì)量和可用性不足。風險量化高度依賴于海量異構(gòu)數(shù)據(jù)的采集、清洗、整合和分析，對數(shù)據(jù)質(zhì)量和時效性有著苛刻要求。但現(xiàn)實中，許多企業(yè)的IT和安全系統(tǒng)割裂分散，數(shù)據(jù)孤島問題嚴重，難以形成全面、準確、實時的數(shù)據(jù)資產(chǎn)。據(jù)IDC的調(diào)查，數(shù)據(jù)孤島是企業(yè)實施風險量化的首要障礙。

其次是量化模型和標準尚不成熟。網(wǎng)絡(luò)安全領(lǐng)域錯綜復(fù)雜，影響因素眾多，構(gòu)建科學(xué)合理的量化模型本就難度不小。加之不同行業(yè)、不同企業(yè)面臨的安全威脅各不相同，導(dǎo)致量化模型難以標準化和規(guī)?；?。

最后是缺乏有效的跨部門協(xié)作機制。風險量化涉及IT、安全、業(yè)務(wù)、財務(wù)、法律等多個部門，需要企業(yè)內(nèi)外部利益相關(guān)方的通力配合。但現(xiàn)實中，這些部門往往各自為政，缺乏統(tǒng)一的量化語言和流程，數(shù)據(jù)和信息無法有效共享，導(dǎo)致量化工作難以開展。據(jù)安永的調(diào)查，缺乏跨部門協(xié)作是企業(yè)風險量化面臨的最大組織挑戰(zhàn)。

構(gòu)建高效的風險量化體系

風險量化是一個復(fù)雜的系統(tǒng)工程，涉及組織、流程、技術(shù)等方方面面，因此需要構(gòu)建高效的風險量化體系，才能真正將風險量化打造成支撐企業(yè)安全發(fā)展的核心能力。

1堅持業(yè)務(wù)導(dǎo)向原則，理解關(guān)鍵資產(chǎn)和業(yè)務(wù)流程

風險量化的首要原則是業(yè)務(wù)導(dǎo)向。安全團隊必須深入理解企業(yè)的關(guān)鍵資產(chǎn)和業(yè)務(wù)流程，才能準確評估網(wǎng)絡(luò)風險對業(yè)務(wù)的潛在影響。

關(guān)鍵資產(chǎn)是指對企業(yè)的生存和發(fā)展至關(guān)重要的信息資源，如客戶數(shù)據(jù)、知識產(chǎn)權(quán)、財務(wù)信息等。這些資產(chǎn)一旦遭到破壞或泄露，將給企業(yè)帶來嚴重的經(jīng)濟損失和聲譽損害。因此，風險量化必須聚焦這些關(guān)鍵資產(chǎn)，評估其所面臨的安全威脅和脆弱性，并據(jù)此制定有針對性的防護策略。

同時，資產(chǎn)的價值往往與其在業(yè)務(wù)流程中的作用密切相關(guān)。例如，客戶數(shù)據(jù)在營銷流程中的價值可能高于研發(fā)流程。因此，風險量化還需要深入分析業(yè)務(wù)流程，理解不同資產(chǎn)在各個環(huán)節(jié)的重要性，并據(jù)此確定量化的優(yōu)先級。

2構(gòu)建可靠的數(shù)據(jù)源基石，客觀真實的量化輸入

風險量化的準確性高度依賴數(shù)據(jù)質(zhì)量。只有基于客觀真實的數(shù)據(jù)，量化結(jié)果才能準確反映企業(yè)的實際風險狀況。

首先，要全面收集企業(yè)內(nèi)外部的安全數(shù)據(jù)，包括資產(chǎn)清單、漏洞信息、威脅情報、安全事件、合規(guī)要求等。這就要求打通各個安全工具和業(yè)務(wù)系統(tǒng)，實現(xiàn)數(shù)據(jù)的自動采集和集中管理。同時，還要補充企業(yè)特有的風險數(shù)據(jù)，如業(yè)務(wù)影響分析(BIA)結(jié)果、風險偏好等。

其次，要確保數(shù)據(jù)的準確性、完整性和一致性。這需要對采集到的原始數(shù)據(jù)進行清洗、去重、關(guān)聯(lián)和融合，形成高質(zhì)量的數(shù)據(jù)集。例如，外部威脅情報需要與內(nèi)部安全事件關(guān)聯(lián)，以識別企業(yè)正在面臨的真實威脅。

最后，數(shù)據(jù)源需要實現(xiàn)動態(tài)更新。企業(yè)需要構(gòu)建自動化的數(shù)據(jù)管道和更新機制，從而保證量化所依賴的數(shù)據(jù)能夠?qū)崟r反映最新狀態(tài)。

3借助成熟的量化框架和算法，提高量化的標準化水平

采用業(yè)界公認的量化標準，是企業(yè)提升量化水平的關(guān)鍵舉措?；诔墒斓睦碚摽蚣芎退惴?，才能得出科學(xué)、準確、可解釋的量化結(jié)果。

當前，業(yè)界已經(jīng)形成了多種網(wǎng)絡(luò)安全風險量化框架，如FAIR、NIST SP800-30、ISO 27005等。

其中，F(xiàn)AIR(Factor Analysis of Information Risk，信息風險因素分析)是應(yīng)用最廣泛的一種。FAIR提供一種結(jié)構(gòu)化、可量化的方法來評估信息風險,不僅幫助技術(shù)團隊更好地理解和管理風險,還使他們能夠以業(yè)務(wù)領(lǐng)導(dǎo)者理解的方式溝通這些風險。

在量化算法方面，蒙特卡洛仿真是業(yè)界的主流選擇。該算法通過隨機抽樣和大量迭代，不僅可以提供風險的點估計，還能給出整個可能結(jié)果的分布，這對于全面的風險管理決策至關(guān)重要。

4關(guān)注工具賦能，積極擁抱新興技術(shù)

網(wǎng)絡(luò)安全風險數(shù)量、速度、復(fù)雜度的不斷攀升，對風險量化提出了更高要求，企業(yè)需要借助新興技術(shù)和工具的力量，提升量化的效率和智能化水平。

比如，通過自動化來提升量化效率和準確性。自動化量化的關(guān)鍵是構(gòu)建智能化的量化工具和平臺。這些工具通過與各類安全和IT系統(tǒng)的API集成，可以自動獲取量化所需的數(shù)據(jù)，并按照預(yù)設(shè)的量化模型進行實時計算，生成量化報告和風險可視化，從而將原本需要數(shù)周甚至數(shù)月的工作量縮減到數(shù)小時乃至數(shù)分鐘。

再比如，通過可視化清晰、直觀呈現(xiàn)量化結(jié)果。通過圖表、儀表盤、熱力圖等可視化元素，量化結(jié)果可以直觀地展示風險的分布、等級、趨勢等關(guān)鍵信息，便于管理層快速了解全局，為決策提供參考。

5持續(xù)改進，建立常態(tài)化量化迭代機制

企業(yè)的業(yè)務(wù)環(huán)境在不斷變化，網(wǎng)絡(luò)安全形勢也在不斷演進，風險量化必須與時俱進，才能保持持續(xù)的有效性。

一方面，企業(yè)應(yīng)定期評估量化實踐的成熟度，識別不足之處，并制定改進計劃。這包括評估量化模型的準確性、數(shù)據(jù)源的可靠性、工具平臺的自動化水平等，必要時還需引入外部專家進行審視。

另一方面，要建立常態(tài)化的量化迭代機制，持續(xù)優(yōu)化量化方法和流程。這包括根據(jù)最新的威脅形勢調(diào)整量化參數(shù)，引入新的數(shù)據(jù)源以拓展量化維度，升級量化工具以提升分析能力等。同時，還應(yīng)總結(jié)量化實踐的經(jīng)驗教訓(xùn)，并將其轉(zhuǎn)化為可復(fù)制、可推廣的最佳實踐。

6企業(yè)決策層高度重視，培養(yǎng)風險量化企業(yè)文化

風險量化需要企業(yè)決策層的高度重視和推動，將其提升到戰(zhàn)略高度，確立風險量化的戰(zhàn)略目標和路線圖，為量化實踐提供必要的資源保障，推動量化在企業(yè)內(nèi)部的普及和應(yīng)用，建立跨部門的量化治理機制，將風險量化融進企業(yè)文化中。

這其中，跨部門的協(xié)作非常重要：

安全部門是風險量化的主導(dǎo)者，負責構(gòu)建量化框架和模型，提供所需的安全數(shù)據(jù)和專業(yè)知識，并基于量化結(jié)果提出風險處置建議;

IT部門掌握著企業(yè)的資產(chǎn)和架構(gòu)數(shù)據(jù)，要與安全部門緊密配合，建立資產(chǎn)測繪、脆弱性管理等量化數(shù)據(jù)接口，實現(xiàn)數(shù)據(jù)的互通共享;

業(yè)務(wù)部門是風險量化的需求方和受益方，要向安全部門提供關(guān)鍵業(yè)務(wù)流程、數(shù)據(jù)資產(chǎn)、風險偏好等信息，同時要將量化結(jié)果轉(zhuǎn)化為優(yōu)化業(yè)務(wù)流程、控制業(yè)務(wù)風險的具體行動;

財務(wù)部門是風險量化的重要用戶，風險量化可為財務(wù)部門提供風險投資回報率等量化指標，幫助其優(yōu)化資源配置。

與此同時，企業(yè)還需打造一支量化團隊，培養(yǎng)既需要精通安全技術(shù)，又要深諳業(yè)務(wù)運作;既要掌握數(shù)理統(tǒng)計知識，又要具備財務(wù)分析能力;既要能夠開發(fā)工具，又要善于可視化呈現(xiàn)的復(fù)合型人才。

總而言之，風險量化是一場深刻而全面的變革，它不僅僅是一種新的安全管理技術(shù)和工具，更代表了一種全新的安全管理理念和范式。這種變革正在重塑傳統(tǒng)的安全管理格局，開啟智能時代的安全新征程。