网络风险建模从定性到定量

对信息安全主管而言，网络风险报告事宜举足轻重。组织内关键利益相关者常会询问CISO和网络安全主管的问题有：

如果采用定性风险建模，我们得到的是反映可能性和影响的矩阵，只有定义不太明确的“高”或“严重”等类别，实际运用中会遇到诸多限制。
首先，界限不明。缺乏度量值，“高”的上限就很难与“严重”的下限区分开来。因此，没有可衡量的相关解释表明网络风险到底是实质性增加还是减少。
其次，风险矩阵读数中通常找不到风险容忍水平。缺乏风险偏好/容忍可以算是个重大损失了。不应用到风险容忍度上的话，这种风险读数就是不完整的，相关性也缺失了。如果组织的风险容忍水平在某些领域可承受更高的风险，那么显示这些领域存在更高风险或许可以提供有用信息，但并非值得马上关注。
再次，财务相关性是营利性和非营利组织做出明智商业决策的基石。缺乏与风险读数相关联的财务损失指标，组织又怎么知道支出重点是否放在了潜在风险最高的领域呢？与之类似的是了解投资网络安全相关控制措施能够降低多少潜在财务风险。这是定性风险报告的另一个短板。
转向定量网络风险分析模型可获得更为准确的数据，导向更加明智的决策。但这种转变对大多数组织而言并不容易。
有意思的是，衡量网络风险在很多方面与衡量其他风险非常相似。没错，这更多是最近由于数据存储和传输技术创新才出现的一种现象。但从本质上讲，很多元素都是非常相似的。
相较于一直采用的定序尺度方法（例如基于可能性和影响程度的交集衡量风险），组织仍然不愿意采用更为有效的方法来衡量网络风险。为什么直觉反对用定量方法衡量网络风险？《如何衡量网络安全风险》一书的作者Doug Hubbard指出了一些原因。
其中一个主要原因就是人们认为定量方法太复杂和/或太难了，觉得这跟海水淡化的难度差不多。确实，定量方法更加精明，但网络风险度量宣传方面存在固有偏见和/或不甚有效，令从业人员误认为不值得花费时间精力去换取这一点点好处。然而，Hubbard表示，“许多组织现在都在用这些方法，即便他们并没有定量风险分析方面的背景。”
另一个原因在于人们不愿意踏出舒适区，依然眷恋自己最熟悉的那种方法。不想抛弃当前给出低、中、高风险之类粗略指标的定性风险分析方法，阻碍了从业人员寻求突破的脚步。
事实上，Hubbard提到了一个已经在用但效果不是很好的模型——直觉。风险建模断言大多归于个人偏好或偏见，这些偏好或偏见可能是无意识的，因而很难（或不太可能）从公式中提取。这就往数据输入中引入了倾向性，可能会影响风险报告输出。
在Hubbard看来，网络安全从业人员的大脑与机械工程师或医师的大脑无甚区别的地方就在此处。比如说，他们的大脑都带有偏见和选择性记忆。然而，人们如今依然仰赖自己的判断和经验（限于自身认知）来做出风险评级断言。正如Hubbard所类比的，医师也是依靠临床试验作为给出用药建议的样本基础。依靠医生自己的样本量可能不足以将不确定性降低到所需的程度。
如果希望通过减少不确定性和显示更为业务相关的输出来精确呈现网络风险，转向定量风险分析好处多多。无论是嵌入风险容忍度，还是应用财务相关性，亦或者摒弃粗略的高、中、低分类术语，相比当下所用其他方法，定量网络风险衡量方法无疑是正确得多的发展方向。

* 本文为nana编译，原文地址：https://www.securityweek.com/moving-from-qualitative-to-quantitative-cyber-risk-modeling/

注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

原文始发于微信公众号（数世咨询）：网络风险建模从定性到定量