簡介

越來越多的人采用網絡安全風險量化作為改進風險分析和溝通的一種方式。這樣做可以讓您用利益相關者可能更熟悉的術語來談論網絡安全風險，并且與組織更廣泛的業務環境更相關。由于對自己是否擁有必要的知識或數據存在誤解，許多人推遲了量化風險的嘗試。本指南介紹了網絡安全風險量化，解決了一些誤解，并討論了您可能使用它的原因。

什么是量化？

量化被定義為“事物數量的表達或測量”。應用于網絡安全風險分析，這可能意味著使用統計模型來衡量您面臨的風險有多大。對于風險溝通，量化可能意味著：

• 將風險的可能性或影響表達為數量，例如每周、每月或每年一次
• 系統停機時間（以小時為單位）
• 補救成本作為影響的貨幣價值。

序數（第1、第2、第3等）或標簽（低、中、高）不衡量某物的數量；它們代表位置或順序。在網絡安全中，序數或標簽通常用于對發現或風險的可能性或影響進行評分。這些是有序標簽而不是測量數量，因此不是網絡安全風險量化的示例。一些風險評估和風險分析方法試圖使用數學運算來組合這些標簽或序數，并且因為這些不是測量的數量，所以應該避免這種情況。

風險量化神話

關于網絡安全風險量化存在很多誤解，可能會阻礙人們親自嘗試。在我們討論為什么您可能會考慮量化之前，下表旨在揭穿其中一些誤解（神話）。

為什么要使用網絡安全風險量化？

1. 用利益相關者關心的術語進行溝通

量化風險有助于以更適用于業務環境的方式表達風險。例如，您可以使用頻率或百分比來估計風險發生的可能性（“我們預計此事件在未來 6 個月內發生一次”）。

同樣，可以定量地表達風險的潛在影響。這可能包括使用貨幣價值、受影響的設備數量、受影響的關鍵服務數量或關鍵系統或服務不可用的時間。

結合起來，這將允許使用可能性和影響來描述風險，例如，“根據我們當前的安全控制，我們有 90% 的信心這種風險將在明年至少發生一次，并且成本將在 5,000 英鎊之間如果發生這種情況，則賠償 25,000 英鎊。” 以這種方式構建風險可以幫助回答諸如“我們有多少風險？”之類的業務問題。并且可以使有關風險是否可能超過風險承受水平的討論變得更容易管理。

2. 實現成本效益分析和風險比較/優先級排序

風險量化可以更輕松地執行成本效益分析。除了對風險發生的頻率（或其影響）進行定量估計外，您還可以估計建議的控制措施將在多大程度上降低該風險。這些估計可以通過一系列來源獲得，例如保證活動、控制效果的評估或建議的控制如何集成到系統中的專家知識。

將估計的可能性或影響減少與新控制措施的成本進行比較可以幫助決策者選擇是否實施控制措施。這有助于確保盡可能有效地管理有限的安全資源。同樣，當有多個選項需要實施控制時，權衡每個選項所提供的風險降低程度（及其成本）可以幫助您做出更明智的決策。

很難比較兩個被評為“高”或 5/5 的風險并決定首先需要解決哪一個。如果對風險進行量化，可以更詳細地了解風險對您的組織意味著什么，那么它可以幫助從業者和決策者決定首先解決哪個風險。

3. 提供透明度

網絡安全存在很多不確定性，而這些不確定性往往未被認識到。這可能會導致意想不到的結果并損害關鍵利益相關者的信任。通過量化風險，您可以將風險發生的可能性或影響表示為“分布”而不是單個值，從而明確分析中的不確定性有多少。

如果您使用序數標簽來傳達風險，量化可以幫助您的分析師團隊明確每個標簽的含義，并在某些風險變為“高”風險而不是“中”或“低”風險時達成一致。分析師為相同的風險分配不同的標簽可能是順序評級系統的陷阱，因此擁有清晰的量化定義可以確保每個人都在同一頁面上。

與所有風險分析方法一樣，您應該注意記錄您的假設，以防以后需要重新審視這些假設。您還應該尋求提供有關在溝通風險時使用哪些數據源或流程來得出結論的信息。