網路安全領導者面臨著一些棘手的問題,例如:“今年發生安全漏洞的機率是多少?”“會造成多大的損失?”以及“我們應該投入多少資金來阻止安全漏洞?”
然而,目前大多數風險模型仍然是基於猜測、直覺和色彩鮮豔的風險地圖,而不是基於數據。
事實上,我發現 普華永道2025年全球數位信任洞察研究 只有 15% 的組織大量使用定量風險建模。
本文探討了傳統網路安全風險模型為何存在不足,以及如何應用一些溫和的統計工具(例如機率建模)來提供更好的解決方案。
網路風險建模的兩大主要學派
網路風險模型是 用於分析、評估和衡量網路安全威脅及其對資訊系統、數據或業務的潛在影響的系統框架或方法。
資訊安全專業人員在風險評估過程中主要使用兩種不同的風險建模方法:定性方法和定量方法。 網路風險的定量建模 一種需要專業知識的先進方法。
風險評估的定性模型
假設有兩個團隊評估相同風險。一隊給予該風險的機率評分為 4/5,影響評分為 5/5。另一個團隊則分別給予機率和影響評分為 3/5 和 4/5。兩個團隊都將該風險定位在一個矩陣上。但他們都無法回答財務長的問題:“這件事發生的實際機率是多少?我們會因此付出什麼代價?”
定性方法依賴主觀風險評估,主要源自於評估者的直覺。此方法通常會得出風險發生的機率和影響程度的等級評定,評定採用序數尺度,例如 1-5。
接下來,在風險矩陣中識別風險位置,以了解它們在這個序數尺度上的位置。
這兩個序數指標通常相乘,以便根據機率和影響確定風險的優先順序。乍一看,這似乎合情合理,因為資訊安全領域常用的風險定義是:
[text{風險} = text{可能性} 次 text{影響}]
然而,從統計學的角度來看,定性風險建模涉及一些非常重大的風險。
這些風險中的第一個是使用序數尺度。雖然給序數尺度賦予數值似乎為模型提供了數學支持,但這只是一種錯覺。
序數尺度只是標籤──它們之間沒有明確的距離。風險影響等級為「2」和影響等級為「3」之間的距離是無法量化的。將序數尺度上的標籤改為「A」、「B」、「C」、「D」和「E」沒有任何意義。
這反過來意味著,當我們使用定性建模時,我們的風險公式有缺陷。我們無法計算「B」發生的機率乘以「C」的影響。
另一個主要挑戰是不確定性建模。當我們對網路風險進行建模時,我們實際上是在對不確定的未來事件進行建模。實際上,可能的結果有很多種。
將網路風險簡化為單一的估計值(例如「20/25」或「高」),並不能傳達「最有可能的年度損失為 1 萬美元」和「有 5% 的機率損失 10 萬美元或更多」之間的重要區別。
定量風險建模:進階分析
想像一下,一個團隊正在進行風險評估。他們估計了一系列可能的結果,從 10 萬美元到 1000 萬美元不等。透過運行蒙特卡羅模擬,他們推斷出年度損失超過 100 萬美元的機率為 10%,預計損失為 48 萬美元。現在,當財務長問起時, “這種情況發生的可能性有多大?代價是什麼?”團隊可以用數據而非直覺來回應。
這種方法將討論的重點從模糊的風險分類轉移到 機率和潛在財務影響這是高階主管們能理解的語言。
如果你有統計學背景,那麼這裡有一個概念尤其值得關注:
可能性。
網路安全風險建模的核心在於量化某些事件發生的機率及其發生後的影響。這為各種統計工具的應用打開了大門,例如蒙特卡羅模擬,這些工具能夠比序數測量更有效地模擬不確定性。
定量風險建模使用統計模型為損失賦予美元價值,並模擬這些損失事件發生的機率,從而捕捉未來的不確定性。
雖然定性分析有時可以近似得出最可能的結果,但它無法捕捉到全部的不確定性,例如罕見但影響巨大的事件,即所謂的「長尾風險」。
超額損失曲線以 y 軸表示超過一定年度損失金額的機率,以 x 軸表示不同的損失金額,從而形成一條向下傾斜的曲線。
從損失超調曲線中提取不同的百分比,例如第五百分位數、平均值和第九十五百分位數,可以對風險的潛在年度損失有一個 90% 置信度的概念。
雖然定性分析的單點估計可能近似於最可能的風險(取決於評估人員判斷的準確性),但定量分析可以捕捉結果的不確定性,即使是那些罕見但仍然可能出現的風險(稱為「長尾風險」)。
超越網路風險:改善網路安全風險模型
為了改善資訊安全領域的風險模型,我們只需向外探索,特別是藉鏡其他領域的技術。風險模型在金融、保險、航空安全和供應鏈管理等眾多應用領域都取得了顯著發展。這些領域為網路安全提供了寶貴的經驗。
金融團隊使用基於貝葉斯統計的投資組合風險管理模型。保險團隊使用複雜的精算模型來模擬風險。航空業使用機率模型來模擬系統故障風險。供應鏈管理團隊使用機率模擬來模擬風險。這些方法為開發有效的網路風險模型奠定了堅實的基礎。
工具已經存在,數學基礎也已十分成熟,其他產業也已鋪路。現在輪到網路安全領域採用量化風險模型,以做出更明智、更合理的決策,從而改善網路安全策略並降低潛在損失。採用這些量化模型是實現更有效的網路風險管理的關鍵一步。
拉賈斯坦邦
| 定性分析 | 定量分析 |
| 序數尺度(1-5) | 機率建模 |
| 個人直覺 | 伊斯蘭堡 |
| 單項評分 | 風險分佈 |
| 顏色表示圖和顏色代碼 | 損失超限曲線 |
| 它忽略了罕見但嚴重的事件。 | 捕捉長尾風險 |
評論被關閉。