随着网络攻击手段的日益多样化和复杂化,传统基于检测的网络安全防护模式已经难以应对当前的安全威胁挑战。在此背景下,越来越多的组织开始采用网络安全风险量化,并将其作为增强组织安全风险分析和治理能力的一种有效手段。通过将网络风险量化,组织可以让所有利益相关者更好地了解当前所面临的安全风险态势,从而与组织更广泛的数字化业务发展相融合。
什么是网络风险量化?
量化是指对事物数量的统计表达或测量。当其应用于网络安全风险分析时,就意味着从业务发展的角度去度量组织的网络风险暴露情况和该风险的潜在危害影响。换句话说,它是用一种数学术语来定量化描述网络风险态势。
网络风险量化(CRQ)需要应用先进的建模技术来全面评估企业中的隐藏风险和暴露风险可能性,以及如何应对可能的危害。然后,这些信息被用来计算财务风险,以得出估计的损失。使用网络风险量化,阻止可以更准确的回答以下重要问题:
ㆍ如果组织不解决安全项目中的一些特殊缺口,可能造成的经济损失会有多大?
ㆍ什么样的网络安全事件会导致最严重的业务影响?
ㆍ哪些网络安全项目需要优先考虑的,对稳定风险至关重要?
ㆍ我们需要在安全控制/资源方面进行哪些投资?在哪些方面?
网络风险量化并不等同于网络风险评估。网络风险评估是指将系统、数据或网络划分为低、中、高等不同的风险等级。这个过程可以是基于内容、上下文或用户行为的,往往倾向于定性的或动态的发现。
虽然网络风险评估对组织的风险防护工作是有效的,但并不足够。当多个资产处于同等的风险等级时,网络安全团队该如何确定安全控制的优先级?此外,如何低风险系统被优先处置时,又会造成什么危害呢?这时候,就需要更加客观、定量的风险测量来进行补充。
网络风险量化会使用数学公式、逻辑流程图以及定量指标体系来计算风险,这是其与传统的网络风险评估方法主要区别。它能够更直观的反映出,当组织受到网络攻击的影响情况,组织可能会损失的严重程度,从而使其调查结果更加合理,并以数据为依据。
网络风险量化的框架
组织在始对网络风险进行量化之前,必须选择一个适当的风险分析框架作为参考。以下是帮助组织实现这一目标的常用安全框架,包括:
ㆍNIST SP 800-53:这是美国国家标准与技术研究院(NIST)发布的安全和隐私控制目录。它能够根据严重程度衡量网络威胁,以帮助公司优先考虑这些威胁并保护信息系统。
ㆍISO 27005:这是由国际标准化组织(ISO)发布的执行信息安全风险评估指南框架。它适用于各种规模的企业组织,并已多次更新,是一种通用的网络风险量化框架。
ㆍFAIR模型:信息风险因素分析(FAIR)模型由非营利组织FAIR研究所发布。这是一种基于概率的模型使用数学算法从货币和数量上衡量风险。虽然它很实用,但它需要大量的信息。
ㆍMonte Carlo分析模型:这种模型主要通过使用计算机生成的场景来测试组织的网络安全弹性并识别潜在风险,帮助评估组织在各种风险情况下的结果。
网络风险量化的价值
现代企业的安全决策者应该尽快考虑实施网络风险量化,而非类似的替代方案,因为网络攻击的频率和严重程度都在增加,组织需要更准确的风险评估结果。安全领导者不仅要确保组织的网络安全,还要证明其防护成本是合理的。
调查数据显示,约69%的网络安全领导者预计,到2024年底,他们的网络安全预算将增长10%-100%。然而在大多数组织中,安全策略和业务目标之间存在不一致,安全团队通常无法与公司高级管理人员、董事会进行有效沟通。网络风险量化作为一种弥合安全和业务领域之间鸿沟的方式,自然受到了广泛关注。
