如何将量化风险评估转化为行动
摘要
量化风险评估将网络安全风险转化为财务术语。您可以使用量化风险评估的结果来决定风险应对措施:避免风险、接受风险、转移风险或缓解风险。风险偏好框架允许您处理那些风险应对措施不明确的微妙或模糊情况。这些过程共同帮助组织在安全需求和业务目标之间取得平衡。
量化风险评估提供了一种客观的风险分析方法,但理解风险只是第一步。本文将分解如何解释结果,并将这些见解转化为现实环境中有意义的决策。
(虽然本文不涵盖如何进行量化风险分析,但您可以在我们的《数据驱动风险评估指南》中深入了解该过程。)
理解风险量化
首先,什么是量化风险评估?
什么是风险量化?
量化风险评估(有时缩写为 QRA)根据网络安全风险的潜在影响和可能性为其分配一个美元价值。它提出的问题是:如果此资产通过此漏洞暴露,将给我们带来多少成本?与将风险按严重程度分类的定性方法相比,量化方法提供了更客观的画面。
为什么这很重要?定性网络安全风险评估留出了更多的解释空间。将风险转化为业务语言(即美元和美分)消除了大部分模糊性,并帮助非安全领导者理解“高”风险在上下文中的真正含义。
风险量化如何融入更大的网络安全战略?
量化风险是管理暴露的重要工具,但不是最终目标。相反,它构成了制定风险缓解决策的基础。
例如,当您能够将风险暴露呈现为“由于供应商使用未加密的云通信而导致 150 万美元的潜在损失”时,就更容易权衡应对该风险的选项,我们将在本文后面详细探讨。
解释量化风险分析:关键要素
为了解释结果,理解量化风险分析的几个关键要素非常重要。
- 资产价值(AV):受保护资产对您组织的价值。
- 暴露因子(EF):如果风险实现,可能损失或受损的资产价值百分比。
- 年度发生率(ARO):您预计该风险每年实现的频率。(对于每年发生少于一次的风险,此值可能小于 1。)
这三个数字允许您计算:
- 单次损失期望(SLE):如果风险实现,在单次威胁事件中会损失的财务价值。您使用公式 AV x EF 计算此值。
- 年度损失期望(ALE):如果风险实现,每年会损失的财务价值。您使用公式 SLE x ARO 计算此值。
- 剩余 ALE:在应用缓解措施后,如果风险实现,每年会损失的财务价值。缓解措施减少 EF、ARO 或两者,但计算方式 otherwise 保持不变。
ALE 是风险分析的主要输出,是您权衡风险应对选项的最重要数字。但它不是一个完美的数字,这就是为什么还有一个关键要素:不确定性。
AV、EF 和 ARO 都是估计值。理想情况下,它们是基于仔细研究的非常接近的估计值,但仍然是估计值。您对这些估计值的置信水平通常由置信水平(例如 80%)表示,后跟未知数列表。
付诸实践:风险应对
到目前为止,我们已经介绍了如何解释量化风险评估。但风险分析的最终目的是决定如何处理该风险。
所有风险应对措施 broadly 分为四类:避免、接受、转移或缓解。
避免
避免风险意味着完全消除暴露。这是唯一真正将风险降至零的风险应对措施。实际上,这意味着关闭一个承担风险的流程或系统。
避免基本上是一个核选项,很少可行。例如,您可以通过关闭所有外部电子邮件交换将网络钓鱼风险降至零。如果您处理的是国家安全事务,这可能 actually 值得。对于我们其他人来说,这将使业务运营戛然而止。
您的风险分析可能在两种情况下支持此响应:如果 ALE 如此极端,以至于没有缓解策略可以将其降低到可接受的水平,或者如果存在与承担风险的流程或系统 1:1 的替代方案,可以将 EF 或 ARO 降至零。
接受
接受风险意味着选择什么都不做。虽然这乍一听可能不合理,但这是一个值得认真考虑的选项。
有一个非常直接的情景,接受风险是您的最佳选择:当缓解成本超过剩余 ALE(即缓解后的 ALE)时。在这种情况下,保护组织的成本超过了可能损失的成本。
但也有更微妙的情况,接受是有意义的。这些考虑了缓解风险的机会成本,无论是 narrowly 关注安全团队,还是整个业务的机会成本。
没有安全团队拥有 unlimited 资源。如果选择缓解此风险意味着将资源从解决更令人担忧的暴露中转移开,那么接受是一个合理(如果不舒服)的选项。特别是当缓解策略非常手动且需要大量员工时间来实施时,他们不做什么才能将时间 devoted 到这项工作中?
还有一个更广泛的机会成本需要考虑,即业务为了缓解或避免风险而必须放弃的机会。换句话说,当业务机会大于 ALE 时,接受可能是有意义的。例如,如果您在外国开设数据中心以向新市场提供云服务,可能就是这种情况。虽然它使您面临新的安全风险,但有一个明确的业务 benefit。
转移
转移风险意味着将负担转嫁给另一方,通常是网络安全保险。Broadly speaking,当保险成本低于您的 ALE 时,将风险转移给保险是一个选项,但有一些注意事项。
首先,保险只涵盖安全事件的财务成本。安全事件还涉及法律和声誉损害。如果您的 ALE 考虑了这些损害并为其分配了美元价值(理想情况下,它应该这样做),那么您需要分解该数字,仅查看 immediate 财务成本。当财务风险高,但法律和声誉风险低时,转移风险是有意义的。
其次,保险几乎 certainly 要求您实施一些安全控制,并且可能还会停止对 recurring 事件的 coverage。这意味着您需要将这些控制的成本添加到保险成本中,可能改变您的计算。这也意味着将风险转移给保险只能是对高 ARO 风险的临时措施。
缓解
缓解是您最 proactive 的响应,通过应用安全控制、修补漏洞、纠正错误配置等来减少暴露。
缓解不会消除您的暴露——唯一的方法是完全避免风险。相反,缓解通过采取措施减少您的 EF、您的 ARO 或两者来降低您的风险。然后您可以计算一个新的 ALE,称为您的剩余 ALE。
一般来说,当原始 ALE 和剩余 ALE 之间的差异大于缓解成本时,缓解是一个强有力的选项。
纳入风险偏好(或如何处理边缘情况)
并非每个风险评估都会为您提供明确的响应选择。总会有两种情况:两种选项之间的 margins 很小或 uncertainty 水平很高。纳入风险偏好将帮助您理解这些边缘情况。风险偏好通常不是风险分析的一部分,但它是解释该分析的有用框架。
(如果您的组织尚未记录其风险偏好,您可以使用此可编辑的风险偏好声明模板作为起点。)
风险偏好是组织在追求其目标时愿意接受的风险水平。高风险偏好意味着愿意接受更大的风险以获得 possibly 更高的回报,而低风险偏好意味着您 prefer 尽可能降低风险。风险偏好存在于多个维度:您可能对操作风险有 high 偏好,但对合规风险有 low 偏好。
在这些维度(安全风险、合规风险、创新风险等)中的每一个维度内,有几个关键因素需要考虑:
- 风险能力是组织可以承受的最大风险量,通常由财务资源、操作能力和监管限制决定。
- 风险容忍度是与其目标的 acceptable 偏差。
- 风险阈值是表示需要改变策略的“红线”。
容忍度和能力之间的阈值,甚至容忍度 degrees 之间的阈值,可以帮助您梳理灰色区域,在这些区域中,不清楚哪种是适当的风险应对措施。
将见解转化为行动
理解量化风险评估只是第一步——真正的价值在于利用这些见解采取行动。无论是风险避免、接受、转移还是缓解,目标都是一样的:平衡安全风险与业务优先级,以便您能够采取 decisive 行动。
常见问题解答
什么是量化风险评估? 量化风险评估,有时缩写为 QRA,是一个正式过程,根据网络安全风险的潜在影响和发生可能性为其分配财务价值。
什么是年度损失期望? 年度损失期望是量化风险评估的主要输出。它是如果此风险实现,每年会损失的财务价值。它使用公式单次损失期望(SLE)x 年度发生率(ARO)计算,其中单次损失期望是资产价值(AV)x 暴露因子(EF)。
什么是风险偏好? 风险偏好是组织在追求其目标时愿意接受的风险水平。它通过提供一个评估安全风险与业务优先级之间权衡的框架来影响风险应对决策。