《信息安全風險的量化》報告解讀，有深度、有內涵_AIR

來自霧幟智能K2實驗室的汪浩博士在XCon上做了《信息安全風險的量化》的報告后，后臺收到不少PPT的下載請求。但PPT內容精簡，本文是對報告的深入解讀。閱讀本文大概需要15分鐘。

報告的主要內容包括：

1.一種描述安全風險、衡量安全績效的方式

2.一種處理復雜、不確定問題的計算流程

兩個問題

要做的工作很多，優先級怎么定？

我的工作對公司/組織的貢獻有多大？

不管你當前是技術骨干，還是管理精英，一定在某個時刻考慮過以上兩個問題。不妨想一下你的答案會是什么。

汪浩采訪了幾位安全領域專家，匯總之后的結論如下：

優先級，可以有以下幾個考慮方向：個人經驗和積累；看行業最佳實踐；找業務了解安全需求；非常重要的合規等等。

貢獻則可以從這么幾個點來描述：合規沒有問題，安全事故減少了，外部發現的漏洞減少了多少，安全能力增加了多少，覆蓋了多少風險場景等等。

這說明當前的規劃和匯報策略是可行的。那為什么還要討論別的方式呢？

用錢衡量安全工作

接受采訪的幾位專家同時提到，安全的上級主管，比如CEO，是認可甚至鼓勵現有的規劃方式的：就是通過看齊行業最佳實踐、滿足合規要求等確定優先級；他們也接受現有的安全成績的匯報方式。安全預算申請時，被以投資回報率這種量化指標來挑戰這種事，基本不會發生。這說明當前的規劃和匯報策略是可行的。

那為什么還要討論新的方式呢？因為用錢討論問題，在易于理解這一點上，有不言自明的優勢：其他團隊能理解，領導也能看懂。此外，就像我們將要看到的，以錢量化安全成績，有望解決安全工作“做不好會減分，做好不加分”，這個我們一直認為是安全職業屬性的難題。

但很可能你也曾或多或少琢磨過，甚至是親身實踐過化安全風險的量化。事實上，學界相關的研究一直就沒有斷過——攻擊圖(attackgraph)有至少20年的歷史；新一些的如貝葉斯攻擊圖、博弈論討論內鬼作案可能性等等，不可謂不先進。但似乎并沒聽說過基于這些技術的風險量化方案落地案例。為什么？

業務部門用錢描述成績，是因為它的KPI是實際發生的，簡單匯總即可，用到的技術主要有：加、減、乘——可能都用不到除法！但安全面對的是不確定性，是不斷變化的攻擊面，這些簡單工具顯然不夠用。但太復雜而玄妙的，做出來可能自己也難以相信，也就很難持續。

區塊鏈協會CEO：市場結構法案將為美國帶來加密監管清晰度:金色財經報道，區塊鏈協會的首席執行官Kristin Smith表示，市場結構法案、即《21世紀金融創新與技術法案》（FIT for the 21st Century Act）成為國會迄今為止推進的最重要的數字資產立法，該法案有可能一勞永逸地在美國帶來加密貨幣監管的清晰度。

Smith表示，該法案可能是吸引更多機構參與和主流采用所需要的。她說：“我們認為，如果它向前推進，將為機構投資者、傳統科技公司和其他參與者進入這個領域帶來很大的信心，因為他們知道有一個明確且可行的監管框架。”[2023/8/30 13:05:14]

概括來說，把安全風險和成績換成錢，有以下三個困難：

1.不確定：會不會被攻擊？攻擊會不會成功？攻擊成功會不會造成實際損失？

2.太復雜：最典型的——數據泄露被媒體報道，聲譽損失要怎么算？

3.數據少：重大事件原本就少，被攻擊的公司又通常不會公開

他山之石

要想把安全風險就換成錢，而且讓別人認可，我們必須能夠克服以上這三個困難。逐個看下來，我們會發現在其他領域已經有成熟的，或者行之有效的解決方案了：

1.用概率工具和風險管理語言，解決不確定性困難。金融行業，比如保險，會面對很多不確定的問題。像地震、奧運會舉辦延期，都非常罕見。但客戶出險，保險公司作出賠償，不會因此就認為精算師工作做的不好。因為風險經過了量化，這樣的結果在預測之內。企業風險治理是另一個處理不確定的領域。在這類包含不確定性的領域，人們使用概率、數值模擬來描述這些不確定性。除了錢之外，CEO們也精通企業風險治理，這意味著用類似的語言跟他們溝通，效果更有保障。

2.分類分解，解決復雜性困難。這方面，像麥肯錫這類咨詢公司比較有經驗。把問題或者主題，按照統一的方式，分解成幾個小問題。每個小問題比較容易解決。金字塔原則，零秒思考之類名詞，都是在講怎樣高效率地把復雜、沒有頭緒的事情系統地拆解為可解決的問題。

3.提取專家經驗，解決數據少的困難。把領域專家經驗作為數值給挖掘、提取出來，可能是質量很高的數據。人們平時很少用數字去思考，但能安全的在馬路上穿行，說明了大腦中各種信息的有效性。這涉及認知科學，得從相關文獻里找工具。但也有咨詢公司做過不少嘗試，效果可能超出你我預期。

如果你碰巧對以上幾個方面都有研究，可以嘗試把它們組合起來，應用到安全領域，設計一個安全風險量化方案出來。但現在有一個現成的——已經有人組合了這么一套框架出來，對自己搭框架也會有借鑒意義。

今日恐慌與貪婪指數為53:金色財經報道，今日恐慌與貪婪指數為53（昨日為56），貪婪程度下降，等級仍為貪婪。注：恐慌指數閾值為0-100，包含指標：波動性（25%）＋市場交易量（25%）＋社交媒體熱度（15%）＋市場調查（15%）＋比特幣在整個市場中的比例（10%）＋谷歌熱詞分析（10%）。[2023/4/24 14:23:01]

FAIR

這個框架叫做“信息風險因子分析”，簡稱FAIR。

目前在美國，FAIR可能是應用最廣的信息安全風險量化框架：

FAIR學院的成員遍布Netflix，惠普等超過45%的美國財富1000企業；NASA、美國能源部等政府部門使用FAIR量化風險；IBM有一個知名的年度數據泄露損失報告，2021年版使用FAIR來量化數據泄露的損失；NIST2021年報告《將安全與企業風險管理整合》建議以FAIR作為量化安全風險的手段；FAIR被TheOpenGroup收錄，是目前安全風險量化唯一的國際標準。

Figure1IBM數據泄露報告2021以FAIR量化風險

可以看到，FAIR至少是在部分組織里被接受、并實際使用的。雖然FAIR執行起來需要費些腦筋，但能夠被眾多公司和機構接受，來替代簡單易行的最佳實踐、風險矩陣，應該是因為FAIR做了某些雖然麻煩、但是正確的事情。

案例：一個有問題的分析

勒索攻擊最近兩年已經成為最受關注的信息安全威脅。一個電商公司想要知道自己遭受勒索攻擊的風險。

先看一下一個過于簡單的量化是怎么做的：

1.提出問題：公司被勒索攻擊的風險？

2.風險分析：安全專家判斷：損失頻率0.01-0.1次/年，最可能是0.01次/年；經過內部討論，認為損失大小100萬-1000萬，最可能是在200萬上下

3.匯報結果：1萬-100萬/年，最可能是20萬。

從問題到求解，因為在如下幾個細節處沒有合理進行處理，使得它實際上沒法用。

問題模糊——

今天要想執行一次成功的勒索攻擊可能是要費些功夫的，如果目標有備份，那么連同備份服務器一起加密才能勒索成功。根據自己公司的情況，對手是小黑客，還是有組織的、用到了“勒索即服務”(RaaS)的團伙？兩者造成的損失發生率不同，單次損失差別可能也比較大。混在一起分析，不會有可信的結果。所以，把一個受關注的風險，拆分成幾個明確的場景是關鍵的第一步。比方說，簡單分析之后，結合自己公司的實際，你發現小黑客的風險可以忽略，把這個結論記下來；然后進一步把勒索團伙作案的勒索攻擊方法，拆分為“通過釣魚郵件入侵內網”，“通過遠程桌面暴力破解管理員密碼入侵內網”兩種場景；這兩種的發生頻率可能不同，但單次造成的損失應該是一樣的。

金融科技公司Kwara完成300萬美元種子輪融資，DOB Equity參投:1月22日消息，肯尼亞金融科技公司Kwara完成300萬美元種子輪擴展融資，由DOB Equity、Globivest和Willard Ahdritz參投，目前本輪融資籌集的資金已達700萬美元，新資金將用于客戶增長。此外，Kwara還與代表肯尼亞合作社簽署了數字解決方案分銷協議。

據悉，金融科技公司Kwara此前已完成400萬美元的種子融資，由Breega、Softbank Vision Fund Emerge、Finca Ventures 和 New General Market Partners參投。[2023/1/22 11:25:57]

問題模糊是困難2里的一個原因，FAIR這個框架的第一步是明確場景，降低復雜度。

數值由來不清楚——

這個量化方案中，把損失拆解為損失頻率和發生次數，這是沒問題的。但損失頻率是怎么定出來的？單次損失大小是怎么定出來的？有什么道理嗎？要想對一類事件發生之后涉及的損失大小有全面了解，需要多個部門的信息。安全部自己定的損失，很難經得住推敲。

FAIR對這個問題的解決方法是因子分解和引入領域專家。因素分解體現為如下一棵樹形數據結構。我們大概描述一下，風險=損失發生率*單次損失大小——這個很自然吧？如果損失發生頻率不好估計，可以進一步拆分為威脅發生率和脆弱程度，如此細分下去——圖里的每一個節點的定義，都是FAIR這個框架的一部分。但在計算一個風險時，我們通常只會到第二、三層。以筆者的理解，層數越少越好，如果能直接估計損失發生率，就不要繼續拆分——因為越向下細分，離真實、可驗證的數據越遠。

Figure2FAIR因素分解示意圖

對于用到的節點，如果數據充分，我們可以直接用，這是理想狀態。但前面提到的困難3，僅有的還可能不準確。比如勒索，同行業有很多公司，但實際中了勒索可能很少；選擇公開的會更少。這時候專家經驗就會發揮作用，但需要把準確的信息提取出來。

另外，上述提到損失會有多種。在對已知事件的歸納總結基礎上，FAIR把損失類型分為六種，從而任何事件，按照這六種逐個分析就可以。

(1)生產力：典型的像可用性受到破壞，業務中斷或降級，都會影響營收

Cosmos生態質押協議Quicksilver宣布將于12月16日上線主網:12月14日消息，Cosmos生態質押協議Quicksilver宣布將于12月16日上線主網，預計屆時將有100個創世驗證者。隨后將提出在該協議上加入Cosmos Hub的提議，預計該集成將于12月22日得到Quicksilver的支持，屆時該協議的用戶將能夠抵押他們的Atom并鑄造qAtom。預計2023年第一季度初，該協議的用戶將逐漸能夠充分使用Quicksilver的全部功能，Osmosis上的qAsset池預計將于2023年1月上線。[2022/12/14 21:43:54]

(2)響應：發生安全事件，安全團隊，業務、HR、客服、公關部門都可能要出人手應對。在此期間，這些人無法進行日常工作，構成響應費用

(3)替換：員工因惡意泄露信息被開除，需要新招聘員工

(4)競爭優勢：核心數據泄露，并購信息泄露等，造成競爭中的被動

(5)法律處罰：比如數據泄露被罰款

(6)聲譽：股價下跌；融資成本上升；員工留存或招聘的成本上升等

現在你只需要相信，任何損失都可以不重也不漏地分解為這六種形式就好了。換句話說，按照這六個方向思考，可以把可能出現的損失都算進來。

把損失分解開之后，就可以進行數據采集了。如果有公司自身的歷史數據最好，否則就需要借助專家經驗，這是為什么需要安全同HR、法務、業務各領域專家充分溝通。比如HR專家幾乎一定聽說甚至參與過員工違規事件的處理，對這方面的損失有更合理的預期。FAIR將專家估計等同于數據，因此如何將專家的估計提取為數字顯得至關重要，稍后我們會詳細介紹方法。

總結一下，這里涉及的困難是損失分析起來涉及方面太多，以及數據太少，而FAIR的對策是因素分解，以及引入相關領域專家。另外需要注意關鍵一點，在每一個估計結果處做好記錄，即為什么這么估計？比如，為什么忽略小黑客們勒索的威脅？

這樣，因為有明確的場景，每個分解都對應著確切的概念，數據采集過程有詳細記錄，同時估計結果由利益相關方的專家給出，結果就能經得住挑戰和復盤。

然后我們繼續分析前述過于簡單量化方案中的第三個問題。

Figure3一個過于簡單、問題多多的量化流程

NFT策略游戲MicroBuddies已集成Chainlink VRF:8月31日消息，據官方消息，NFT策略游戲MicroBuddies已在Polygon網絡上集成Chainlink VRF，該集成將幫助MicroBuddies以可驗證的隨機方式生成NFT特征，證明其提供的隨機數沒有被篡改。[2022/8/31 12:59:12]

結果匯總——

這里并沒有明顯的問題。實際計算中，因為每個場景對應多類可能損失，各損失對應的風險值也都以一定的形式彌散在某個范圍內。將隨機變量整合起來，沒有簡單的解析辦法。

Figure4FAIR的量化流程

FAIR使用數值模擬來進行結果匯總。這是一個在金融和科研中常用的手段，也應該是惟一的辦法。除了能夠解決多個風險相加的問題，它得到的是一個完整的風險分布，基于它可以很方便地得到以不同方式呈現的風險。比如損失曲線(lossexceedancecurve；圖5)；風險矩陣，甚至是散點圖等。這一步有開源工具可以直接使用，只需要輸入各個范圍，就可以自動算出風險，甚至自動生成風險報告。

Figure5損失曲線

Figure6風險矩陣

Figure7模擬結果

以上通過一個反面案例，把FAIR的流程梳理了一遍。雖然看似復雜，但當分析的風險增多，你會發現有很多數據可以復用。客服的人時費用、工程師開會的人時費用、替換工程師的損失等數據，短時間內可以認為是常數；一次獲取后，可以用在很多有場景內。另外，每個場景的FAIR風險分析，半年或者一年做一次就可以。

專家知識的挖掘

報告把FAIR流程中的一個重要但人們接受起來有困難的問題，單獨做了講解。

前面提到，提取專家知識，是為了解決量化困難3。FAIR在計算中將專家估計與數據同等對待。也因此專家估計的準確性，決定了最后結果的準確性；如果專家估計不可信，那么前面這一切從一開始就不用做了。

壞消息，是我們的主觀估計通常來說是不準的。好消息，是它可以被“校準”。為此，報告中設計了一個互動環節，結果堪稱完美：參與答題的觀眾中，100%改進了估計準確度；其中更有超過40%可以認為校準至準確——通常人的估計能力是需要經過多輪校準才能達到準確的。讀者不妨也試一下。

第一次估計

寫出以下問題的答案。它們并不容易；但不知道準確答案沒關系，只需要給一個范圍即可。要求是你有90%的把握，正確答案在你給的范圍里。這些問題乍看起來和安全沒關系，反倒像是個無聊游戲。但只要花幾分鐘試一下，你會發現這種能力是可以應用到包括安全在內的所有認知領域的。現在開始。

1.天安門城樓最高處有多高？

2.北京到上海的空中距離？

3.朱自清先生《背影》的寫作時間？

4.第五套人民幣100塊錢的長邊長度？

5.第五套人民幣100塊錢的短邊長度？

6.XCON會場的經度是多少？

7.XCON會場的緯度是多少？

8.中國有多少地級市？

9.乒乓球臺有多寬？

10.諸葛亮哪一年去世？

強調一下，只要你有90%的把握，正確答案在你給的范圍里就好，比方說10m-20m。這里面可能有的問題你不清楚，甚至感覺完全沒概念。不要擔心。我們練習的目標之一，正是從“沒概念、不知道”，到能夠給出答案，并且是準確的答案。為了見證這個變化，對每一個問題，你務必要給一個范圍，不確定的話，范圍可以取大一些。最關鍵的是有勇氣，不放棄！

Figure8一個90%中獎率的轉盤抽獎

校準及第二次估計

現在我們一起對大腦的“估計系統”進行一次校準。有耐心讀到這里各位讀者，一定都是業界精英，對玄學和忽悠也會比較敏感。但你要相信，接下來的內容有理論依據，且經過了實踐的驗證。請暫時忽略頭腦中嘀嘀作響的告警信號。

首先，剛才題意是說，你有90%把握，正確答案落在你給出的范圍以內。這意味著，對于每一道題有90%的可能性你答對了。現在我們給答題加上一個贏錢的設定如果你答對了這道題，就會贏一萬塊錢。因此對于每一道題，你應該有90%的概率贏1萬塊錢，否則就沒錢。

Ok，沒有問題的話，先把這個游戲放一邊。

來想象另一個游戲，轉盤抽獎。這是一個餅狀圖，小的這個部分占10%，其余的占90%，注意，這里的刻度是準確的。12點位置有一個固定的指針。主持人撥一下轉盤讓它轉起來，如果指針最終指向綠色區域，就是大的區域，你就會贏得1萬塊錢，如果指針停在這塊小的藍色區域，就沒有錢。那么你贏的概率有多大？

——這不是腦筋急轉彎，概率也是90%。

現在，對于每一個問題，請你在“回答問題贏獎金”和“轉盤抽獎”之間選擇一個游戲。兩個游戲的贏錢概率理論上都是90%，你會選擇玩哪個？

如果是更傾向于玩轉盤游戲，那意味著你現在認為，自己所給的范圍并沒有90%的正確把握，就請調整下你的答案范圍。直到你覺得這倆游戲的勝率差不多，隨便選哪個玩都行。然后寫在第二列。如果更傾向于玩第一個游戲，也是一樣；你的大腦認為，自己所給的范圍太大了，那就縮小一下范圍。直到你覺得玩哪個游戲都一樣。

在公眾號留言“答案”即可獲取十個問題的正確答案。然后統計下兩次估計的結果。你分別答對了幾道題？也可以在文后留言告訴我們。

對原理的討論

我們完全沒有概念的東西可能非常少。至少比我們所認為的少——我們只是從來沒有用明確的數字去描述一個東西，但相關信息大腦已經編碼好。要提取這個編碼，我們需要用到一些認知科學的結論。人類的大腦有如下兩個特點：

(1)過度自信。所以才會發生“大多數司機認為自己駕駛水平高于中間水平”的事情；

(2)損失厭惡。一個“可能贏100，也可能虧100”的游戲，大部分人不會去玩。因為雖然平均來看不贏不輸，但損失100塊錢的痛苦大于贏得100塊錢的快樂，即情緒的平均值是負的；

第一次答案，我們給的范圍往往偏小；這其中部分原因是過度自信。另一個原因，則是我們更習慣給一個確切的數，即不自覺地追求“精確”(accurate)。但對于決策，準確很重要——你可以給一個對但模糊的范圍，這樣結果可能也會模糊，但最多也就是對決策用處不大而已；但給一個精確到小數點后三位的錯誤數值，一定會誤導決策。我們需要有意識地在精確和準確之間做平衡。

第二次答案中，我們加入了贏錢設定。雖然我們知道是假設，但大腦的損失厭惡能力已經激活。即便不用轉盤做輔助，準確率也會提高——我們得以用大腦的一個缺陷去對抗另一個缺陷，完成對大腦中信息的準確提取。最后，轉盤圖像可以調動視覺功能來糾正大腦對90%認知的可能的偏差。

參考資料：

1.Hubbard,D.W.,&Seiersen,R.(2016).Howtomeasureanythingincybersecurityrisk.

2.Freund,J.,&Jones,J.(2015).Measuringandmanaginginformationrisk.

3.張威等(2021).CISO進階之路：從安全工程師到首席安全官

4.NIST.(2021).IdentifyingandEstimatingCybersecurityRiskforEnterpriseRiskManagement.NationalInstituteofStandardsandTechnology,8286A,55.

5.IBMCorporation.(2021).CostofaDataBreachReport2021.IBMSecurity,1–73.

備注：

如果你對嚴謹性要求比較高，認為專家估計不能用于計算。下面是一個論證，說明專家估計和測量在表現上沒有本質區別。比如，我們所有人都是估計別人身高的專家。所以你看到我的時候，可能會估計我在1.65-1.85米之間，而且最可能是在1.75上下之類。或者是一個更小的范圍。寫出來就是1.75m+-10cm。注意，這跟拿一個尺子量在形式上是不能區分的：我們從初中物理學過，每次測量都有誤差，所以需要多次測量，最后的測量結果類似1.76m+-2cm。因此經過校準的專家估計也是一個測量系統，只是有可能精度不高。

在霧幟智能公眾號留言“答案”即可獲取文中問題的正確答案

Tags：AIRFAIRFAIAIR幣AIR價格FAIR價格FAIR幣FAI價格FAI幣

Polygon