評估風(fēng)險以識別對公司財務(wù)健康及市場(chǎng)機會(huì )的威脅的過(guò)程，即為企業(yè)風(fēng)險管理(ERM)。ERM項目的目標是了解公司的風(fēng)險承受能力，歸類(lèi)并量化之。

審視企業(yè)風(fēng)險的時(shí)候，傳統方法是看金融風(fēng)險、監管風(fēng)險和運營(yíng)風(fēng)險。比如：匯率下降利率升高會(huì )有什么影響？新藥能不能獲批？庫存還夠不夠？

想要量化企業(yè)風(fēng)險，你得考慮進(jìn)事件的潛在影響并乘以事件發(fā)生的概率。小影響事件即使發(fā)生概率高也影響不了多少公司的整體風(fēng)險暴露面，大影響事件即便發(fā)生概率低也有可能是災難性的。

網(wǎng)絡(luò )安全威脅狀況帶來(lái)的風(fēng)險逐漸成為ERM方程式的一部分，而這給CISO和其他高級安全人員帶來(lái)了挑戰。量化網(wǎng)絡(luò )安全事件的商業(yè)影響非常困難，就差是個(gè)“不可能任務(wù)”了，而量化此類(lèi)事件的發(fā)生概率甚至更難一籌。

企業(yè)風(fēng)險管理過(guò)程

有些公司正在做這事兒。比如說(shuō)，Aetna公司的企業(yè)風(fēng)險管理框架中就將網(wǎng)絡(luò )安全風(fēng)險納入了運營(yíng)風(fēng)險。這些風(fēng)險是十分具體而定量的。事實(shí)上，ERM系統中會(huì )被饋送進(jìn)日常風(fēng)險分值。

Aetna首席安全官 Jim Routh 不僅負責這個(gè)過(guò)程，還是管理公司ERM項目的風(fēng)險委員會(huì )成員。他表示：安全在有效企業(yè)運營(yíng)風(fēng)險管理中所占比重越來(lái)越大，必須與ERM和危機管理項目緊密配合。

僅僅合規還不夠，黑客技術(shù)的快速進(jìn)化要求控制措施設計與有效性也隨之發(fā)展。監管合規是基礎，但還不足以達到企業(yè)所需的彈性。

聚焦商業(yè)影響是從另一個(gè)角度思考網(wǎng)絡(luò )安全，需要與技術(shù)性響應網(wǎng)絡(luò )安全威脅相異的思維模式。網(wǎng)絡(luò )安全曾經(jīng)完全落腳在防止攻擊上，而數據泄露要么已經(jīng)發(fā)生，要么根本沒(méi)發(fā)生。

現在大多數公司企業(yè)都認識到網(wǎng)絡(luò )安全不是個(gè)待解決的問(wèn)題，而是種需要加以管理的風(fēng)險。大多數市場(chǎng)都適應了這種改變，換了全新的思維方式，認為風(fēng)險生來(lái)就能被接受、被緩解或被轉移。

ERM框架

安全語(yǔ)言和風(fēng)險語(yǔ)言之間總有某種割裂感，讓CSO更難以在企業(yè)風(fēng)險管理討論中有效履行其職責。實(shí)際上，在被問(wèn)到如何量化特定緩解策略減少的風(fēng)險時(shí)，很多網(wǎng)絡(luò )安全專(zhuān)家深感挫敗，轉而指向有關(guān)數據泄露的媒體報道、NIST和FAIR之類(lèi)的網(wǎng)絡(luò )安全框架，或者運營(yíng)指標以茲證明。

ERM框架中，“風(fēng)險”一詞有著(zhù)特定含義。技術(shù)出身的網(wǎng)絡(luò )安全主管大多傾向于關(guān)注非常戰術(shù)性的技術(shù)問(wèn)題而不是底線(xiàn)影響。比如說(shuō)，如果某漏洞未被修復，就存在攻擊者利用該漏洞盜取數據的風(fēng)險。

然而，從商業(yè)角度描述同樣的問(wèn)題就可能是：修補該漏洞將會(huì )減小特定數據庫泄露的概率；如果漏洞持續暴露，則將會(huì )因商業(yè)損失、罰款和修復支出而花費大筆金錢(qián)。運用商業(yè)描述，公司就能確定緩解計劃是否有決定性影響，或者風(fēng)險的降低程度夠不夠大，又或者該數據庫夠不夠關(guān)鍵，并由此決定要不要把時(shí)間和金錢(qián)花在別的事情上。

也有專(zhuān)家認為這是不可能做到的，因為沒(méi)有計算公式能算出你實(shí)現的每個(gè)控制措施各自幫你減少了多少風(fēng)險。

雖然精確量化風(fēng)險減少值不太可能，但公司企業(yè)可以根據威脅大小給風(fēng)險排個(gè)優(yōu)先級順序。不按照特定工具或應用來(lái)衡量具體的風(fēng)險改變情況，而是思考如何將公司從高風(fēng)險狀態(tài)轉移至中度風(fēng)險狀態(tài)，再改善至低風(fēng)險狀態(tài)。

不過(guò)，沒(méi)有哪個(gè)網(wǎng)絡(luò )安全框架會(huì )量化這一做法的經(jīng)濟價(jià)值，公司企業(yè)是不會(huì )談?wù)摻档惋L(fēng)險的特殊價(jià)值的。

網(wǎng)絡(luò )安全人員往往不講底線(xiàn)風(fēng)險，而是試圖以各種嚇人的“案例”向董事會(huì )證明所花預算很值。他們就是在販賣(mài)驚懼情緒，而每個(gè)人都知道總有許多恐怖的故事可以嚇到自己。

這種販賣(mài)恐慌的做法可以歇歇了。網(wǎng)絡(luò )安全技術(shù)人員應該思考的是應該如何與董事會(huì )和高級管理層溝通。他們太過(guò)關(guān)注那些極客眼中所謂的超酷技術(shù)了。技術(shù)人員與業(yè)務(wù)人員之間缺乏有效溝通。業(yè)務(wù)人員理解不了技術(shù)問(wèn)題，技術(shù)人員不知道如何證明技術(shù)的商業(yè)價(jià)值。

于是，CSO面對高管談及預算問(wèn)題時(shí)可能就會(huì )尋求新聞頭條作為支撐，比如影響其他公司的重大漏洞之類(lèi)的，想要以此引入技術(shù)細節并造成某些心理上的影響。讓人去想：又有什么新的事件了嗎？會(huì )不會(huì )讓我們公司更容易受到攻擊？

即便他們試圖拿出幾個(gè)風(fēng)險相關(guān)的數據以茲證明，那也是非常主觀(guān)的。每個(gè)數字的含義都是在打分的時(shí)候編的。這與金融交易不同，金融交易中人們可以計算出欺詐百分比——歷經(jīng)五六十年檢驗的直觀(guān)度量標準。

至今似乎還沒(méi)有誰(shuí)解決了網(wǎng)絡(luò )安全風(fēng)險計算的問(wèn)題。大多數ERM框架都是圍繞已知問(wèn)題構建的。但網(wǎng)絡(luò )安全風(fēng)險領(lǐng)域沒(méi)有已知風(fēng)險，每個(gè)事件都是前所未有的。你怎么計算前所未見(jiàn)的風(fēng)險呢？

于是CSO便去關(guān)注運營(yíng)問(wèn)題了，比如降低成本什么的。在需要評估風(fēng)險或判斷安全項目效能的時(shí)候，他們轉向趣聞軼事尋求支持。比如，塔吉特發(fā)生了數據泄露，誰(shuí)誰(shuí)誰(shuí)發(fā)生了數據泄露，5千萬(wàn)用戶(hù)信息在Facebook上被曝了……但沒(méi)人會(huì )說(shuō)：“這是個(gè)價(jià)值4000萬(wàn)美元的風(fēng)險，我需要1000萬(wàn)美元來(lái)解決?！睕](méi)有足夠的數據支撐這種計算。

安全人員需要從戰術(shù)思維轉變到戰略思維，并與金融精算專(zhuān)家加強合作。IT與財務(wù)的結合與協(xié)同可能是個(gè)新的學(xué)科領(lǐng)域。

網(wǎng)絡(luò )安全風(fēng)險量化是一門(mén)不確定的科學(xué)

目前而言，精確量化網(wǎng)絡(luò )安全風(fēng)險這件事還為時(shí)過(guò)早。甚至保險業(yè)巨頭都還沒(méi)有廣泛推開(kāi)網(wǎng)絡(luò )保險業(yè)務(wù)。確鑿的網(wǎng)絡(luò )安全風(fēng)險值是存在的，人們越來(lái)越意識到這些數據的重要性，但受董事會(huì )認同的靜態(tài)精算數據也確實(shí)尚未出現。

供應商提供風(fēng)險得分卡會(huì )不會(huì )好一點(diǎn)？未必。這種做法很大程度上言過(guò)其實(shí)了。把自己的得分卡吹得天上有地下無(wú)的供應商往往不會(huì )談及這樣一個(gè)事實(shí)：每一次確定風(fēng)險因素，分類(lèi)所有資產(chǎn)，并整理歸檔以便饋送進(jìn)此類(lèi)系統都是非常費時(shí)費力的過(guò)程。

人工智能(AI)和機器學(xué)習能一定程度上減輕這種負擔，但仍需要人類(lèi)分析師做出最終決策，而決策工作并不輕松。不過(guò)，對有些公司而言，這一努力很值。這些公司已經(jīng)對自身所有業(yè)務(wù)單元及數據做了排查，識別并記錄了各自的風(fēng)險等級，能更好地利用自動(dòng)化報告在單一管理面板上看清自己的風(fēng)險狀況。只不過(guò)，要做到這一步，前期投入的工作量很大，大多數公司都還沒(méi)達到這種程度。

想要產(chǎn)生有用的分數和衡量標準，公司企業(yè)必須分類(lèi)包括數據在內的所有資產(chǎn)，以及這些資產(chǎn)在公司中起到在作用，還有各業(yè)務(wù)職能及數據的重要程度。只有做完所有這些費時(shí)費力的工作，將這所有數據集中起來(lái)，才可以饋送進(jìn)你的ERM系統，讓它吃進(jìn)所有數據再吐出一張得分卡給你。

越來(lái)越多的CSO被要求進(jìn)行企業(yè)風(fēng)險評估，這其中正慢慢發(fā)生一些轉變。雖然風(fēng)險得分是估測的，也難以獲取正確的數據進(jìn)行正確的評估，但CSO們正在摸索評估的方法。這是業(yè)務(wù)部門(mén)的人想要看到的現象。

網(wǎng)絡(luò )安全確實(shí)有些具體的挑戰，比如第三方風(fēng)險和黑天鵝事件，但其他業(yè)務(wù)領(lǐng)域也存在此類(lèi)挑戰，只不過(guò)網(wǎng)絡(luò )安全方面不可預測的程度更高些。但網(wǎng)絡(luò )安全領(lǐng)域有大量數據可用，也有很多公司企業(yè)在關(guān)注這一問(wèn)題。

網(wǎng)絡(luò )保險行業(yè)的成長(cháng)就是人們開(kāi)始計算網(wǎng)絡(luò )安全風(fēng)險的例證。網(wǎng)絡(luò )保險公司相當清楚自己要保險什么，也知道該要求被保人設置哪些安全措施才可以獲得保單。還有供應商可以提供外部風(fēng)險測評，找出暴露的系統；并有評估公司可以進(jìn)行網(wǎng)絡(luò )安全審計。網(wǎng)絡(luò )安全風(fēng)險如今開(kāi)始從感性認知邁向科學(xué)計算了。

如何計算網(wǎng)絡(luò )安全事件的影響

商業(yè)影響是網(wǎng)絡(luò )安全風(fēng)險方程的前半部分，也是最簡(jiǎn)單的部分，尤其是對大企業(yè)而言。財富500強公司往往都部署了ERM項目。這是個(gè)重要起始點(diǎn)。任何成立已久的公司通常都會(huì )對網(wǎng)絡(luò )安全風(fēng)險的商業(yè)影響投以關(guān)注。

然而，網(wǎng)絡(luò )安全方面卻有可能并未設置成熟的模型，CSO需與業(yè)務(wù)部門(mén)合作推動(dòng)這一領(lǐng)域的發(fā)展。比如說(shuō)，聯(lián)邦快遞慣于為圣誕購物狂歡季的爆倉及人手不足風(fēng)險做好打算。但在2017年6月，一場(chǎng)勒索軟件襲擊造成了約3億美元的損失。這種事是他們之前從未想過(guò)的。

受監管的行業(yè)有一系列合規框架可以幫助識別出網(wǎng)絡(luò )安全攻擊可能造成影響的領(lǐng)域，比如零售業(yè)的PCI DSS (支付卡行業(yè)數據安全標準)、醫療行業(yè)的HIPAA和適用于金融公司、公開(kāi)上市公司及政府承包商的各類(lèi)框架，但這些都只是個(gè)最基本的起始點(diǎn)。

以PCI為例，支付卡行業(yè)安全標準委員會(huì )注重保護信用卡信息安全。但不涉及數據泄露的收銀系統勒索軟件攻擊同樣可能對公司造成重大財務(wù)損失。因為沒(méi)有數據泄露，這不算是PCI事件，但銷(xiāo)售下滑真實(shí)發(fā)生了，更別說(shuō)還有其他諸如公司信譽(yù)損失、業(yè)務(wù)停滯之類(lèi)的后續影響，最終可能導致公司承受巨大的經(jīng)濟打擊。

識別出可能受網(wǎng)絡(luò )安全事件影響的關(guān)鍵業(yè)務(wù)過(guò)程是一項重要的工作，但很多公司企業(yè)并沒(méi)有做好。太多CSO不夠清楚到底什么才是業(yè)務(wù)關(guān)鍵的東西。

如何計算網(wǎng)絡(luò )安全事件的概率

計算事件潛在影響只是風(fēng)險方程的前半部分，計算事件發(fā)生概率是風(fēng)險方程中同樣重要而困難的一個(gè)部分。

可以采用由外而內的方法來(lái)計算事件概率。

計算特定漏洞或其他安全問(wèn)題損害公司的風(fēng)險是絕對可能的，但需要公司在觀(guān)測和定性上需要一定程度的一致性。

CSO每年至少需與CEO和CTO坐下來(lái)商談一次，確定網(wǎng)絡(luò )安全事件發(fā)生的概率及影響的風(fēng)險值。這樣，CSO才可以進(jìn)行各種計算，將之轉變?yōu)槟芮袑?shí)降低風(fēng)險得分的具體標準，持續跟蹤公司整體風(fēng)險態(tài)勢，為公司采取的風(fēng)險預防和緩解操作提供更多透明性。

風(fēng)險計算方程的前半部分——商業(yè)影響，取決于失去數據中心或數據集等事件給公司帶來(lái)的直接和間接損失。于是，要計算事件發(fā)生概率就得納入公開(kāi)數據、內部輸入和外部測試。比如說(shuō)，對數據中心而言，公司可以查閱地震和火災發(fā)生頻率等公開(kāi)信息。

網(wǎng)絡(luò )攻擊的數據要難找一些，可以求助第三方滲透測試員來(lái)判斷公司系統入侵的難易程度——滲透進(jìn)去的耗時(shí)越長(cháng)，所需技術(shù)水平越高，攻擊成功的概率就越低。

控制措施有效性判斷沒(méi)有一勞永逸的通用方法，我們只能不斷測試，通過(guò)漏洞掃描、紅藍對抗和高級滲透測試等方法持續評測公司安全措施有效性。

董事會(huì )什么時(shí)候才能不用擔憂(yōu)網(wǎng)絡(luò )攻擊？

網(wǎng)絡(luò )安全風(fēng)險是個(gè)讓公司董事會(huì )深感挫敗的問(wèn)題。

在過(guò)去，風(fēng)險提交到董事會(huì )，董事會(huì )就會(huì )拿出一個(gè)方案來(lái)解決，然后完事兒。比如說(shuō)，如果存在火災風(fēng)險，董事會(huì )決定安裝消防噴頭和購買(mǎi)火災保險就好了。此后除非又有什么變動(dòng)，否則董事會(huì )就可以?huà)侀_(kāi)火災問(wèn)題不談，將精力放到其他問(wèn)題上。但網(wǎng)絡(luò )風(fēng)險不是這樣的。

網(wǎng)絡(luò )風(fēng)險持續存在，是個(gè)長(cháng)期議題，該風(fēng)險領(lǐng)域無(wú)限廣闊而多樣。

事實(shí)上，不僅網(wǎng)絡(luò )威脅不斷進(jìn)化，技術(shù)也在加快滲透進(jìn)生產(chǎn)生活的各個(gè)方面。每家公司如今都是網(wǎng)絡(luò )公司，每個(gè)業(yè)務(wù)過(guò)程都要用到網(wǎng)絡(luò )。