FAIR:《信息安全風險的量化》報告解讀，有深度、有內涵

來自霧幟智能K2實驗室的汪浩博士在XCon上做了《信息安全風險的量化》的報告后，后臺收到不少PPT的下載請求。但PPT內容精簡，本文是對報告的深入解讀。閱讀本文大概需要15分鐘。

報告的主要內容包括：

1.一種描述安全風險、衡量安全績效的方式

2.一種處理復雜、不確定問題的計算流程

兩個問題

要做的工作很多，優先級怎么定？

我的工作對公司/組織的貢獻有多大？

不管你當前是技術骨干，還是管理精英，一定在某個時刻考慮過以上兩個問題。不妨想一下你的答案會是什么。

汪浩采訪了幾位安全領域專家，匯總之后的結論如下：

優先級，可以有以下幾個考慮方向：個人經驗和積累；看行業最佳實踐；找業務了解安全需求；非常重要的合規等等。

貢獻則可以從這么幾個點來描述：合規沒有問題，安全事故減少了，外部發現的漏洞減少了多少，安全能力增加了多少，覆蓋了多少風險場景等等。

這說明當前的規劃和匯報策略是可行的。那為什么還要討論別的方式呢？

用錢衡量安全工作

接受采訪的幾位專家同時提到，安全的上級主管，比如CEO，是認可甚至鼓勵現有的規劃方式的：就是通過看齊行業最佳實踐、滿足合規要求等確定優先級；他們也接受現有的安全成績的匯報方式。安全預算申請時，被以投資回報率這種量化指標來挑戰這種事，基本不會發生。這說明當前的規劃和匯報策略是可行的。

那為什么還要討論新的方式呢？因為用錢討論問題，在易于理解這一點上，有不言自明的優勢：其他團隊能理解，領導也能看懂。此外，就像我們將要看到的，以錢量化安全成績，有望解決安全工作“做不好會減分，做好不加分”，這個我們一直認為是安全職業屬性的難題。

但很可能你也曾或多或少琢磨過，甚至是親身實踐過化安全風險的量化。事實上，學界相關的研究一直就沒有斷過——攻擊圖(attackgraph)有至少20年的歷史；新一些的如貝葉斯攻擊圖、博弈論討論內鬼作案可能性等等，不可謂不先進。但似乎并沒聽說過基于這些技術的風險量化方案落地案例。為什么？

業務部門用錢描述成績，是因為它的KPI是實際發生的，簡單匯總即可，用到的技術主要有：加、減、乘——可能都用不到除法！但安全面對的是不確定性，是不斷變化的攻擊面，這些簡單工具顯然不夠用。但太復雜而玄妙的，做出來可能自己也難以相信，也就很難持續。

Lionel Lim：Luna與FTX的崩潰事件不是區塊鏈技術的失敗:金色財經報道，星展銀行Digital Exchange首席執行官Lionel Lim表示，Terra-Luna與FTX的崩潰事件嚴重動搖了人們對加密貨幣的信心，可以說引發了該行業 15 年歷史上最可怕的生存危機。盡管資產類別今年有所復蘇，比特幣今年迄今已上漲近 65%，但這些里程碑仍然是反思去年挫折以及該行業如何更好地重建的最佳時機。

我們應該承認，這些事件不是區塊鏈技術的失敗，而是風險管理和公司治理不善的結果，一些失敗的公司存在欺詐行為。市場繼續認識到區塊鏈的完整性和創新潛力， FTX 崩潰后大量資金流入去中心化交易所，以及對以太坊的權益證明 (PoS) 過渡和 Shapella 升級的積極反應證明了這一點。2022 年的事件表明，要讓行業向前發展，投資者保護、透明度、穩健的治理結構和為客戶提供價值必須回到交易所建立和運營方式的最前沿。擁抱這些價值觀的 CEX 將發現自己具有競爭優勢，因為投資者越來越依賴可信賴的集中式平臺來管理他們的數字資產組合。[2023/5/26 10:40:46]

概括來說，把安全風險和成績換成錢，有以下三個困難：

1.不確定：會不會被攻擊？攻擊會不會成功？攻擊成功會不會造成實際損失？

2.太復雜：最典型的——數據泄露被媒體報道，聲譽損失要怎么算？

3.數據少：重大事件原本就少，被攻擊的公司又通常不會公開

他山之石

要想把安全風險就換成錢，而且讓別人認可，我們必須能夠克服以上這三個困難。逐個看下來，我們會發現在其他領域已經有成熟的，或者行之有效的解決方案了：

1.用概率工具和風險管理語言，解決不確定性困難。金融行業，比如保險，會面對很多不確定的問題。像地震、奧運會舉辦延期，都非常罕見。但客戶出險，保險公司作出賠償，不會因此就認為精算師工作做的不好。因為風險經過了量化，這樣的結果在預測之內。企業風險治理是另一個處理不確定的領域。在這類包含不確定性的領域，人們使用概率、數值模擬來描述這些不確定性。除了錢之外，CEO們也精通企業風險治理，這意味著用類似的語言跟他們溝通，效果更有保障。

2.分類分解，解決復雜性困難。這方面，像麥肯錫這類咨詢公司比較有經驗。把問題或者主題，按照統一的方式，分解成幾個小問題。每個小問題比較容易解決。金字塔原則，零秒思考之類名詞，都是在講怎樣高效率地把復雜、沒有頭緒的事情系統地拆解為可解決的問題。

美聯儲：美銀行存款一周流失近千億美元:3月27日消息，美聯儲當地時間24日公布的最新數據顯示，到截至3月15日的一周時間里，美國銀行存款總共流失近1000億美元，達到了984億美元，其中小型銀行的存款總額流失1200億美元，而大型銀行的存款總額則所有增加。?（央視新聞）[2023/3/27 13:28:09]

3.提取專家經驗，解決數據少的困難。把領域專家經驗作為數值給挖掘、提取出來，可能是質量很高的數據。人們平時很少用數字去思考，但能安全的在馬路上穿行，說明了大腦中各種信息的有效性。這涉及認知科學，得從相關文獻里找工具。但也有咨詢公司做過不少嘗試，效果可能超出你我預期。

如果你碰巧對以上幾個方面都有研究，可以嘗試把它們組合起來，應用到安全領域，設計一個安全風險量化方案出來。但現在有一個現成的——已經有人組合了這么一套框架出來，對自己搭框架也會有借鑒意義。

FAIR

這個框架叫做“信息風險因子分析”，簡稱FAIR。

目前在美國，FAIR可能是應用最廣的信息安全風險量化框架：

FAIR學院的成員遍布Netflix，惠普等超過45%的美國財富1000企業；NASA、美國能源部等政府部門使用FAIR量化風險；IBM有一個知名的年度數據泄露損失報告，2021年版使用FAIR來量化數據泄露的損失；NIST2021年報告《將安全與企業風險管理整合》建議以FAIR作為量化安全風險的手段；FAIR被TheOpenGroup收錄，是目前安全風險量化唯一的國際標準。

Figure1IBM數據泄露報告2021以FAIR量化風險

可以看到，FAIR至少是在部分組織里被接受、并實際使用的。雖然FAIR執行起來需要費些腦筋，但能夠被眾多公司和機構接受，來替代簡單易行的最佳實踐、風險矩陣，應該是因為FAIR做了某些雖然麻煩、但是正確的事情。

案例：一個有問題的分析

勒索攻擊最近兩年已經成為最受關注的信息安全威脅。一個電商公司想要知道自己遭受勒索攻擊的風險。

先看一下一個過于簡單的量化是怎么做的：

1.提出問題：公司被勒索攻擊的風險？

2.風險分析：安全專家判斷：損失頻率0.01-0.1次/年，最可能是0.01次/年；經過內部討論，認為損失大小100萬-1000萬，最可能是在200萬上下

ParaSpace：資金已從BlockSec收回，正努力恢復cAPE與APE 1:1錨定:3月19日消息，NFT借貸協議ParaSpace宣布資金已從BlockSec收回，正在重新平衡平臺上的資金池，同時還在努力修補 cAPE 兌換，以便它可以恢復到與 APE 1:1 的比例。一旦開始分階段重新開放協議，前端之類的東西將得到修復并顯示正確準確的數據。

ParaSpace 還表示正從合約方面著手實施安全性增強，包括大額提款請求的時間鎖定提款等。ParaSpace 計劃建立跨越所有時區的 24/7 Solidity 團隊，以實時監控合約交易，同時將針對嚴重錯誤提高錯誤賞金金額至 20 萬美元。ParaSpace 已經開始面試聘請一名穩固性和安全性主管。[2023/3/19 13:13:14]

3.匯報結果：1萬-100萬/年，最可能是20萬。

從問題到求解，因為在如下幾個細節處沒有合理進行處理，使得它實際上沒法用。

問題模糊——

今天要想執行一次成功的勒索攻擊可能是要費些功夫的，如果目標有備份，那么連同備份服務器一起加密才能勒索成功。根據自己公司的情況，對手是小黑客，還是有組織的、用到了“勒索即服務”(RaaS)的團伙？兩者造成的損失發生率不同，單次損失差別可能也比較大。混在一起分析，不會有可信的結果。所以，把一個受關注的風險，拆分成幾個明確的場景是關鍵的第一步。比方說，簡單分析之后，結合自己公司的實際，你發現小黑客的風險可以忽略，把這個結論記下來；然后進一步把勒索團伙作案的勒索攻擊方法，拆分為“通過釣魚郵件入侵內網”，“通過遠程桌面暴力破解管理員密碼入侵內網”兩種場景；這兩種的發生頻率可能不同，但單次造成的損失應該是一樣的。

問題模糊是困難2里的一個原因，FAIR這個框架的第一步是明確場景，降低復雜度。

數值由來不清楚——

這個量化方案中，把損失拆解為損失頻率和發生次數，這是沒問題的。但損失頻率是怎么定出來的？單次損失大小是怎么定出來的？有什么道理嗎？要想對一類事件發生之后涉及的損失大小有全面了解，需要多個部門的信息。安全部自己定的損失，很難經得住推敲。

FAIR對這個問題的解決方法是因子分解和引入領域專家。因素分解體現為如下一棵樹形數據結構。我們大概描述一下，風險=損失發生率*單次損失大小——這個很自然吧？如果損失發生頻率不好估計，可以進一步拆分為威脅發生率和脆弱程度，如此細分下去——圖里的每一個節點的定義，都是FAIR這個框架的一部分。但在計算一個風險時，我們通常只會到第二、三層。以筆者的理解，層數越少越好，如果能直接估計損失發生率，就不要繼續拆分——因為越向下細分，離真實、可驗證的數據越遠。

美股低開高走，道指轉漲:金色財經報道，美股低開高走，道指轉漲，標普500指數跌幅收窄至0.1%，納指跌約0.2%。[2022/9/19 7:06:40]

Figure2FAIR因素分解示意圖

對于用到的節點，如果數據充分，我們可以直接用，這是理想狀態。但前面提到的困難3，僅有的還可能不準確。比如勒索，同行業有很多公司，但實際中了勒索可能很少；選擇公開的會更少。這時候專家經驗就會發揮作用，但需要把準確的信息提取出來。

另外，上述提到損失會有多種。在對已知事件的歸納總結基礎上，FAIR把損失類型分為六種，從而任何事件，按照這六種逐個分析就可以。

(1)生產力：典型的像可用性受到破壞，業務中斷或降級，都會影響營收

(2)響應：發生安全事件，安全團隊，業務、HR、客服、公關部門都可能要出人手應對。在此期間，這些人無法進行日常工作，構成響應費用

(3)替換：員工因惡意泄露信息被開除，需要新招聘員工

(4)競爭優勢：核心數據泄露，并購信息泄露等，造成競爭中的被動

(5)法律處罰：比如數據泄露被罰款

(6)聲譽：股價下跌；融資成本上升；員工留存或招聘的成本上升等

現在你只需要相信，任何損失都可以不重也不漏地分解為這六種形式就好了。換句話說，按照這六個方向思考，可以把可能出現的損失都算進來。

把損失分解開之后，就可以進行數據采集了。如果有公司自身的歷史數據最好，否則就需要借助專家經驗，這是為什么需要安全同HR、法務、業務各領域專家充分溝通。比如HR專家幾乎一定聽說甚至參與過員工違規事件的處理，對這方面的損失有更合理的預期。FAIR將專家估計等同于數據，因此如何將專家的估計提取為數字顯得至關重要，稍后我們會詳細介紹方法。

總結一下，這里涉及的困難是損失分析起來涉及方面太多，以及數據太少，而FAIR的對策是因素分解，以及引入相關領域專家。另外需要注意關鍵一點，在每一個估計結果處做好記錄，即為什么這么估計？比如，為什么忽略小黑客們勒索的威脅？

這樣，因為有明確的場景，每個分解都對應著確切的概念，數據采集過程有詳細記錄，同時估計結果由利益相關方的專家給出，結果就能經得住挑戰和復盤。

非洲公司Mara將推出加密貨幣錢包:7月2日消息，加密產品套件的非洲公司Mara宣布推出Mara錢包。 該錢包是一種快速且安全的多幣種加密錢包，使用戶能夠輕松地實時購買、出售、發送、提取、存儲和保護各種法定和加密資產（如加密貨幣和NFT），而無需提前了解加密知識。

Mara Chi Nnadi的聯合創始人兼首席執行官在發布前的講話中表示，推出Mara錢包是其實現加密教育、金融知識和確保更公平的資本分配的第一步。[2022/7/2 1:46:26]

然后我們繼續分析前述過于簡單量化方案中的第三個問題。

Figure3一個過于簡單、問題多多的量化流程

結果匯總——

這里并沒有明顯的問題。實際計算中，因為每個場景對應多類可能損失，各損失對應的風險值也都以一定的形式彌散在某個范圍內。將隨機變量整合起來，沒有簡單的解析辦法。

Figure4FAIR的量化流程

FAIR使用數值模擬來進行結果匯總。這是一個在金融和科研中常用的手段，也應該是惟一的辦法。除了能夠解決多個風險相加的問題，它得到的是一個完整的風險分布，基于它可以很方便地得到以不同方式呈現的風險。比如損失曲線(lossexceedancecurve；圖5)；風險矩陣，甚至是散點圖等。這一步有開源工具可以直接使用，只需要輸入各個范圍，就可以自動算出風險，甚至自動生成風險報告。

Figure5損失曲線

Figure6風險矩陣

Figure7模擬結果

以上通過一個反面案例，把FAIR的流程梳理了一遍。雖然看似復雜，但當分析的風險增多，你會發現有很多數據可以復用。客服的人時費用、工程師開會的人時費用、替換工程師的損失等數據，短時間內可以認為是常數；一次獲取后，可以用在很多有場景內。另外，每個場景的FAIR風險分析，半年或者一年做一次就可以。

專家知識的挖掘

報告把FAIR流程中的一個重要但人們接受起來有困難的問題，單獨做了講解。

前面提到，提取專家知識，是為了解決量化困難3。FAIR在計算中將專家估計與數據同等對待。也因此專家估計的準確性，決定了最后結果的準確性；如果專家估計不可信，那么前面這一切從一開始就不用做了。

壞消息，是我們的主觀估計通常來說是不準的。好消息，是它可以被“校準”。為此，報告中設計了一個互動環節，結果堪稱完美：參與答題的觀眾中，100%改進了估計準確度；其中更有超過40%可以認為校準至準確——通常人的估計能力是需要經過多輪校準才能達到準確的。讀者不妨也試一下。

第一次估計

寫出以下問題的答案。它們并不容易；但不知道準確答案沒關系，只需要給一個范圍即可。要求是你有90%的把握，正確答案在你給的范圍里。這些問題乍看起來和安全沒關系，反倒像是個無聊游戲。但只要花幾分鐘試一下，你會發現這種能力是可以應用到包括安全在內的所有認知領域的。現在開始。

1.天安門城樓最高處有多高？

2.北京到上海的空中距離？

3.朱自清先生《背影》的寫作時間？

4.第五套人民幣100塊錢的長邊長度？

5.第五套人民幣100塊錢的短邊長度？

6.XCON會場的經度是多少？

7.XCON會場的緯度是多少？

8.中國有多少地級市？

9.乒乓球臺有多寬？

10.諸葛亮哪一年去世？

強調一下，只要你有90%的把握，正確答案在你給的范圍里就好，比方說10m-20m。這里面可能有的問題你不清楚，甚至感覺完全沒概念。不要擔心。我們練習的目標之一，正是從“沒概念、不知道”，到能夠給出答案，并且是準確的答案。為了見證這個變化，對每一個問題，你務必要給一個范圍，不確定的話，范圍可以取大一些。最關鍵的是有勇氣，不放棄！

Figure8一個90%中獎率的轉盤抽獎

校準及第二次估計

現在我們一起對大腦的“估計系統”進行一次校準。有耐心讀到這里各位讀者，一定都是業界精英，對玄學和忽悠也會比較敏感。但你要相信，接下來的內容有理論依據，且經過了實踐的驗證。請暫時忽略頭腦中嘀嘀作響的告警信號。

首先，剛才題意是說，你有90%把握，正確答案落在你給出的范圍以內。這意味著，對于每一道題有90%的可能性你答對了。現在我們給答題加上一個贏錢的設定如果你答對了這道題，就會贏一萬塊錢。因此對于每一道題，你應該有90%的概率贏1萬塊錢，否則就沒錢。

Ok，沒有問題的話，先把這個游戲放一邊。

來想象另一個游戲，轉盤抽獎。這是一個餅狀圖，小的這個部分占10%，其余的占90%，注意，這里的刻度是準確的。12點位置有一個固定的指針。主持人撥一下轉盤讓它轉起來，如果指針最終指向綠色區域，就是大的區域，你就會贏得1萬塊錢，如果指針停在這塊小的藍色區域，就沒有錢。那么你贏的概率有多大？

——這不是腦筋急轉彎，概率也是90%。

現在，對于每一個問題，請你在“回答問題贏獎金”和“轉盤抽獎”之間選擇一個游戲。兩個游戲的贏錢概率理論上都是90%，你會選擇玩哪個？

如果是更傾向于玩轉盤游戲，那意味著你現在認為，自己所給的范圍并沒有90%的正確把握，就請調整下你的答案范圍。直到你覺得這倆游戲的勝率差不多，隨便選哪個玩都行。然后寫在第二列。如果更傾向于玩第一個游戲，也是一樣；你的大腦認為，自己所給的范圍太大了，那就縮小一下范圍。直到你覺得玩哪個游戲都一樣。

在公眾號留言“答案”即可獲取十個問題的正確答案。然后統計下兩次估計的結果。你分別答對了幾道題？也可以在文后留言告訴我們。

對原理的討論

我們完全沒有概念的東西可能非常少。至少比我們所認為的少——我們只是從來沒有用明確的數字去描述一個東西，但相關信息大腦已經編碼好。要提取這個編碼，我們需要用到一些認知科學的結論。人類的大腦有如下兩個特點：

(1)過度自信。所以才會發生“大多數司機認為自己駕駛水平高于中間水平”的事情；

(2)損失厭惡。一個“可能贏100，也可能虧100”的游戲，大部分人不會去玩。因為雖然平均來看不贏不輸，但損失100塊錢的痛苦大于贏得100塊錢的快樂，即情緒的平均值是負的；

第一次答案，我們給的范圍往往偏小；這其中部分原因是過度自信。另一個原因，則是我們更習慣給一個確切的數，即不自覺地追求“精確”(accurate)。但對于決策，準確很重要——你可以給一個對但模糊的范圍，這樣結果可能也會模糊，但最多也就是對決策用處不大而已；但給一個精確到小數點后三位的錯誤數值，一定會誤導決策。我們需要有意識地在精確和準確之間做平衡。

第二次答案中，我們加入了贏錢設定。雖然我們知道是假設，但大腦的損失厭惡能力已經激活。即便不用轉盤做輔助，準確率也會提高——我們得以用大腦的一個缺陷去對抗另一個缺陷，完成對大腦中信息的準確提取。最后，轉盤圖像可以調動視覺功能來糾正大腦對90%認知的可能的偏差。

參考資料：

1.Hubbard,D.W.,&Seiersen,R.(2016).Howtomeasureanythingincybersecurityrisk.

2.Freund,J.,&Jones,J.(2015).Measuringandmanaginginformationrisk.

3.張威等(2021).CISO進階之路：從安全工程師到首席安全官

4.NIST.(2021).IdentifyingandEstimatingCybersecurityRiskforEnterpriseRiskManagement.NationalInstituteofStandardsandTechnology,8286A,55.

5.IBMCorporation.(2021).CostofaDataBreachReport2021.IBMSecurity,1–73.

備注：

如果你對嚴謹性要求比較高，認為專家估計不能用于計算。下面是一個論證，說明專家估計和測量在表現上沒有本質區別。比如，我們所有人都是估計別人身高的專家。所以你看到我的時候，可能會估計我在1.65-1.85米之間，而且最可能是在1.75上下之類。或者是一個更小的范圍。寫出來就是1.75m+-10cm。注意，這跟拿一個尺子量在形式上是不能區分的：我們從初中物理學過，每次測量都有誤差，所以需要多次測量，最后的測量結果類似1.76m+-2cm。因此經過校準的專家估計也是一個測量系統，只是有可能精度不高。

在霧幟智能公眾號留言“答案”即可獲取文中問題的正確答案

Tags：AIRFAIRFAIAIR幣AIR價格FAIR價格FAIR幣FAI價格FAI幣

波場