安全风险管理一直是企业很重视的议题,在多年前,已发展出一种量化评估安全风险的方法,称之为FAIR模型,如今正受到关注与重视,例如,近期这几届台湾安全大会有讲者谈到此议题,今年大会更有两位专家不约而同聚焦于该个模型的介绍,一位是达信保险经纪人资深安全风险顾问李彦民,另一位是合勤投资控股首席安全官游政卿,借由深入浅出说明,帮助企业认识FAIR模型,并了解该安全风险分析量化的应用发展。

谈到资讯安全风险管理,大家可能较熟悉的是ISO 27005安全风险管理指引,其中提供了定义管理风险的方法,第一版发表在2008年,最新为2022年10月的第四版。

而FAIR模型,其全名为Factor Analysis of Information Risk,其中主要是提供对于风险分析的方法,该模型是由Jack Jones在2005年正式提出,随着企业这几年逐渐认识到风险量化的重要性,FAIR也渐成国际间广泛使用的指标,境内已有少数企业开始跟上该潮流。

关于ISO/IEC 27005与FAIR的应用,李彦民表示,以大家熟知的ISO 27001而言,是可以认证的框架标准,ISO 27002是对应的实施指引,说明了控制措施应该如何具体实施,而ISO 27005制定风险管理的原则,是风险管理框架与构建资讯安全的基础,可用于帮助ISO 27001做到风险评估。

基本上,ISO 27005也是指引性质,提供管理风险的方法,但并未规范必需要使用何种风险分析方法,而FAIR就是可用的方法之一。换言之,在风险分析层面,FAIR可以帮助ISO 27005做到风险量化。因此,ISO 27005可与FAIR结合应用。

为了增进大家对于风险及风险量化的认知,在去年台湾安全大会已经介绍FAIR模型的李彦民,这次用开车来比喻。当我们赶着要从台北开车到桃园,刹车是否重要?风险管控是否重要?一台没有刹车系统的超跑,跟一台有刹车系统的50万元小轿车,谁会先开到桃园?试想,一家公司如果在没有风险控制状况下,能到达目标吗?

此外,他也用一段在高速公路飙车的视频,来说明风险随时都在变动。以车子性能而言,直线与过弯的速度上限并不相同,而以道路规范而言,高速公路的内侧、外侧与其他车道的最低速限也不同,同时,也受到场景的影响,像是下雨天风险高,大家可能会行驶得比较慢,一旦路上车多,就算我们想开到最低速限,环境也不允许。但是,终究,我们还是需要有一个标准,告诉自己多快或多慢才能符合所需。

而在公司决定风险偏好(Risk Appetite)时,如果能够做到量化,将有助于知道公司的安全风险程度,这也就是量化安全风险的好处。

基本上,FAIR是一种资讯安全风险的评估方法,通过因素分析来量化安全风险。李彦民表示,以FAIR风险公式而言,就是“风险是未来损失的可能频率和可能大小”。

因此,若要评估风险,预测此风险的年度损失金额,就要计算事件损失频率(LEF),以及损失幅度(LM)。

简单来说,以计算事件损失频率而言,涵盖的是威胁事件频率(TEF,包含接触频率、攻击几率)与脆弱度(VUL,包含威胁能力、防御强度);以损失幅度计算而言,涵盖的是主要损失(PL)与次要损失(LM,包含事件损失频率、损失幅度)。

其中,在防御强度方面,早年他以Cyber Kill Chain、Mitre Attack、Application Attack Kill Chain来将攻击手法做对照,如今已有FAIR-CAM的模型可以帮助分析,他推荐给大家使用;而在主要损失估算部分,他特别强调一点,需客户或专家支持你的逻辑与源由,加上数据的校验,估算才有意义。

综合而言,李彦民指出,FAIR的好处在于,是以金钱为单位来量化安全风险,可以明确的定义风险,带来较客观的安全分析与模型创建,并且是结合了质化分析与量化分析。同时也简化了统计与搜集,改善风险管理项目的修先顺序,更重要的是,让安全能支持风险分析成本,让管理安全风险也能像管理其他风险。

令我们好奇的是,目前使用FAIR的企业多吗?我们在会后询问李彦民,他表示,国际上有许多大型企业都在使用,包括知名科技企业Netflix,就使用包括FAIR等定量分析模型来做出决策,全球航运物流巨头马士基(Maersk)也已经导入,根据我们在网络上寻找采用的企业与组织,发现HPE、美国NSAS都是。就李彦民的观察而言,FAIR的应用在美国市场是相对成熟,近年亚太地区的案子有显著增加,但对于台湾而言,他认为仍然算是比较新的概念。

关于FAIR风险公式,李彦民指出,就是“风险是未来损失的可能频率和可能大小”,也就是要得出事件损失频率(LEF)及损失幅度(LM)以计算出风险。

基本上,ISO 27005风险管理框架可用于帮助ISO 27001做到风险评估,而FAIR可以帮助ISO 27005做到风险量化。

在ISO 27005风险管理标准框架之中,条文中8.2是“风险分析”、8.3“风险评估”,李彦民表示,ISO 27005为指引性质,并未规范必需要使用何种风险分析方法,而FAIR就是可用的方法之一,可帮助ISO 27005做到风险量化。

境内是否也有企业使用FAIR?在去年台湾安全大会,合勤投控首席安全官游政卿披露自家公司转化安全投资的6个策略中,曾提到他们采用安全风险量化工具FAIR模型,并将业务运营中断、勒索赎金、法律费用、名誉受损、法规罚金、个人信息外泄等,都列入模型参数。今年他更是直接以FAIR为题,特别从首席安全官与董事会沟通的角度,来说明量化安全价值的重要性。

“在董事会报告,只有钱能够触动这些高端主管的神经。”游政卿说。他打趣着说,向董事会报告安全有多么重要时,所有人的头是低的,向董事会报告这个风险值16万美元,大家的头就抬起来,表示他们很关注此事。

如果我们只是说威胁很重要、我们需要投资安全,这样的沟通效果并不显著;事实上,我们可以将调整报告内容,例如,提到有哪些安全防护如果没有做,可能会损失多少钱,因此,若能拿出估计损失金额的十分之一来投资这方面的安全,是划得来的,而这样的说法,往往较能让董事们认为合理而接受。而这就是一个量化安全价值的最简单例子,有助于跨部门沟通。

游政卿表示,他首次接触FAIR,是因为合勤要并购一家公司而要做尽职调查(Due Diligence)。基本上,FAIR的主要目的,是为企业提供客观、可靠的风险评估方法,以支持风险管理决策,其特点有三,分别是:定量分析、易于理解,以及有助于跨部门沟通。

重要的是,FAIR模型不仅是金额量化网络与运营风险,通过标准模型将资讯风险分析与量化,将可根据风险,实现更佳的决策制定与资源分配。

但游政卿也强调,如果FAIR真的那么好用,台湾现在应该也有很多企业采用才是,但实际情形并非如此。因此,他在最近这次的演说中,除了让大家理解FAIR在国际受到很大的重视,而具体描述了定性与定量的差异与实例,他更是指出FAIR的挑战,帮助台湾未来能善用FAIR。

以定量风险评估的局限来看,游政卿整理出4大面向。

首先是主观性,FAIR方法的部分输入值,是来自于专家判断,因此可能导致主观性与偏见;其次是复杂性,FAIR方法的风险分析过程相对复杂,需要对多个因素进行详细的分析,因此,对于缺乏风险管理经验的人而言,要搞懂FAIR模型是有一定的挑战;第三是资料不足,以FAIR方法评估风险,依赖足够的历史资料和专家知识,若缺乏足够资料,将影响分析结果准确性;最后是跨行业通用性,受高度监管的产业更适合用FAIR,包括金融、医疗、电信、能源与国防等,但应用于其他不同产业则需一定的调整与定制。

此外,FAIR的采用并非单靠本身的内容,游政卿强调,FAIR可与其他量化风险框架,不论是ISO 27005,或是与NIST 800-37框架、OCTAVE风险评估方法结合,达到更全面的风险管理。还有像是CIS RAM框架是以FAIR为核心组成,ISACA的CRISC认证涵盖FAIR方法,FAIR可与其风险管理知识结合。

至于未来,游政卿认为,随着教育与培训机构开设FAIR课程,其他风险管理工具与FAIR集成,以及更多企业认识到风险量化的重要性,FAIR将在更多领域获得应用。

合勤投资控股首席安全官游政卿去年在台湾安全大会,曾表示该公司曾提到他们公司采用FAIR模型,今年他特别以此为题,说明量化安全价值的好处与重要性,同时他也介绍了FAIR的发展历程,并分享定量风险分析的企业实际案例,在其演示文稿中也针对FAIR模型中的各项因素及其算式做出阐释。

说明可运用定量风险分析来决定安全投资策略之余,合勤投控首席安全官游政卿也介绍一些FAIR的相关资源及工具,供大家参考。例如FAIR Institute,这是Jack Jones在2006年为了推广FAIR创立的非营利组织,主要促进FAIR方法的普及与应用,提供教育训练、案例研究与网络研讨会等资源;还有像是The Open Group所开发的OpenFAIR标准。

此外,Jack Jones现为Risklens公司首席风险科学家,而该公司除了推出基于FAIR的风险管理软件,帮助企业量外与管理安全风险,并在2019年提供基于FAIR方法的免费分析工具,打造FAIR-U的网站应用程序,供初学者熟悉FAIR框架与概念。(上图为FAIR-U的接口)