智库报告：网络安全真的可以被测量吗？

想象这样一个场面，一家中等规模的企业董事会上，在讨论完下个季度的重要财务预算、原材料供应链以及其他重要议题后，终于开始聊公司的网络安全情况，但是对话往往是这样的：

董事会成员：去年网络安全的预算是500万，今年为什么还要增加700万？

CEO:尽管去年网络安全预算正常拨付，但是首席信息安全官（CISO）认为我们的安全系统仍然需要升级。

董事会成员：这似乎很合理，但是多给我们讲讲去年500万是怎么用的吧，我们到底得到了什么呢？

CEO：我会让CISO来回答这个问题。

CISO：我们利用这笔钱部署了一项新的入侵防御系统，并升级了我们的应急响应协议系统

董事会成员：这些措施发挥作用了吗？我们现在真的安全了吗？

CISO：是的

董事会成员：你是怎么判断的？我们到底进步多少呢？你能具体量化吗？

CISO：（沉默）

这样的对话目前正在大部分企业的会议室里上演，我们不能再将问题归咎于决策者不重视网络安全，而是网络安全负责人并不能给决策者直接的结论，使得企业董事会犹豫是否还要投钱到网络安全这个“无底洞”。网络安全难以量化是问题所在，网络安全仍然是一门艺术，而不是一门科学。我们可以定性地评估取得的进展，但是网络安全措施仍然缺乏可以精确衡量的测量方法。

美国政策研究智库“R街研究所” （R Street Institute）通过梳理目前存在的系列网络安全测量方法，进行优劣分析，并研究如何填补这个空白，总结出供决策者参考的基线。

研究所将目前存在的网络安全测量方法分为以下几类：

一、 框架和记分卡

概念：测量最佳实践基线的合规性。

优：由于网络安全难以一种易于通俗易懂的量化方法进行测量，因此许多企业呼吁制定行业标准。在这种情况下，框架以及记分卡则为企业提供了参照。另一方面，框架和记分卡可为中小企业的管理者提供一个寻找漏洞的方向指南。

劣：虽然框架与记分卡非常有用，但现在也存在被滥用的情况。研究表明，越聚焦的框架与记分卡越为有效，但目前新出现的框架涉及的指标越来越多，很难帮助企业选择最为有用的安全投资。更为糟糕的是，泛泛的参照还会误导企业形成错误的安全自我认知。此外，“保罗万象”的框架还会造成企业在网络安全上的过分投资，框架指出的安全隐患可能并不会对企业造成很大的损失，但企业可能就此全面防范，这不符合成本收益规律。总的来说，框架旨在全面消除网络安全风险的理念不会精确地指导企业如何有效的使用安全预算。

主要方法与案例：

NIST、FAIR、COBIT、ISO、Center for Information Security、Global Cyber Alliance、TC CYBER、ISF、SWIFT Customer Security Control Framework、The Software Alliance、American Public Power Association、BitSight、FICO、F-Secure、NormShield、RiskLens、UpGuard

二、 网络保险指标

概念：基于保险行业用以测量风险并设置保费的方法。

优：网络保险是一个蓬勃发展的领域，例如，在2017年，美国网络安全市场直接保费较上年同期增长近32%。2018年的FICO研究发现，76%的受访美国高管表示，他们的公司有网络安全险，而在2017年，这一比例仅为50%。

劣：仅仅网络保险业的存在并不意味着标准化。有研究表明:“网络安全保险没有标准的评分系统或精算表”。这部分是因为，网络攻击对企业来说只是一项新风险，还有部分原因是当公司受到攻击时，它们害怕额外的影响如失去市场份额或声誉可能不愿共享数据。

参考文献：

1、“Cyber Insurance: Recent Advances, Good Practices & Challenges,” European Union Agency for

Network and Information Security, November 2016.

2、Rainer Böhme and Galina Schwartz, “Modeling Cyber-Insurance: Towards A Unifying

Framework,” Harvard University Workshop on the Economics of Information Security, June 7, 2010.

3、Angelica Marotta et. al., “Cyber-insurance survey,” Computer Science Review 24 (May 2017),

pp. 35-61.

4、Ranjan Pal et al., “Will Cyber-Insurance Improve Network Security? A Market Analysis,”

IEEE International Conference on Computer Communications, April 29, 2014.

三、投资回报率（ROI）/安全投资回报率（ROSI）

概念：依赖于传统的投资回报衡量的商业模式。

优：对于公司决策者来说，安全固然是他要考虑的问题，但更重要的是他要考虑投资回报率ROI，任何企业对投资都有回报的要求，回报可能是直接的「利润」，达到短期、长期的目标，或者通过投资减少损失。因此每个项目的决策者在每笔投资前都要衡量 ROI，证明该投资能达到的效果和收益，以便在项目结束时可以考核和衡量项目是否成功，这种方法简单直接，易于决策者理解。

劣：虽然ROI/ROSI方法可以帮助企业股东和董事会成员易于理解缺乏网络安全的代价，但这些方法并不是没有问题的。他们依赖于对损失的准确估计(无论是直接损失还是声誉损失)以及企业将要面临的攻击次数和类型，如果用过去的数据计算，就不能充分预测安全资源的最佳使用。但网络技术一直在发展，特别是物联网的发展改变了威胁的态势，基于过去数据难以预测明年的安全形势。

参考文献：

1、“Introduction to Return on Security Investment,” European Union Agency for Network and

Information Security, Dec. 12, 2012, pp. 1-14.

2、Pascal Brangetto and Mari Kert-Saint Aubyn, “Economic Aspects of National Cyber Security

Strategies,” NATO Cooperative Cyber Defence Centre of Excellence, October 2015, pp. 9-16.

3、Wes Sonnenreich et al., “Return on security investment (ROSI)-a practical quantitative model,”

Journal of Research and practice in Information Technology 38:1 (February 2006), pp. 45-56.

四、网络犯罪

概念：直接衡量事先预估的犯罪数目是否减少，这是从网络犯罪损失的指标演化而来。

优：这是衡量网络安全的一般性尝试，被企业广泛采用来衡量网络安全损失。

劣：但网络犯罪造成的损失通常没有系统地公开，造成准确性有待提升。

参考文献：

1、Ross Anderson et al., “Measuring the Cost of Cybercrime,” Berlin Brandenburg Academy of

Sciences Workshop on the Economics of Information Security, June 26, 2012.

2、Claudia Biancotti, “The price of cyber (in)security: evidence from the Italian private sector,” Bank

of Italy Occasional Papers, Nov. 29, 2017, pp. 1-43.

3、Paul Dreyer et al., “Estimating the Global Cost of Cyber Risk: Methodology and Examples,”

RAND Corporation, 2018, pp. i-54.

4、Eric Jardine, “Mind the denominator: towards a more effective measurement system for

cybersecurity,” Journal of Cyber Policy 3:1 (May 8, 2018), pp. 116-39.

5、Kenneth D. Nguyen et al., “Valuing information security from a phishing attack,” Journal of

Cybersecurity 3:3 (Nov. 1, 2017), pp. 159-71.

五、网络风险经济学项目（CYRIE）

概念：国土安全部所牵头的学术与实践研究，在网络风险经济项目中就有一部分聚焦安全控制措施的风险性以及有效性评估。主要是帮助美国关键数据资产和关键基础设施所有者、运营商、保护机构和监管机构提升基于价值的决策水平。

参考文献：

1、Science and Technology Directorate, “Cyber Risk Economics,” Dept. of Homeland Security,

2019.

2、Erin Kenneally et al., “Cyber Risk Economics Capability Gaps Research Strategy,”

IEEE: International Conference On Cyber Situational Awareness, 2018, pp. 1-6.

该研究指出，网络安全成熟度的标志是所需资源配置和风险评估可以被明确定义，这就需要一系列的衡量指标，具体包括：

• 目标

• 可被量化的程度

• 不同网络安全方法与系统之间的共同性与可比性

• 决策者有限资源的可用性

• 相应社区承认与接收的广度

声明：本文来自网安布谷鸟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。