在FAIR模型之下,簡單來說就是以損失事件頻率(LEF)與損失幅度(LM)來計算風險,提供客觀的風險評估方法,並以金額量化網路與營運風險,有助於不同部門的溝通,讓企業經營者等其他人可以對於資安風險更有感,而當中將風險分解為多個因素,亦可更深入地瞭解風險的成因與影響。

資安風險管理一直是企業很重視的議題,在多年前,已發展出一種量化評估資安風險的方法,稱之為FAIR模型,如今正受到關注與重視,例如,近期這幾屆臺灣資安大會有講者談到此議題,今年大會更有兩位專家不約而同聚焦於此一個模型的介紹,一位是達信保險經紀人資深資安風險顧問李彥民,另一位是合勤投資控股資安長游政卿,藉由深入淺出說明,幫助企業認識FAIR模型,並了解此一資安風險分析量化的應用發展。

可將ISO 27005風險管理標準與FAIR模型結合使用

談到資訊安全風險管理,大家可能較熟悉的是ISO 27005資安風險管理指引,當中提供了定義管理風險的方法,第一版發布於2008年,最新為2022年10月的第四版。

而FAIR模型,其全名為Factor Analysis of Information Risk,當中主要是提供對於風險分析的方法,此一模型是由Jack Jones在2005年正式提出,隨著企業這幾年逐漸認識到風險量化的重要性,FAIR也漸成國際間廣泛使用的指標,國內已有少數業者開始跟上此一潮流。

關於ISO/IEC 27005與FAIR的應用,李彥民表示,以大家熟知的ISO 27001而言,是可以認證的框架標準,ISO 27002是對應的實施指引,說明了控制措施應該如何具體實施,而ISO 27005訂定風險管理的原則,是風險管理框架與建構資訊安全的基礎,可用於幫助ISO 27001做到風險評估。

基本上,ISO 27005也是指引性質,提供管理風險的方法,但並未規範必須要使用何種風險分析方法,而FAIR就是可用的方法之一。換言之,在風險分析層面,FAIR可以幫助ISO 27005做到風險量化。因此,ISO 27005可與FAIR結合應用。

為了增進大家對於風險及風險量化的認知,在去年臺灣資安大會已經介紹FAIR模型的李彥民,這次用開車來比喻。當我們趕著要從臺北開車到桃園,煞車是否重要?風險管控是否重要?一臺沒有剎車系統的超跑,跟一臺有剎車系統的50萬元小轎車,誰會先開到桃園?試想,一間公司如果在沒有風險控制狀況下,能到達目標嗎?

此外,他也用一段在高速公路飆車的影片,來說明風險隨時都在變動。以車子性能而言,直線與過彎的速度上限並不相同,而以道路規範而言,高速公路的內側、外側與其他車道的最低速限也不同,同時,也受到情境的影響,像是下雨天風險高,大家可能會行駛得比較慢,一旦路上車多,就算我們想開到最低速限,環境也不允許。但是,終究,我們還是需要有一個標準,告訴自己多快或多慢才能符合所需。

而在公司決定風險偏好(Risk Appetite)時,如果能夠做到量化,將有助於知道公司的資安風險程度,這也就是量化資安風險的好處。

基本上,FAIR是一種資訊安全風險的評估方法,透過因素分析來量化資安風險。李彥民表示,以FAIR風險公式而言,就是「風險是未來損失的可能頻率和可能大小」。

因此,若要評估風險,預測此風險的年度損失金額,就要計算事件損失頻率(LEF),以及損失幅度(LM)。

簡單來說,以計算事件損失頻率而言,涵蓋的是威脅事件頻率(TEF,包含接觸頻率、攻擊機率)與脆弱度(VUL,包含威脅能力、防禦強度);以損失幅度計算而言,涵蓋的是主要損失(PL)與次要損失(LM,包含事件損失頻率、損失幅度)。

其中,在防禦強度方面,早年他以Cyber Kill Chain、Mitre Attack、Application Attack Kill Chain來將攻擊手法做對照,如今已有FAIR-CAM的模型可以幫助分析,他推薦給大家使用;而在主要損失估算部分,他特別強調一點,需客戶或專家支援你的邏輯與源由,加上數據的校驗,估算才有意義。

綜合而言,李彥民指出,FAIR的好處在於,是以金錢為單位來量化資安風險,可以明確的定義風險,帶來較客觀的資安分析與模型建立,並且是結合了質化分析與量化分析。同時也簡化了統計與蒐集,改善風險管理專案的修先順序,更重要的是,讓資安能支援風險分析成本,讓管理資安風險也能像管理其他風險。

令我們好奇的是,目前使用FAIR的企業多嗎?我們在會後詢問李彥民,他表示,國際上有許多大型企業都在使用,包括知名科技業者Netflix,就使用包括FAIR等定量分析模型來做出決策,全球航運物流巨擘馬士基(Maersk)也已經導入,根據我們在網路上尋找採用的企業與組織,發現HPE、美國NSAS都是。就李彥民的觀察而言,FAIR的應用在美國市場是相對成熟,近年亞太地區的案子有顯著增加,但對於臺灣而言,他認為仍然算是比較新的概念。

關於FAIR風險公式,李彥民指出,就是「風險是未來損失的可能頻率和可能大小」,也就是要得出事件損失頻率(LEF)及損失幅度(LM)以計算出風險。

基本上,ISO 27005風險管理框架可用於幫助ISO 27001做到風險評估,而FAIR可以幫助ISO 27005做到風險量化。

在ISO 27005風險管理標準框架之中,條文中8.2是「風險分析」、8.3「風險評估」,李彥民表示,ISO 27005為指引性質,並未規範必須要使用何種風險分析方法,而FAIR就是可用的方法之一,可幫助ISO 27005做到風險量化。

將風險程度量化成「金額」好處多,易於溝通與理解

國內是否也有企業使用FAIR?在去年臺灣資安大會,合勤投控資安長游政卿揭露自家公司轉化資安投資的6個策略中,曾提到他們採用資安風險量化工具FAIR模型,並將業務營運中斷、勒索贖金、法律費用、名譽受損、法規罰金、個資外洩等,都列入模型參數。今年他更是直接以FAIR為題,特別從資安長與董事會溝通的角度,來說明量化安全價值的重要性。

「在董事會報告,只有錢能夠觸動這些高階主管的神經。」游政卿說。他打趣著說,向董事會報告資安有多麼重要時,所有人的頭是低的,向董事會報告這個風險值16萬美元,大家的頭就抬起來,表示他們很關注此事。

如果我們只是說威脅很重要、我們需要投資資安,這樣的溝通效果並不顯著;事實上,我們可以將調整報告內容,例如,提到有哪些資安防護如果沒有做,可能會損失多少錢,因此,若能拿出估計損失金額的十分之一來投資這方面的資安,是划得來的,而這樣的說法,往往較能讓董事們認為合理而接受。而這就是一個量化安全價值的最簡單例子,有助於跨部門溝通。

游政卿表示,他首次接觸FAIR,是因為合勤要併購一家公司而要做盡職調查(Due Diligence)。基本上,FAIR的主要目的,是為企業提供客觀、可靠的風險評估方法,以支持風險管理決策,其特點有三,分別是:定量分析、易於理解,以及有助於跨部門溝通。

重要的是,FAIR模型不僅是金額量化網路與營運風險,透過標準模型將資訊風險分析與量化,將可根據風險,實現更佳的決策制定與資源分配。

但游政卿也強調,如果FAIR真的那麼好用,國內現在應該也有很多企業採用才是,但實際情形並非如此。因此,他在最近這次的演說中,除了讓大家理解FAIR在國際受到很大的重視,而具體描述了定性與定量的差異與實例,他更是指出FAIR的挑戰,幫助國內未來能善用FAIR。

以定量風險評估的局限來看,游政卿整理出4大面向。

首先是主觀性,FAIR方法的部分輸入值,是來自於專家判斷,因此可能導致主觀性與偏見;其次是複雜性,FAIR方法的風險分析過程相對複雜,需要對多個因素進行詳細的分析,因此,對於缺乏風險管理經驗的人而言,要搞懂FAIR模型是有一定的挑戰;第三是資料不足,以FAIR方法評估風險,依賴足夠的歷史資料和專家知識,若缺乏足夠資料,將影響分析結果準確性;最後是跨行業通用性,受高度監管的產業更適合用FAIR,包括金融、醫療、電信、能源與國防等,但應用於其他不同產業則需一定的調整與客製。

此外,FAIR的採用並非單靠本身的內容,游政卿強調,FAIR可與其他量化風險框架,不論是ISO 27005,或是與NIST 800-37框架、OCTAVE風險評估方法結合,達到更全面的風險管理。還有像是CIS RAM框架是以FAIR為核心組成,ISACA的CRISC認證涵蓋FAIR方法,FAIR可與其風險管理知識結合。

至於未來,游政卿認為,隨著教育與培訓機構開設FAIR課程,其他風險管理工具與FAIR整合,以及更多企業認識到風險量化的重要性,FAIR將在更多領域獲得應用。

 

 

合勤投資控股資安長游政卿去年在臺灣資安大會,曾表示該公司曾提到他們公司採用FAIR模型,今年他特別以此為題,說明量化安全價值的好處與重要性,同時他也介紹了FAIR的發展歷程,並分享定量風險分析的企業實際案例,在其簡報中也針對FAIR模型中的各項因子及其算式做出闡釋。

說明可運用定量風險分析來決定安全投資策略之餘,合勤投控資安長游政卿也介紹一些FAIR的相關資源及工具,供大家參考。例如FAIR Institute,這是Jack Jones在2006年為了推廣FAIR創立的非營利組織,主要促進FAIR方法的普及與應用,提供教育訓練、案例研究與網路研討會等資源;還有像是The Open Group 所開發的OpenFAIR標準。

此外,Jack Jones現為Risklens公司首席風險科學家,而該公司除了推出基於FAIR的風險管理軟體,幫助企業量外與管理資安風險,並在2019年提供基於FAIR方法的免費分析工具,打造FAIR-U的網站應用程式,供初學者熟悉FAIR框架與概念。(上圖為FAIR-U的介面)

熱門新聞

Advertisement