FAIR定量風險分析模型實用性高受重視，量化資安風險有助溝通風險問題、確定資安投資

資安風險管理一直是企業很重視的議題，在多年前，已發展出一種量化評估資安風險的方法，稱之為FAIR模型，如今正受到關注與重視，例如，近期這幾屆臺灣資安大會有講者談到此議題，今年大會更有兩位專家不約而同聚焦於此一個模型的介紹，一位是達信保險經紀人資深資安風險顧問李彥民，另一位是合勤投資控股資安長游政卿，藉由深入淺出說明，幫助企業認識FAIR模型，並了解此一資安風險分析量化的應用發展。

可將ISO 27005風險管理標準與FAIR模型結合使用

談到資訊安全風險管理，大家可能較熟悉的是ISO 27005資安風險管理指引，當中提供了定義管理風險的方法，第一版發布於2008年，最新為2022年10月的第四版。

而FAIR模型，其全名為Factor Analysis of Information Risk，當中主要是提供對於風險分析的方法，此一模型是由Jack Jones在2005年正式提出，隨著企業這幾年逐漸認識到風險量化的重要性，FAIR也漸成國際間廣泛使用的指標，國內已有少數業者開始跟上此一潮流。

關於ISO/IEC 27005與FAIR的應用，李彥民表示，以大家熟知的ISO 27001而言，是可以認證的框架標準，ISO 27002是對應的實施指引，說明了控制措施應該如何具體實施，而ISO 27005訂定風險管理的原則，是風險管理框架與建構資訊安全的基礎，可用於幫助ISO 27001做到風險評估。

基本上，ISO 27005也是指引性質，提供管理風險的方法，但並未規範必須要使用何種風險分析方法，而FAIR就是可用的方法之一。換言之，在風險分析層面，FAIR可以幫助ISO 27005做到風險量化。因此，ISO 27005可與FAIR結合應用。

為了增進大家對於風險及風險量化的認知，在去年臺灣資安大會已經介紹FAIR模型的李彥民，這次用開車來比喻。當我們趕著要從臺北開車到桃園，煞車是否重要？風險管控是否重要？一臺沒有剎車系統的超跑，跟一臺有剎車系統的50萬元小轎車，誰會先開到桃園？試想，一間公司如果在沒有風險控制狀況下，能到達目標嗎？

此外，他也用一段在高速公路飆車的影片，來說明風險隨時都在變動。以車子性能而言，直線與過彎的速度上限並不相同，而以道路規範而言，高速公路的內側、外側與其他車道的最低速限也不同，同時，也受到情境的影響，像是下雨天風險高，大家可能會行駛得比較慢，一旦路上車多，就算我們想開到最低速限，環境也不允許。但是，終究，我們還是需要有一個標準，告訴自己多快或多慢才能符合所需。

而在公司決定風險偏好（Risk Appetite）時，如果能夠做到量化，將有助於知道公司的資安風險程度，這也就是量化資安風險的好處。

基本上，FAIR是一種資訊安全風險的評估方法，透過因素分析來量化資安風險。李彥民表示，以FAIR風險公式而言，就是「風險是未來損失的可能頻率和可能大小」。

因此，若要評估風險，預測此風險的年度損失金額，就要計算事件損失頻率（LEF），以及損失幅度（LM）。

簡單來說，以計算事件損失頻率而言，涵蓋的是威脅事件頻率（TEF，包含接觸頻率、攻擊機率）與脆弱度（VUL，包含威脅能力、防禦強度）；以損失幅度計算而言，涵蓋的是主要損失（PL）與次要損失（LM，包含事件損失頻率、損失幅度）。

其中，在防禦強度方面，早年他以Cyber Kill Chain、Mitre Attack、Application Attack Kill Chain來將攻擊手法做對照，如今已有FAIR-CAM的模型可以幫助分析，他推薦給大家使用；而在主要損失估算部分，他特別強調一點，需客戶或專家支援你的邏輯與源由，加上數據的校驗，估算才有意義。

綜合而言，李彥民指出，FAIR的好處在於，是以金錢為單位來量化資安風險，可以明確的定義風險，帶來較客觀的資安分析與模型建立，並且是結合了質化分析與量化分析。同時也簡化了統計與蒐集，改善風險管理專案的修先順序，更重要的是，讓資安能支援風險分析成本，讓管理資安風險也能像管理其他風險。

令我們好奇的是，目前使用FAIR的企業多嗎？我們在會後詢問李彥民，他表示，國際上有許多大型企業都在使用，包括知名科技業者Netflix，就使用包括FAIR等定量分析模型來做出決策，全球航運物流巨擘馬士基（Maersk）也已經導入，根據我們在網路上尋找採用的企業與組織，發現HPE、美國NSAS都是。就李彥民的觀察而言，FAIR的應用在美國市場是相對成熟，近年亞太地區的案子有顯著增加，但對於臺灣而言，他認為仍然算是比較新的概念。

關於FAIR風險公式，李彥民指出，就是「風險是未來損失的可能頻率和可能大小」，也就是要得出事件損失頻率（LEF）及損失幅度（LM）以計算出風險。

基本上，ISO 27005風險管理框架可用於幫助ISO 27001做到風險評估，而FAIR可以幫助ISO 27005做到風險量化。

在ISO 27005風險管理標準框架之中，條文中8.2是「風險分析」、8.3「風險評估」，李彥民表示，ISO 27005為指引性質，並未規範必須要使用何種風險分析方法，而FAIR就是可用的方法之一，可幫助ISO 27005做到風險量化。

將風險程度量化成「金額」好處多，易於溝通與理解

國內是否也有企業使用FAIR？在去年臺灣資安大會，合勤投控資安長游政卿揭露自家公司轉化資安投資的6個策略中，曾提到他們採用資安風險量化工具FAIR模型，並將業務營運中斷、勒索贖金、法律費用、名譽受損、法規罰金、個資外洩等，都列入模型參數。今年他更是直接以FAIR為題，特別從資安長與董事會溝通的角度，來說明量化安全價值的重要性。

「在董事會報告，只有錢能夠觸動這些高階主管的神經。」游政卿說。他打趣著說，向董事會報告資安有多麼重要時，所有人的頭是低的，向董事會報告這個風險值16萬美元，大家的頭就抬起來，表示他們很關注此事。

如果我們只是說威脅很重要、我們需要投資資安，這樣的溝通效果並不顯著；事實上，我們可以將調整報告內容，例如，提到有哪些資安防護如果沒有做，可能會損失多少錢，因此，若能拿出估計損失金額的十分之一來投資這方面的資安，是划得來的，而這樣的說法，往往較能讓董事們認為合理而接受。而這就是一個量化安全價值的最簡單例子，有助於跨部門溝通。

游政卿表示，他首次接觸FAIR，是因為合勤要併購一家公司而要做盡職調查（Due Diligence）。基本上，FAIR的主要目的，是為企業提供客觀、可靠的風險評估方法，以支持風險管理決策，其特點有三，分別是：定量分析、易於理解，以及有助於跨部門溝通。

重要的是，FAIR模型不僅是金額量化網路與營運風險，透過標準模型將資訊風險分析與量化，將可根據風險，實現更佳的決策制定與資源分配。

但游政卿也強調，如果FAIR真的那麼好用，國內現在應該也有很多企業採用才是，但實際情形並非如此。因此，他在最近這次的演說中，除了讓大家理解FAIR在國際受到很大的重視，而具體描述了定性與定量的差異與實例，他更是指出FAIR的挑戰，幫助國內未來能善用FAIR。

以定量風險評估的局限來看，游政卿整理出4大面向。

首先是主觀性，FAIR方法的部分輸入值，是來自於專家判斷，因此可能導致主觀性與偏見；其次是複雜性，FAIR方法的風險分析過程相對複雜，需要對多個因素進行詳細的分析，因此，對於缺乏風險管理經驗的人而言，要搞懂FAIR模型是有一定的挑戰；第三是資料不足，以FAIR方法評估風險，依賴足夠的歷史資料和專家知識，若缺乏足夠資料，將影響分析結果準確性；最後是跨行業通用性，受高度監管的產業更適合用FAIR，包括金融、醫療、電信、能源與國防等，但應用於其他不同產業則需一定的調整與客製。

此外，FAIR的採用並非單靠本身的內容，游政卿強調，FAIR可與其他量化風險框架，不論是ISO 27005，或是與NIST 800-37框架、OCTAVE風險評估方法結合，達到更全面的風險管理。還有像是CIS RAM框架是以FAIR為核心組成，ISACA的CRISC認證涵蓋FAIR方法，FAIR可與其風險管理知識結合。

至於未來，游政卿認為，隨著教育與培訓機構開設FAIR課程，其他風險管理工具與FAIR整合，以及更多企業認識到風險量化的重要性，FAIR將在更多領域獲得應用。

合勤投資控股資安長游政卿去年在臺灣資安大會，曾表示該公司曾提到他們公司採用FAIR模型，今年他特別以此為題，說明量化安全價值的好處與重要性，同時他也介紹了FAIR的發展歷程，並分享定量風險分析的企業實際案例，在其簡報中也針對FAIR模型中的各項因子及其算式做出闡釋。

說明可運用定量風險分析來決定安全投資策略之餘，合勤投控資安長游政卿也介紹一些FAIR的相關資源及工具，供大家參考。例如FAIR Institute，這是Jack Jones在2006年為了推廣FAIR創立的非營利組織，主要促進FAIR方法的普及與應用，提供教育訓練、案例研究與網路研討會等資源；還有像是The Open Group 所開發的OpenFAIR標準。

此外，Jack Jones現為Risklens公司首席風險科學家，而該公司除了推出基於FAIR的風險管理軟體，幫助企業量外與管理資安風險，並在2019年提供基於FAIR方法的免費分析工具，打造FAIR-U的網站應用程式，供初學者熟悉FAIR框架與概念。（上圖為FAIR-U的介面）