如何应对低概率，高影响力的风险？

#1 楼

现在，通常我们通过将发生概率乘以预期损害来评估此类问题，但是在这种情况下，我们将尝试将趋于零的数字乘以趋于无穷的数字并得出内聚答案就迷失了方向。


不幸的是，这是您需要做的。但是我不认为这种计算确实没有您想象的那么困难。

可以通过首先估计有多少公司面临相同的安全威胁并且不采取行动来估算风险。必要的预防措施。然后您浏览一下新闻报道，以检查每年有多少公司受到新闻报道的影响（加上有根据的猜测，其中有多少公司设法避免了这些混乱事件的公开化）。用第二个数字除以第一个数字，您就有了风险百分比。

您的伤害不会趋于无穷大。最接近“无限破坏”的事件将是整个宇宙整个时间/空间连续体的崩溃（即使您感到无聊，并且甚至可以通过费米估算以美元为单位来量化破坏，这一事件也是如此。对天体物理学感兴趣）。实际上，您可能能够造成的最高损失就是使您的公司破产。如果您还要考虑对他人造成的损害，则可能造成更大的损害。但是，当您的公司破产时，它将无法支付这些债务。因此，您可以将公司的净资产用作预期损失的上限。

#2 楼

警告此响应是理论上的，而不是经验上的。


坏事件对他人的影响是否存在道德后果？会伤害您的用户吗？还应考虑如果公司被攻击破坏可能会受到伤害的公司员工。如果是这样，您可能会觉得您有减轻道德上的道德义务。
如果您确实减轻了攻击，贵公司是否可以以此为卖点或竞争优势？
如果损害将导致保险可能行不通。以贵公司的声誉；保险并不能真正帮助您从中恢复。这取决于损害采取何种形式，也许保险是一个不错的选择。
除非出现低风险问题，否则使预期的货币结果最大化并不一定是决策的好方法。假设您冒着99％的机会使公司破产的风险，但有1％的机会将其资产净值乘以200。“期望”会使您的公司价值翻倍，但几乎可以肯定，您将失业。
考虑目标而不是期望值，例如公司的长期生存。例如，在这两个选项（是否缓解）下，您希望公司生存多长时间？ （a）如果公司陷入困境，而预算增加8％可能会使公司破产，那么您别无选择，只能忽略这个问题，并希望自己幸运。如果它在此期间幸存并繁荣发展，那么您可以在那时进行投资。 （b）如果公司运作良好，那么看来可以负担得起安全事务。 （c）如果在中间某个地方，从这个角度来看的决定将变得困难。
上级人士似乎不太希望在没有他们的投入或控制的情况下做出这样的决定...

#3 楼

您应该考虑到您的团队知道此攻击媒介的事实。

如果仅了解此漏洞会使执行攻击更容易，那么您可能会遇到比您想象的更大的问题。 （例如，您的团队很难找到的后门。）

如果是这种情况，您自己的团队成员就很在意要担心的对手名单，并且有可能成为对手受到攻击的情况可能会比如果您的团队不知道的情况要高得多。

员工可能并且经常确实不满。考虑到这一点。

#4 楼

您将获得可以承担该风险的保险。由于它的概率很低，因此很难为您评估，因此，与其创建个人保险，不如尝试将其纳入涵盖更多普通风险的保险中。基本上，您检查已拥有或可能需要的保险最有可能涵盖该保险，如果没有，请尝试就该保险涵盖的其他交易进行谈判。

保险涉及转换较低的摘要风险（事件的概率乘以缓解事件的货币成本）转换为较高的摘要风险（概率为保险的货币成本的1倍），同时将较高的操作风险（事件的概率乘以事件发生的所有后果的最终损害）对于企业而言）降低到较低的水平（保险的货币成本）。

仅当未缓解的损失高于缓解成本时（即当损害时），保险买卖双方才有意义没有缓解措施将严重危害持续的业务。

#5 楼

您选择了正确的方法：


现在通常我们通过将发生概率乘以预期损害来评估此类问题...


只是面临极限：


我们迷失了试图将趋于零的数字与趋于无穷大的数字相乘的原因。

我会说您面临的风险极低（可能会给公司的运营造成重大打击并可能破坏整个业务），而发生的可能性很小。

我的观点是，您处于战略决策的前面。作为团队负责人，您的职责是将问题及其要素传递给老板：如果您的组织遭受该攻击会发生什么情况，近年来发生了多少次攻击，可能的缓解措施是什么？他们的成本是多少。当涉及到重大风险和重大成本时，决定通常属于主要老板。

#6 楼

您的第一步是进行适当的定量风险分析。其他答案已经在这里提供了指导，我特别想支持提到一本非常出色的书“如何衡量网络安全风险中的任何内容”。您也可以将FAIR作为一种定量方法。

但是，风险管理不是以风险分析开始也不是结束。特别是对于“黑天鹅”风险，其他因素也起作用。您需要使用已定义的风险偏好和风险标准来涵盖这些内容。

您的公司需要定义其风险偏好，并说明其与风险之间的关系（偏好保守，避免风险，偏好更多）侵略性并接受风险等）。这可以定义超出一定影响范围的风险是不可接受的，即使其风险或频率较低。通常，肯定会破坏公司的风险属于此类。

如果可能的话，这些都是通过保险减轻风险的良好选择。 “很少发生但具有灾难性的影响”是保险的本国领土。

您需要的第二个定义是风险标准，该标准定义了出于道德原因，法律原因您不愿接受的风险种类责任或其他。例如，您可以定义即使定量下降到可接受范围内，对人类生命的危害也是无法接受的。还是无论量化的风险值如何，对C级高管的潜在监禁都是不可接受的。

完成这三件事-风险分析，风险偏好和风险标准-您应该得到可行的结果。您的黑天鹅可能会被食欲或标准定义所接受，或者如果不能，那么这仅仅是与其他风险一样的另一种风险。由于分析的频率较低且无法正确估计，因此该分析可能特别不稳定，在这种情况下，可以考虑a）取值范围和b）估计的置信度的适当定量方法将发挥作用，并将为您提供帮助。 （*参见下文）

例如，在我通常进行的风险分析中，我采用了蒙特卡洛方法，而我的输出之一是所有场景结果的散点图。任何黑天鹅都将显示为个别（和稀有）异常值，我可以识别它们并在上下文中查看它们。

最后，尤其是对于高影响力风险，您可以制定决策。拥有适当权限的人可以根据您的信息做出决定，因此您的职责是为他们提供完整的信息，而又不会使他们负担对决策至关重要的信息。


关于此的另一点评论风险处理。您可能会超出分析范围，并检查可能的治疗方案。如果您只需花费很少的精力就可以确定输入值发生显着变化的治疗方法，那么为了使您的阵营更紧密地相处就很值得这样做。例如，如果有一种措施可以将灾难性公司破坏的影响减小到严重但可以生存的程度，并且您可以将黑天鹅变成经常性的高影响力风险。


（*）

由于许多人从未见过适当的定量风险分析，因此您要寻找的东西不是一个值作为输入，而是一个范围和一个形状参数。 PERT是一种方法-确定最低合理可能值，最高合理可能值和最可能值。也称为乐观-现实-悲观。另一种方法是明确指定形状曲线的置信度值。在beta发行版中，这将是lambda值。

以Fair-U为例。我很喜欢FAIR方法，但还有其他方法。只是接受不了适当的定量（有时称为统计）方法来解决这些更棘手的风险方案。

#7 楼

tl; dr：涉及安全漏洞时，无论可能性有多低，足够高的影响都意味着应减轻影响。最重要的是，这种可能性不是一成不变的，它在不断地，也许是从根本上在增加。它的大部分示例都来自金融领域，但它是一本关于您在哪里遇到的问题的书


该事件很少发生，有可能永远不会发生
如果该事件发生了这将是严重的对风险的评估不足。

塔勒布（Taleb）鼓励最大程度地减少高负面影响事件的发生，即使事件的可能性很小，正确的举动也可以减轻潜在的灾难。 />
我喜欢Taleb的想法，我相信他也提到了网络安全以及公司如何被低估在本书的附录中将网络风险降到最低，但这是我对安全至少感兴趣的人的看法。随着时间的推移，对您的组织发起攻击的可能性呈几何级增长。攻击不会消失，它们只会变得更复杂，更易于检测和自动化。如今，需要由智能破解者进行一些思考和操作的地方，距离被机器人自动检测和利用还只有几年的路程。这种技术飞跃可能在一夜之间发生，而第二天您就被困了。

这就是说，与您的应用程序中某些唯一的0天不同，在您所处的环境中攻击的概率不是固定的，而是在不断增长。而且，这种可能性不会以稳定的速度增长，它可以而且很可能会迅速跨越。

#8 楼

关于可能的损失，请与一些合格的律师讨论谁应该承担责任以及如何承担责任。公司作为商业实体的风险可能以公司的净资产为上限，但在某些情况下，如果首席执行官或雇员本应知道此问题，则可能对他们承担民事或刑事法律责任。 （当然，这取决于您的权限。例如，我正在考虑违反隐私规则以增加利润。）
根据您拥有多少IT员工以及他们的工作，雇用另一名员工可以极大地增加您部门的总线系数。您明智地没有在公开论坛上解释您的工作，但是让另一个管理员可以使您对更多程序引入两人制规则，或者处理计划内或计划外的缺勤等等。因此，说处理此风险的成本为8％加一名雇员，可能是不正确的。对于8％加一名员工的员工来说，我们可以防范这种风险和许多其他风险。

#9 楼

解决的办法是：

如果您只有自己的数据要保护，请执行您想做的任何事情，但是如果您的系统中有其他人的数据可能受到破坏，则可以执行以下操作之一：


以行业标准或建议的方式保护数据。
相信攻击者会保护客户/客户/产品，以保护他们委托给您的数据。不会攻击您的系统。

这样，您得出一个简单的结论：
以一种保护系统的方式，可以告诉客户/客户/产品保护您的系统的方式。数据，而又不会让它们停止成为您的客户/客户/产品。

任何比这还少的事，您就会对利益相关者起欺骗作用（这可能令人惊讶，但是，您的客户/客户/您要存储数据的产品是企业的利益相关者，甚至是普通人，尤其是在数据可用性方面o局外人，那些利益相关者可能不希望发生这种情况，您有责任确保对数据进行充分的保护，以免告诉他们您在提交数据时使用了一半的措施来保护他们的数据。

除其他事项外：不要被简单的公式所蒙蔽，这些公式可以计算出成为攻击目标的几率；并非从所有可尝试进行攻击的公司中随机选择攻击的目标（天真的统计分析将使用此列表来创建被攻击的统计机会），但最终成为一个（可能也为ALL）易受攻击的公司列表中。

这可能会产生一种幻觉，使您不必费心保护自己，因为成为目标的机会非常低，但实际上，您只是将自己置于易受攻击目标的风险组中，因此您可能无法知道实际机会由于公司没有确切宣传其防御水平（出于明显的原因），因此成为目标。如果很难理解此概念，请考虑以下情形：在100家公司中，每年成功攻击1家公司。您不知道的是，其中90家公司都在使用强大的防护措施来抵御攻击，而攻击者在试图攻击它们之后只是将其搁置。几乎所有成功的攻击都针对使用一半对策的其余10家公司。作为这个场景的新手，您将查看统计信息并确定您不需要保护系统，因为您的公司成为攻击目标的机会只有1/100，而实际上，如果您的更改为0，您使用的是强有力的保护措施；如果您使用的是一半措施，则使用十分之一的保护措施。您对风险的内部计算将完全是垃圾。

TLDR;您无法对是否应保护系统进行统计分析，因为您没有足够的信息来这样做。您应该这样做，以便可以告诉您的利益相关者（这意味着确保他们了解这些信息，而不是向他们隐藏信息）您正在采取什么措施保护他们的数据，并且他们不会切换到其他服务提供商。 br />

#10 楼

作为在安全性工作上花费大量时间的工程师，您可能希望研究FMEA。 FMEA应用您描述的“乘法”方法，但是在进行乘法之前，它将效果/概率/检测率范围进行分组。这些范围是明确定义的，因此，假设您已对这些概率有所了解，则可以从系统中获得可靠的RPN分数。

当然，您仍然需要证明花这笔钱是合理的！但是至少您已经正式确定了自己的风险。

#11 楼

我会给你一个完全不同的答案。

我认为您正在评估这完全错误。我不知道您是如何想出一种风险/漏洞的，需要相当具体（非常大的）货币成本和FTE来管理，但这听起来像是通过一种特定的工具出售了您，以“解决”问题。 br />
如果8％的成本来自于了解工具许可的成本，或者需要FTE来管理工具（例如“我们的EDR人员”）...我的意思是，没有工具可用

如果高昂的成本使您退缩，而不是花时间试图证明风险是合理的，那么为什么不着眼于根本原因以及如何您可以用更少的支出解决它。 EDR，DLP ...在安全性（或漏洞）领域中，没有一种解决方案只需花费一分钱。

#12 楼

行业通过“定量分析”来处理大多数“风险控制投资”决策，以下是进行此分析的标准方法。下表说明了此决策过程中使用的矩阵。



以下仅是显示如何应用这些公式的示例：

假设您的公司在线销售手机，并且遭受了许多拒绝服务（DoS）攻击。您的公司平均每周可赚取30,000美元的利润，而典型的DoS攻击会使销售下降50％。您平均每年遭受七次DoS攻击。可提供DoS缓解服务，订阅费用为每月15,000美元。您已经测试了此服务，并相信它将减轻攻击。问题是值得进行这项服务并减轻风险还是接受风险而什么都不做？

让我们做以下分析：

AV = $ 40,000

EF = 50％

SLE = AV * EF = 20,000美元

ARO = 7

ALE = SLE * ARO = $ 140,000

TCO（1年）= DDoS订阅* 12个月= $ 180,000

ROI（1年）= ALE – TCO =-$ 40,000（负）

由于ROI为负（-每年$ 40,000），因此您可以根据事实建议不投资风险降低（此案例为Anti DDoS订阅）并接受风险。

注意：在实际情况下，您可能还需要结合其他价值的影响（例如品牌声誉损害等）进行评估。

请参阅：https：// resources。 infosecinstitute.com/quantitative-risk-analysis/#gref

因此，根据您的情况，如果您可以识别AV，EF，ARO等，则可以支持您的决定（至少）与事实。

即使可能性很小（假设最低风险ARO为0.001），其影响也可能非常大（1000万美元），而ALE将相当高。如果缓解控制成本低于此成本，则可以根据实际情况进行缓解控制部署。

#13 楼

•如果发生有关攻击，您是否只能（仅）制定恢复计划和流程（可以这么说，是备份）？

在您的措辞上说过……看起来您可能会遭受这种攻击，甚至不知道它，除非您花钱只是为了能够检测到它。 …所以上述内容可能是无效的概念。

•从主观上讲，它似乎具有困难决策的标准（令人难以置信的烦人）特征，因为它涉及未知数。如果您知道X（在这种情况下，将不会发生攻击），则您肯定会做Y（在这种情况下，是否会在柜台上花费很多钱）。有时，确认您确实没有必要的信息来告知您的跳跃方式会很有帮助；然后，您投掷硬币并跳跃……而不是花费大量精力来扭动双手。 （在极端情况下，人类的行为往往是基于他们所希望的偶然性，尽管可能不太可能。）

对于您的员工而言，仅仅拥有我要对威尔·巴恩威尔（Will Barnwell）的回答（以及被引用的纳西姆·塔勒布（Nassim Taleb））致以敬意。绝对不侮辱“广泛的哲学论证//”……这不一定是正确的。对我来说，问题在于，很容易想象在几年之内可能会出现两到三起此类野兽，这意味着反措施的成本从重大变为残酷。独立地……如果可以合理预期风险会增加，那么这将改变决策的（给定）参数。

一方面，我们要付出攻击的代价。正如菲利普（Philipp）所观察到的那样，公司的价值有一个最大值。花1000万美元重建一家仅值100万美元的公司是错误的。不幸的是，这忽略了公司客户的总成本。对于一家价值一百万美元的企业而言，将潜在问题的价值超过其自身价值是不明智的，但事实仍然是，问题的重要性很容易就可以达到（比如说）五千万美元。

另一方面，风险很大。再说一次，会计师（可以这么说）可能会简单地找出有多少公司容易受到攻击类型的影响，以及最近几年每年遭受打击的公司有多少，直接得出了在给定年份遭受打击的任何一家公司。如果可能的话，稍微复杂一点的版本将包括估算有多少人被击中并设法将其保密。一个更复杂的版本可以算出这些公司中有多少值得攻击……这可能包括或不包括他们是否个别采取了反措施的问题……只是那是个秘密……而且在某些情况下攻击者已知的可能性程度。

然后，一方面，可能会提供一种聪明而廉价的防御，而另一方面，攻击者可能会在五年内或多或少地受到激励或人数众多，或可能在可能目标的子集中找到漏洞，依此类推。此外，可能会发现某些公司正以这种或类似方式受到攻击，却一无所知（有些公司可能会在事件发生后找到答案）。

此外，存在累积风险。如果风险是相当高的，并且问题在于用于预防和减轻风险的费用是多少，那么将风险作为年度数字来计算是非常好的。相反，如果这种影响易于消灭整个公司，那么按年计算的数字就没有太大意义了。

OP说这种攻击很少见，但确实发生了。 OP在此站点上提出问题的全部原因是，风险确实很小是不正确的，并且风险足够高以至于可以认为是不正确的。

让我们想象公司决定什么都不做。让我们进一步假设，这在客观上是合理的（对于理想的观察者而言）。如果在几年内受到打击，不仅对公司，而且对许多客户（我都认为），成本将是灾难性的。存在这种风险，这种风险不会消失，甚至可能很小。相反，让我们想象一下，该公司决定花费大量资金来预防和减轻这种攻击，这再次是合理的。如果没有受到打击，（预防）成本将是非常高的。有被攻击的风险，但是它很小，钱看起来很像是一笔巨大的损失。

最后，攻击者可能会看到准捕获22，如果有对策，它会转向其他地方，反之亦然。

我还可能注意到，如果丢失了业务（数据）的生命线，则获得（例如）等于业务（会计）价值的保险赔付并不能解决问题。或受到其他损害。

#14 楼

在存在大量不确定性的情况下，模拟是一种可以帮助建立更直观的战略问题的技术。

在问题的上下文中，一种简单的入门方法是：


根据组织的决策敏捷性，选择一组不同的时间范围。也就是说，如果组织可以在3/6/12个月的范围内对此问题做出决定，则计划针对每个时间范围运行模型。

与同龄人合作收集数据，使他们可以针对特定时间范围内的发生概率，缓解成本，影响成本产生数据。

另一个答案描述了执行此操作的合理过程：获取同伴列表，与他们交谈/研究新闻以确定他们是否/何时遇到类似的攻击，并了解他们所花的时间减轻/避免，或他们在响应和影响成本上花费了多少。

这些数据将存在固有的问题，但是可以。仿真有助于解决这些问题。


对于每个时间范围，制作一个电子表格，该电子表格应具有：


影响成本的范围，从最小到最大，并具有90％的置信度（ IOW-专家有90％的信心认为影响的成本将在最小和最大之间。
在时间范围内发生特定事件的可能性

使用从同级收集的数据来产生一定范围的概率和影响成本范围，并选择一个特定的概率和特定的范围。


在电子表格中输入最少的数据后，使用随机数生成可以产生2个以上的数据单元格：


该问题确实发生了吗？
如果发生了，它有什么财务影响？


一次随机化是试用。重新连接电子表格，以便您可以运行10,000或100,000个试验，并收集和绘制这些试验的所有结果。
以不同的概率和影响范围重复，以反映对等方收集的数据的不同解释，并在不同的时间范围重复。

在某个时候，人们只需要打个电话，但是故意进行可视化模拟可以以假设的方式阐明假设和含义，而这种讨论和方式在讨论模式下不停地在会议室中走动。

一本好书涵盖了compsec中用于风险评估的这种以及更为复杂的模拟技术：

如何衡量网络安全风险中的任何内容

https://www.amazon .com / How-Measure-Anything-Cyber​​security-Risk-ebook / dp / B01J4XYM16 /
https://www.howtomeasureanything.com/cybersecurity/

#15 楼

如果我们稍微改一下这个问题以指出如果发生这种情况（看起来好像是这样），那么您将失业，而减轻这个问题意味着稍微增加公司的IT支出，那么我认为答案就变成了容易些。

ie如果我不这样做，并且发生了，那我将失业（可能声誉破烂）。如果您为此做某事，您的公司将不得不多付一些钱。

对我来说似乎很容易。