網路安全風險量化（CRQ）是當下網路安全行業最熱門的話題之一，因為當今的網路安全環境需要敏捷和資料驅動的網路風險管理方法。

雖然名字聽上去很高大上，但CRQ本質上只是標記環境網路風險級別的一種標籤。無論你選擇哪種CRQ計算模型，都必須根據自己的需求和環境對其進行定製。

CRQ不但可用於確定修復已發現漏洞的優先順序，還可以確定是否需要實施額外的安全控制（增加網路安全預算）。因此，CRQ或CRQM（網路安全風險量化管理）可以幫助CISO與董事會成員、執行長和首席財務官進行更有成效的溝通。

優先修復發現的漏洞

大多數CRQ公式使用CVE CVSS分數作為判定漏洞修復優先順序的基礎。提交CVE的人員通常會考慮多個因素，例如攻擊向量、複雜性以及對CIA三元模型的影響，還會根據時間指標對CVE進行更新。但是，這些（修改後的）基本指標在安全業界從未真正流行，因為CVE提交人員並不知道你採取了哪些防禦措施。

作為企業安全防禦者，你面臨的第一個挑戰是開發一個漏洞管理程式。這聽起來很簡單，但魔鬼在細節中。尤其是當你的環境中有OT工控網路裝置時。OT裝置無法處理簡單的漏洞掃描，很容易跳閘並進入錯誤模式，這可能會導致生產中斷。物聯網（IoT）裝置也面臨同樣的問題。

為了克服這些挑戰，需要在網路設計時將這些更易受攻擊的裝置放在單獨的VLAN中，並使用更專業的漏洞掃描/檢測軟體來檢測這些VLAN中的漏洞。

一旦你解決了漏洞掃描的技術挑戰，接下來需要設定一個流程確保能及時處理每個檢測到的漏洞。

大多數漏洞管理計劃面臨的問題或者說挑戰在於：在確定修復工作的優先順序時，沒有考慮資產價值。而這，正是CRQ可以發揮價值的地方。

CRQ公式的關鍵要素之一應該是資產權重/嚴重性/價值。但問題是，應該基於資產、應用程式還是資料？如果在同一個資產上執行不同的應用程式會怎樣？

在大多數環境中，應用程式需要一臺或多臺伺服器，並且該應用程式可能依賴於其他應用程式。這些依賴項也必須在某處正確記錄（最好在CMDB中）。在開發CRQ公式時必須考慮到這一點。

你很可能已經實施了多種安全控制措施來預防威脅降低風險，例如防火牆、IPS解決方案、反惡意軟體等。這些安全產品本身也需要新增到CRQ公式中的一個元件，但相比其他資產，這是一個更棘手的問題。

防火牆和IPS解決方案通常是基於網路的解決方案。在大多數環境中，應用基於主機的防火牆和基於主機的IPS解決方案仍然不是標準做法。

即便你擁有最先進的IPS解決方案，也只有在網路流量透過IPS解決方案時才能發揮作用。這些解決方案通常部署在流量從一個網段路由到另一個網段的地方。換句話說，在同一網段內，這些解決方案效率較低。因此，你可能還需要為這些方案（資產）本身部署這些解決方案，但這並不總是可行的。

企業IT和網路安全政策通常會要求以多快的速度修復已發現的漏洞。這部分內容通常會強調“先外後高”，對外暴露的優先，然後是CVSS分數高的優先，但這是正確的方法嗎？

防禦者應該多想想對手最有可能首先攻擊的地方，根據“攻擊優先順序”來制訂漏洞修復優先順序。然後，再在網路內部確定優先順序，這也是CRQ公式發揮作用的地方：根據CRQ公式的結果，優先處理具有最高CRQ值的資產。

一個可行的CRQ公式

要計算CRQ基值，首先需要收集所有發現的漏洞。確保對於每個發現的漏洞你都有基礎指標和時間指標，這會讓計算基礎CRQ值變得相對簡單。

如果時間指標已知，則CRQ基礎值是時間指標的值，否則CRQ基礎值是基礎度量的值。

以下部分是為了確保您將實施的安全控制考慮在內：

如果發現的漏洞受到網路安全控制的保護，則可以透過將CRQ基值乘以值X來計算基於網路的CRQ值。如果發現的漏洞受到基於主機的安全控制保護，則可以透過將CRQ基值乘以值X來計算基於主機的CRQ值。

已知漏洞總是需要修復，因此你不能將CRQ基值乘以0。較為複雜的是確定值X，因為你擁有的安全控制越多，確定值X的難度就越大。

示例：

你在你的一個公共網站上發現了Log4J漏洞。根據NVD資料庫，CVE Base指標為9。0。沒有可用的時間指標。因此，CRQ基值為9。0。該站點應用程式僅受網路防火牆和網路IPS解決方案的保護。

除非您阻止整個網站，否則防火牆本身不會提供任何保護。但是，如果您正確應用了零信任架構，那麼防火牆確實能提供一定程度的保護。在本示例中，使用者未正確應用零信任架構。

只有配置正確的IPS解決方案才可以發揮保護作用。因此，不能想當然以為只要部署了IPS解決方案，它會自動保護你。你需要定期檢視IPS解決方案以瞭解它提供的保護級別。在Log4J漏洞利用公佈後，IPS解決方案並沒有立刻提供任何針對Log4J漏洞的保護。不過，大多數主流IPS解決方案供應商都在漏洞利用釋出24小時內釋出了產品更新。

在漏洞發現的第0天，你可以將CRQ基值乘以1來計算基於網路的CRQ值（沒有任何可用補丁的情況）。在安全供應商更新他們的產品並實施更新時，可以將CRQ基值乘以值X重新計算基於網路的CRQ值，其中X小於1，因為配置並啟用了所需的保護。

但是，由於資產依賴基於網路的保護，因此只有在網路流量透過網路安全控制時才會受到保護。在同一網路區域內，這些安全控制不提供任何形式的保護。也就是說，區域內CRQ主機值等於網路CRQ值。區域間CRQ主機值可以透過將CRQ基值乘以1來計算，因為沒有實施基於主機的安全控制。

要計算最終的CRQ基值，你需要將CRQ基值乘以CRQ網路值乘以CRQ主機值。如果需要考慮資產重要性，你還可以將最終的CRQ基值乘以資產權重值。

用CRQ確定是否需要額外安全控制（預算）

應用程式以及企業IT/OT網路環境中的每個資產，都服務於一個或多個業務功能。如果應用程式不可用，這些業務功能就會中斷，並可能導致生產損失和/或停機。當生產損失和停機時間以財務量化時，首先應該根據“數額優先”原則進行詳細的風險分析，來確定是否可使用CRQ減少生產損失/停機時間。

此類CRQ公式相對簡單：

生產損失/停機時間造成的損失乘以Y值。如果沒有適當的保護控制（補丁），則Y值為1，否則Y值可以更低。

這種方法需要業務和安全部門之間經常溝通，以確定業務的痛點。至關重要的一點是，企業各部門應該對“痛點”保持開放的態度和透明度。同樣需要牢記的一點是，網路安全部門可以以非技術方式進行這種溝通。

透過與業務部門的有效溝通，網路安全部門可以評估當前架構和實施的安全控制是否足以降低Y值，或者是否需要增加額外的安全控制（預算）。