0x00 写在前面

这次武汉的疫情真的是突如其来，本想着2月份好好干一番，结果一而再再而三的延期复工通知搞得整整在家里窝了将近两个月。小区物业还是基于白名单去管理的，黑名单仅登记，白名单一天三问。

扯了这么多发现最近在储（xue）备（xi）信息安全一些知识的时候，发现了对于信息安全风险评估这一部分的文章甚少，一些诸如CISSP、CISP之类的考试大纲说的也略显模糊。感觉寄希望于他们也不太现实，通过翻阅大量的Google Scholar搜索结果和AMG三家的专利来看，似乎这个问题也不是完全没有解。

0x01 风险评估的目的与意义

在整个行业内有几个相对来说算是”公理“的道理，诸如洞是修不完的，攻击方突破防守方的布防相对来说简单。但是如果要是一个公司刚起步的话，没有对公司的安全风险进行梳理的话，这样会很难受，因为到处都是洞，根本不知道从何补起。这个时候，一个从头到尾的风险梳理方案是必须的。

然而梳理方案的话，在选择安全咨询服务的情况下，很多安全服务商提供的服务绝大多数都是基于ITIL、CCM这些东西给出的一个Instruction形式的文档，然后通过问询的方式来判断你的企业中可能会有什么风险。如果要是自己操练的话，很可能就会顺着最佳实践->产品覆盖->产品运营->DevSecOps这么一条路子走下去了。这样的话对于绝大多数通用的威胁来看，是存在一定的意义，因为安全行业发展了这么多年，本质上就是攻击面的不断增加然后衍生出新的攻击方式，防守方根据特征先做好感知工作或者是极为”暴力“的止损工作（比如说早起杀软不分青红皂白看到带问题的文件直接就删掉了）。那么在评估企业面临的风险的时候，有没有考虑过以下的问题：

（1）做评估之前有没有考虑过在现有的业务模式或者是未来发展的业务模式下，潜在的攻击面有哪些？

（2）在现有的业务模式下，已知攻击面有哪些是高频场景，哪些是低频场景，按照严重程度划分的话，高频场景对业务的影响程度是否是严重的，低频场景是否是轻微的？

（3）这些攻击面造成的主要影响是什么，次生影响又是什么？

（4）攻击面造成的影响是不是不可接受的？ROI是否划得来？

0x02 风险评估的量化

我们经常会遇到这样的问题，即当可用的数据很少时，如何开发一种合法的信息安全风险模型。 这些问题源于人们最熟悉的风险模型（例如保险）是使用归纳法得出的。

定量风险评估可以在有关网络安全策略的有效决策中发挥关键作用。信息风险因素分析（FAIR）是最流行的定量网络安全风险评估模型之一。它提供了一个分类框架，将网络安全风险分类为一组可量化的风险因素，并将其与定量算法相结合，以一种蒙特卡洛（MC）模拟与统计近似技术相结合的形式来估算网络安全风险。

在归纳建模方法中，我们可以获取数据（通常是很多种类的数据），并从数据中推断出世界看起来是如何运转的。 当拥有大量良好的数据时，这事儿似乎容易了很多，但是在首次开发FAIR时，这不是一个选择。

模型开发的另一种方法本质上是演绎法（Sherlock Holmes）。 换句话说，我们根据经验，逻辑和批判性思维来推断模型元素及其之间的关系。 这是用于开发FAIR本体的方法，迄今为止，该本体一直很好地进行了审查。

0x03 FAIR模型介绍

FAIR（Factor Analysis of Information Risk 信息风险因素分析）模型的诞生是由于越来越多的企业依赖于IT系统以及网络环境越来越复杂，网络安全已成为大多数组织的关键问题。 组织面临各种各样的网络攻击风险，这些风险可能导致数据泄露和更严重的后果，其中包括在线服务的强制中断，企业声誉受损以及最终的财务损失。 为了减轻甚至预防这些风险，需要网络安全风险评估（CRA），因为它可以支持风险管理人员确定风险的优先级，分配有限的资源以缓解风险并做出进一步的防御决策。

FAIR是众所周知的CRA框架，已在学术研究和行业中得到广泛应用和认可。 为了构建风险分析，它使用分类法将风险（财务损失）分类为风险因素，并表示这些风险因素之间的关系。

与其他著名的CRA框架相比，FAIR涵盖了CRA的更多方面。它考虑了攻击者和防御者之间的能力竞赛，信息资产的脆弱性，成功攻击的频率以及随之而来的财务损失，这为构建CRA提供了良好的基础。 FAIR模型是FAIR分类法和统计技术的组合，用于进行定量风险评估。

FAIR模型的分类结构如下图所示，其中对风险类别进行了建模。风险（财务损失）由事件发生频率（LEF）和损失幅度（LM）定义。 LEF的定义是威胁代理在给定时间范围内对信息资产造成伤害的频率，它本身是威胁事件频率（TEF）和漏洞（V）的函数，其中前者表示“威胁代理的频率将对资产采取行动”，而后者则被定义为“资产无法抵抗威胁代理人行动的可能性”。 TEF是威胁代理与资产接触的频率，是威胁代理一旦接触就会对资产采取行动的概率（分别称为接触频率（CF）和行动概率（PoA））。 V是威胁因素能够对资产施加的力量水平（威胁能力（TC））与控制强度（抵抗强度（RS））之间的差。 LM分为主要损失（PL）或次要损失（SL）（假定为详尽无遗且互斥）。在FAIR模型中，PL表示资产和威胁的直接损失，而SL表示次要的间接损失，例如负面的组织影响和后果后的外部环境。此外，次要损失可分为次要损失事件频率（SLEF）和次要损失幅度（SLM）。

FAIR本体始于风险等同于“损失暴露”的概念。 以此为起点，得出以下风险定义：未来损失的可能频率和可能幅度。此定义的措辞很重要，原因如下：

• 任何风险分析都必须包括频率和幅度成分，才能有意义。 如果我们也不了解某个潜在事件的发生频率，那将毫无用处。 同样，在不了解事件发生的程度的情况下，知道事件的发生频率也是相对没有意义的。
• 因为风险分析是基于不完善的数据和模型，所以任何频率或幅度的陈述都应被视为基于概率的（即不确定的）。
• 从实际的角度来看，我们进行风险分析，以便告知决策者未来的潜在损失。

以此为起点，前两个因素变得显而易见：损失事件频率（LEF）和损失幅度（LM）。下一部分将从LEF开始分解风险方程式的这两个方面。

对于LEF的定义：在给定的时间范围内，损失的可能频率将来自威胁代理的行动。

LEF的定义非常简单，但可以更简单地认为是衡量损失发生频率的方法。 LEF定义中唯一值得特别提及的方面是在给定时间范围内的声明。 这很重要，因为如本书前面所述，为了使频率，可能性或概率有意义，必须有一个时间范围参考。 在FAIR中，最常用的时间范围参考是年度。 经验表明，始终使用此年度化时间框架参考（相对于每月，每周等）对于避免在解释分析结果时产生混淆是很重要的。

损失事件的示例包括：

• 极端天气导致数据中心中断
• 数据库损坏
• 员工在湿地板上受伤
• 黑客窃取敏感的客户信息

将“损失事件”的概念牢牢牢记在因为非常重要，因为它是进行分析的基石。如果评估的事件没有明确定义，将无法得出合理的频率或幅度值。我们将在“分析”部分中进一步讨论此问题，但请考虑一下此警告的重要性（故意警告）。

LEF可以直接估计，也可以从威胁事件频率（TEF）和漏洞（Vuln）中得出。在这两种情况下，通常使用年化值将其表示为分布，例如：每年5到25次，最有可能是每年10次。

在某些情况下，LEF更恰当地表示为概率而非频率。例如，我们不会谈论太阳成为白矮星的频率，因为那只会发生一次。在这种情况下，我们将LEF表示为给定时间范围内的概率（例如，本周太阳成为白矮星的概率是，虽然我们不知道这是什么，但这确实是数量少，我们希望）。驱动LEF的两个因素是TEF和Vuln。

TEF在这里的定义是：在给定的时间范围内，威胁代理可能采取的行动频率可能会导致损失

那些刚刚了解FAIR框架的人有时会将TEF与LEF混淆，这实际上是认证考试中最常见的问题之一。 我们认为定义和首字母缩写几乎相同这一事实无济于事。 就是说，一旦有了使用FAIR的一点经验，这将成为第二天性。

TEF定义中将其与LEF区别开来的操作用语是“可能导致损失”。 换句话说，LEF和TEF之间的主要区别在于威胁事件可能造成也可能不会造成损失。 例如：

• 赌博时掷骰子是一个威胁事件。 掷骰子“蛇眼”是损失事件。
• 黑客攻击网站是威胁事件。 如果他们设法破坏站点或窃取信息，那将是一次丢失事件。
• 将新的软件版本投入生产是一个威胁事件。 版本问题会导致停机，数据完整性问题等，这将是一个丢失事件。
• 如果有人拿刀同你是一个威胁事件，那么你被刀割伤将是损失事件。

在上述每个项目符号的第一句话中，不能保证损失；直到第二句话，损失才是清楚的。在每个威胁事件中发生损失的概率是漏洞的函数，我们将在稍后详细讨论。

TEF可以直接估算，也可以从接触频率（CF）和动作概率（PoA）估算得出。与LEF相似，TEF几乎总是用年化值表示为分布，例如：每年0.1到0.5次，最有可能是每年0.3次。此示例表明，年化频率可以小于一个（即，预期该频率每年小于一次）。因此可以重述上面的示例：在每10年一次和隔年一次之间，但很可能每3年一次。同样，在威胁事件只能在感兴趣的时间范围内发生一次的情况下，TEF也可以表示为概率而不是频率。驱动TEF的因素是CF和PoA。

CF（Contract Frequency）在这里的定义是：在给定的时间范围内，威胁代理可能与资产接触的频率

此处所指的联系可以是物理的或逻辑的（例如，通过网络）。 无论采用哪种接触方式，都可以发生三种类型的接触：

• 随机-威胁代理随机遇到资产（例如龙卷风罢工）
• 常规-由于常规威胁代理活动而发生联系。 例如，清洁人员在每个工作日的下午5:15定期到办公室（及其内部）来。
• 故意的-威胁代理物寻找资产（例如，一个盗贼瞄准了一个被认为包含感兴趣的贵重物品的特定房屋）

接触事件的示例包括

• 贼在你家附近巡游
• 对网站发起扫描行为
• 一只熊闻到或看到你的住所
• 数据库管理员在对数据库进行故障排除时看到敏感信息

CF似乎是一个相对简单的概念，并且在大多数情况下是这样。 就是说，有些时候人们将它与TEF混淆了。 例如，当网络工程师在对网络进行故障排除时遇到敏感数据时，有些人会错误地将其称为威胁事件。 为什么这不是威胁事件？ 因为尽管有进行恶意行为的机会，但这种行为并未得到保证。 PoA（后面会讨论）确定接触事件是否变为威胁事件。 就像对LEF和TEF所述，在某些情况下CF可以表示为概率，在这种情况下，在感兴趣的时间范围内只能发生一次接触。

当我们想通过降低CF来降低风险时，我们寻求降低威胁者与资产接触的概率/频率的方法。 示例包括：

• 将设施移离地震区
• 实施阻止网络访问服务器或应用程序的防火墙
• 用毒药杀死地下室的蜘蛛

对于PoA的定义是：一旦发生接触，威胁代理将对资产采取行动的可能性

重要的是要认识到PoA仅适用于可以思考，推理或以其他方式做出决定的威胁代理，例如人类和其他一些动物。 据我们所知，龙卷风和其他自然行为不会行使有意识的选择，并决定是对资产还是对资产采取行动。

是否采取行动的选择取决于三个因素：

• 从威胁代理的角度看待行为的价值
• 从威胁代理的角度看待的工作量和/或成本
• 对威胁代理人的感知风险水平（例如，被抓住并遭受不可接受的后果的可能性）

请注意，执行分析通常需要从CF和PoA的估算值中推导TEF。 就是说，在CF和PoA抽象级别上检查假设通常非常有帮助，尤其是在分析师之间存在分歧的情况下。

在考虑控制机会时，了解推动PoA的因素也很有用。 如果我们可以采取措施来影响资产的表观价值（例如，伪装），提高威胁代理所需的表观努力水平（例如，增强目标的坚硬外观）或增加对风险的感知水平， 威胁代理（在这里威胁代理的定义是：能够对信息系统产生威胁的直接或间接的传播源，例如，大型犬，照相机等），则我们可以降低PoA，从而降低TEF。

在这里对于Vuln的定义是：威胁代理的行为会导致损失的可能性

Vuln的FAIR定义（漏洞的简写）可能是所有FAIR术语与常用用法之间最大的差异。通常，诸如弱密码或未锁定窗口之类的漏洞被称为漏洞。这些条件代表着可以利用的弱点。但是，这种观点可能会产生误导。人们常常会推断出锁定的窗口或强密码不容易受到攻击，而事实并非如此。事实是，锁定窗口和未锁定窗口之间的唯一区别是威胁代理所需的努力水平。这是程度的问题，而不是损失事件是否会发生的差异。

从公平的角度来看，Vuln是一个百分比，表示威胁代理的行为将导致损失的可能性。例如，

• 那所房子很容易受到龙卷风（duh）的破坏
• 该锁有10％的脆弱性可能会因撬锁而受损
• 该密码有1％容易遭受暴力破解

正如我们在本书其他地方所讨论的那样，大多数时候我们将Vuln表示为发行版。例如：该锁在5％到20％之间的漏洞很容易被撬锁，最有可能的值为10％。换句话说，鉴于我们对所分析的威胁社区的了解以及锁的特征，在5％到20％的锁选择尝试中（很可能是10％）将成功。

我们以这种方式表达Vuln的原因是，问题的几乎所有方面都会引入不确定性。当然，当我们谈论龙卷风之类的事情或其他可以确保一定程度的损失的情况时，我们可以很自信地说我们是100％脆弱的（即，在100％的情况下，威胁事件造成的损失金额）。

可以直接估计漏洞，也可以从威胁能力（TCap）和难度（Diff）推导得出。有时间我们将详细讨论何时直接估计Vuln以及何时从TCap和Diff导出Vuln。

这边对于TCap的定义是：威胁代理的能力，

TCap（威胁能力的FAIR简写）的定义有点稀疏，这是有原因的。在早期版本的FAIR中，其定义为威胁代理可以施加的武力等级。好吧，如果要评估的唯一方案是恶意的或自然的（例如地震），那很好，但是事实是很有可能评估涉及人为错误的方案。在这些情况下，通常不是暴力问题而是技巧，资源或者两者兼而有之（最终也适用于恶意操作实施者）。因此，为了对所分析的场景类型保持不可知性，已对定义进行了概括。

估算TCap可能是分析中最困难的因素之一。这是因为大多数情况下，分析的内容并不像风速或磅/平方英寸那么简单。在大多数情况下，需要处理的是人类知识和经验等更加模棱两可的因素。为了解决这个问题，我们不得不引入相对规模的概念，即TCap连续体。

TCap连续体只是一个百分比，代表了一系列威胁代理的全面功能。总体上能力最弱的威胁代理被认为0%，而总体上能力最强的威胁代理被认为代表100%。其他所有人都介于两者之间。一个例子会有所帮助。

如果我们正在评估一个恶意场景，其中关注的威胁社区是网络犯罪分子，则可以根据我们认为他们相对于威胁威胁者的总体地位来估计网络犯罪分子的TCap。我们可以说，能力最弱的网络罪犯在连续性上占60％，能力最强的人口在100％，而大多数网络犯罪分子大约在90％。我们进行此估算的理由可能是相信，与一般的以网络为重点的威胁代理相比，网络犯罪分子更加熟练，拥有更好的资源。如果我们正在评估人为错误的情况（威胁社区是可能无意中将软件漏洞引入应用程序的程序员），我们也可以使用TCap的概念。处于TCap连续性最高端的程序员拥有更多的技能和资源来弥补和引入这些缺陷。

正如某些人毫无疑问地发现的那样，较高的TCap在恶意场景中是不好的，而在人为错误的情况下则是好的。如果有时间的话，我们再讨论TCap，Diff和Vuln之间的关系，以便对这些概念的工作原理和应用方式有个深入的人质。如果觉得估算TCap有点不好理解，这个是正确的，因为我也没怎么理解。但是，它可以是评估某些非常具有挑战性的方案的有效方法，尤其是假如能够利用该领域专家的可靠威胁情报。

鉴于TCap（在人类是威胁代理的情况下）归结为技能和资源，让我们研究几个示例，说明我们如何能够通过影响TCap来降低风险。

• 在人为错误的情况下，我们可以通过提供额外的培训，改进的工具或更长的时间来提高TCap（从而减少Vuln）
• 在恶意情况下，我们可以通过减少威胁代理完成破坏抵抗性控制的企图的时间来减少TCap（从而减少Vuln）。 例如，我们可能会部署摄像头和安全监察团队，以在违规行为发生之前进行检测和干预

Difficultly：威胁代理必须克服的困难程度

在新的FAIR的版本中，抵抗强度取代了控制强度，因为我们发现人们在估算控制强度时会包括各种控制，甚至包括备用磁带。这是一个问题，因为并非所有控件都在使Vuln最小化方面发挥作用，因此，在本体的这一分支中考虑非阻力控件会导致结果不准确。后来，我们意识到抵抗强度不是一个理想的术语，因为它不适合人为错误或其他与抵抗力量无关的场景。迄今为止，“难度”一词似乎最适合我们遇到的所有情况。

与TCap相似，对于某些人来说，难度可能是一个非常棘手的概念。像TCap一样，我们通常无法测量拉伸强度，压缩强度或我们通常可能想到的其他任何物理指标的难度。幸运的是，前面讨论过的TCap连续体为我们提供了一个选择。我们可以将“ TCap连续体”用作衡量尺度，以评估影响难度的控制的有效性。例如，如果我们需要估计特定身份验证控制的有效性，则可以估计它会阻止沿TCap连续体第70个百分点以下的任何人。我们可能还会估计，超过90％的人肯定会成功。这将给我们分配的两端。最可能的值（众数；我们分布的峰值）可能估计为第85个百分位，这意味着我们认为该控件最有可能发挥作用。

要记住的事情（很多人在分析中犯错误的地方）是，始终根据TCap Continuum（我们的衡量标准）来衡量难度，而永远不会根据要分析的特定威胁社区来衡量难度。让我们使用来自物理世界的简单示例。假设我们正在分析绳索能够固定一根钢筋的可能性。绳索通过其设计和构造具有一定的承受纵向应力的能力。我们还要说，我们测量或估计的绳索强度为500磅（即，绳索在断裂，屈服或承受几磅之前应该能够承受500磅的重量）。我们不必知道这种特定的钢筋（在这种情况下为威胁因素）的重量来衡量绳索的强度，因为绳索的强度与钢筋无关。

稍后我们将对此进行更全面的介绍，以便可以更轻松地思考这些术语。不过，我们应该指出的是，在大多数分析中不必估算TCap和难度。实际上很少需要在模型中的这种抽象级别上工作。

为了使控制与难度相关，它必须使威胁代理的工作更加困难（在恶意或自然行为的情况下）或更容易（在人为错误的情况下）。如果控制措施降低了接触的可能性（避免控制措施），阻止了威胁因素的行动（威慑控制措施；影响TEF）或限制了损失发生的程度（遏制或最小化控制措施；尚待解决）在“损失幅度”部分讨论），则应在分析的那些部分中说明，而不是在“难度”中说明。在恶意方案中通常与“难度”相关的控制示例包括：

• 认证
• 访问权限
• 修补和配置
• 加密

在人为错误场景中可能与难度相关的控件示例包括：

• 培训
• 文档
• 简化流程

在自然场景中可能与难度相关的控制示例包括：

• 加强的建筑材料和设计

Loss Magnitude 在这里的定义是：事件导致的主要和次要损失的可能大小

从表面上看，LM从概念上讲非常简单，它是指从事件中会造成多少实际损失。 那是个好消息。 但是，现实是，可能存在一些重要的细微之处，可以区分我们在何处以及如何处理不同类型的损失。 在开始执行FAIR分析之后，这些细微之处将很快变得清晰。

再次，熟悉FAIR较旧版本（尤其是2005年白皮书）的人们将在本体的LM方面发现显着差异。 在评估损失的实际实现方式时，较新版本的本体是一种更为有效的模型。

评估LM时，最重要的考虑因素之一是确定损失是否属于所谓的主要损失或次要损失。为了了解损失的这两个方面，了解利益相关者的概念和分析观点至关重要。

主要利益相关者是个人或组织，其观点是风险分析的重点。例如，如果我们正在进行分析以了解组织因不遵守环境政策而遭受的损失，则该组织是主要的利益相关者。我们正在尝试确定的是该公司的亏损风险。

次要利益相关者被定义为不是主要利益相关者的任何人，这些人可能会受到所分析的损失事件的影响，然后可能会做出反应，进而进一步损害主要利益相关者。例如，假设公司XYZ发生了损害公共健康或降低房主财产评估价值的事件。奇怪的是，该事件将导致公司蒙受直接损失（例如，清理等）。这些直接损失称为主要损失，我们将在稍后详细讨论。在这种情况下，公众（次要利益相关者）也受到了不利影响，并可能视情况通过法律诉讼，抗议，将其业务转移到其他地方等对公司做出负面反应。公司蒙受的成本和损失处理次要利益相关者的反应将构成分析中的次要损失。需要记住的另一点是，在一个分析中拥有多个相关的第二利益相关者。在上面的示例中，环境监管机构也可能做出负面反应，并为XYZ公司带来额外的二次损失。

有时会提出一个问题，询问在风险公式中我们将次级利益相关者蒙受的损失放在哪？简单地说：我们没有。无论如何，不?是直接的。请记住，这种分析是从公司的角度进行的，因此，公司的损失是我们纳入公式的唯一损失。结果，我们唯一要考虑的是次要利益相关者遭受的损失是何时以及是否这些损失将流向主要利益相关者。例如，XYZ公司可能必须赔偿受影响的社区成员的财产损失或伤害，这将包括在分析的次要损失部分中。请注意，如果对我们有用，我们始终可以从公众的角度进行单独的风险分析。

上面的图显示的LM因子（主要损失幅度（PLM），次要风险（SR），次要损失事件频率和次要损失幅度（SLM））代表了损失在计算方式上的逻辑分解。 这与以后将要阐述的FAIR的六种损失形式有所不同，这六类损失只是定义类别，以帮助分析人员思考并考虑造成损失的不同方式。 该图说明了模型中这些元素之间的关系。

在这里对于PLM的定义是：事件直接造成的主要利益相关者损失

此定义中的关键术语是“主要利益相关者”和“直接”，这是区分主要损失与次要损失的要素。因此，为了将损失视为主要损失，损失必须与利益相关者的次要反应无关。

主要损失的常见示例包括：

• 运营中断造成的收入损失
• 因停电而无法进行工作时支付给工人的工资
• 更换组织的有形资产（包括现金）
• 事件发生后将精力恢复到资产或操作上所花费的工时

这个时候可能会有人问，收入损失与次要利益相关者的反应没有什么关系。毕竟，收入总是来自客户或业务合作伙伴，他们都是次要利益相关者。如果这个问题浮现在脑海，请给自己一个批判性思维的金星。实际上，这是前面提到的那些微妙之处之一。最重要的是，与客户决定等不再与公司开展业务相比，运营中断会阻止业务交易的发生。在许多情况下，业务交易是自动进行的，次要利益相关者实际上并未决定终止关系。市场份额损失的问题（即，客户流向其他地方）是造成次级损失的原因。当然，这很好。但是，在执行分析时这是非常有用的区分。

可以帮助最小化或包含PLM的一些控件示例包括：

• 灾难恢复和业务连续性流程和技术
• 高效的事件响应流程
• 流程或技术冗余

对于SR（也叫做次生灾害）的定义是：由于主要利益相关者可能对主要事件产生次要反应而存在的主要利益相关者损失暴露。

这是我们最长和最复杂的因素定义。 归根结底可以将其视为主要事件的后果。 在许多情况下，声誉受损，罚款和判决以及其他形式的后果等潜在的LM可能相差很大，并且通常是事件造成的主要损失的几倍。 但是，正如我们将要看到的，在许多情况下，发生这些次要影响的频率也可能很小。 因此，风险情景对于次要影响的发生频率和幅度可能有很大不同，这一事实使得我们必须将次要影响视为独立但相关的风险情景。 驱动SR的因素是次级损耗事件频率和SLM。

SLEF的定义是：具有次要影响的主要事件的百分比

最重要的是，并非所有事件都有次要影响。 此外，在那些确实可能造成继发性损失的场景中，在许多情况下，只有相对较小比例的事件会遭受继发性损失。 次要损失事件频率（SLEF）因子使我们可以将损失的这一特征表示为主要LEF的百分比。 例如，使用前面提到的“公司XYZ”业务情景，如果所分析的环境损失事件的频率（LEF）每年为10次，但自然损失的发生率仅为20％（SLEF） ，则次生损失的派生频率为每年两次。

我们将考虑采取任何措施以尽量减少与次要利益相关者相关的成本或损失的发生频率。 例如，对笔记本电脑进行加密可以是最大程度地减少SLEF的好方法，因为如果客户的个人信息被加密，则通常不必承担通知费用等。

SLM的定义是：与利益相关者的次要反应相关的损失

定义种类说明了一切。 与次要利益相关者相关的成本和损失包括SLM。 二次损失的例子包括但不限于：

• 民事，刑事或合同罚款和判决
• 通知费用
• 信用监控
• 弥补二级利益相关者的金钱损失
• 公共关系费用
• 法律辩护费
• 监管制裁的影响
• 失去的市场份额
• 股价下跌
• 资金成本增加

可能影响SLM的控制示例包括：

• 及时通知二级利益相关者
• 提供信用监控（至少在美国）
• 大力的公共关系工作

尽管每种方法都会产生一定的费用，这些费用会作为次要损失的一部分予以解决，但它们各自也有助于最大程度地减少次要利益相关者的反应，这种反应可能会导致更大的损失。

就进行测量和估计的模型层而言，FAIR的本体可以被视为灵活的。它甚至可以被认为是灵活的，因为如果有理由的话，可以用名称（而不是含义）代替不同的因素。但是，至少在没有非常谨慎和准备捍卫决定的情况下，我们无法做的是添加或减少模型，或更改关系。我们已经看到了一些示例，其中人们采用FAIR本体并添加了一个分支，删除了一个分支，更改了分支之间的关系，甚至添加了加权值。在我们遇到的每种情况下，这些更改都破坏了模型，即结果不再有意义。这就像决定说“速度等于距离除以时间再加上香蕉”。那样行不通。这并不是说FAIR无法改进。我们很确定它会并且将会随着时间的流逝。但是，如果有关于如何改进它的想法，我们建议在一个开放的论坛中对其进行测试和评估，以确保所做的更改有助于该模型更好地表示现实。

FAIR模型的关键特征是结构和分类法是固定的，不能扩展，因此不能支持假设的任何差异（例如，以不同的，可能更详细的方式对威胁和防御进行建模）。下面图表展示了FAIR风险汇总计算，并展示了使用FAIR分类法计算风险所需的统计操作和对象。 FAIR模型做出了许多非常合理的假设，但其中有些是隐含的。总损失是通过将主要损失和次要损失相加得出的，而每个损失都是通过将损失频率和损失幅度相乘而得出的，但要注意的是，仅在事先发生主要损失事件的情况下，次要损失事件才可能发生。这样，因果条件的元素就被引入到风险汇总过程中，而这一过程并不是立即显而易见的。因此，次级损耗频率是初级损耗频率的函数。如果发生二次损失的可能性为零，则不会再有二次损失事件发生。初级损失与次级损失的区别在于存在因果假设；主要损失的发生频率是根据威胁事件的发生频率和脆弱性计算的。下图中风险显示为灰色矩形，频率度量显示为粗体轮廓的矩形，概率度量显示为虚线矩形，财务损失幅度的度量显示为无虚线的白色矩形。 运算符显示为（+）或（x）进行加法和乘法

FAIR模型提出了一系列与变量（风险因素）相关的函数，这些函数从统计学或概率上表示一个因素及其子因素之间的功能关系，各类指标的计算方法如下表。

这个分析方法使用针对每个Input Factors和Output Factors组合声明的函数，通过风险汇总结构从下至上（步骤7至步骤1）进行分析。 通过FAIR模型进行的风险评估包括两个程序：评估损失事件的发生频率（上表中的3、4、5、6、7）和使用评估的频率汇总损失幅度以计算总损失（上表中的1、2）。 通过模拟输入因子的样本并按照相应的功能操作这些样本，可以计算损失事件的频率。

0x04 FAIR模型的局限性

虽然上面说了这么多优点，但是，FAIR算法限制了可以使用的统计分布的类型和模型结构的可扩展性。此外，所应用的近似技术（包括使用缓存的数据和内插方法）将错误引入到FAIR模型中。

为了解决FAIR模型的限制，目前有一些大佬们在着手开发一种更灵活的替代方法，称为FAIR-BN，也就是使用贝叶斯网络（BN）实施FAIR模型。从实验结果来看，在一般情况下，与FAIR-MC相比，FAIR和FAIR-BN都能提供一致的结果。但是，在某些情况下，FAIR-BN可以实现更高的精度，而FAIR模型无法对其进行准确建模。此外，FAIR-BN还可以结合面向过程和博弈论的方法实现更强的灵活性和扩展性。这种组合方法被叫做“扩展FAIR-BN”（EFBN），根据目前的实验结果来看，EFBN有潜力为网络安全风险评估和相关决策提供集成解决方案。