資料活動本身的存取管控，
我們介紹了保護、政策、稽核、報表與儲存環境跟資料安全的關聯，
而在資安策略裡的「識別、保護、偵測、回應」的框架思維裡，
資料保護、政策管控大多屬於保護、偵測與回應的環節，
而「識別 (Identify)」則是能持續衡量資料風險的區塊。。

今天鐵人文章要來關注的是「資料風險的持續衡量」，
除了常規的保護措施外，如何能夠衡量資料活動情形進而提供資料風險洞察？

動態安全風險 (Dynamic Risk)

資訊安全很重要的一環，即為提供組織整體性的風險指標與衡量，
例如「安全態勢 Security Posture」就是提供持續性的安全風險評估，
無論透過網路安全設備、雲端安全存取閘道，都可以提供特定維度的安全風險分析，
而在資料安全領域，也具備相應的衡量機制，可以協助組織來判斷當前風險水平。

資料威脅指標 (Indicators)

在正常資料活動裡，有需多活動可以作為資料威脅的分析指標，
例如直接性的安全政策行為，通常與中、高嚴重程度發生關聯，
而資料環境未修補的漏洞情形，也通常是高風險的資料威脅。
其他的還有包含針對敏感資料的存取、DDL/DML 的查詢，
離峰時段的作業行為、資料查詢的活動情形等等，
都是可以作為衡量資料活動的指標來源。

應用機器學習模型 (ML Model)

持續蒐集各式指標提供的觀測資料後，
如果要了解當前活動水平與過去歷史活動是否有異常，
就必須將蒐集到的資料透過機器學習模型進行訓練與建模，
透過一定程度定性或定量的訓練，持續產出基於過去/現在資料的威脅水平

應用生成式模型 (Generative AI)

當動態風險持續執行時，產生出來的結果，
也能考慮透過生成式 AI 的機制，強化輸出的結果，
例如針對告警情形輔以資安對策建議，
或是提供輸入的詢問介面，讓系統管理員可以了解接續的應處措施。

風險結果的利用與分析

當組織或工具持續能夠產生風險評估結果時，
此時如果相關風險超過一定水平，也需要發送相關告警，
甚至針對相關告警設定相關安全政策進行防止，
同時事件後續的修補計畫或措施也應當共同配套執行，
才能夠將「識別、保護、偵測與回應」的策略循環往復的循環執行。

對風險「分數」的偏惡心情

目前在國內市場生態，對於將資安風險予以量化的過程還逐漸發展中，
但另一個現實層面的挑戰，即是我們對風險數字本身的解讀。

首先風險分數的高、中、低該如何定義？70分的風險水準能否接受？
再怎麼安全的環境始終都會有正常的存取操作行為，
分數本身提供的是一種相對的概念，例如過去平均 50 上下，現在突然變成 70，
可能就會提供一種對比與有價值資訊的提供。
而如果只單純就分數本身的絕對值去看待、單純追求分數降低，
甚至看到有風險分數計分（無論是否正常或惡意活動貢獻的分數），
那此時可能就會失去對「風險量化」的精神與含義。

小結

今天談資料安全風險量化到這邊告一段落，
技術篇還有關於資料安全與其他資安監控機制的整合，
以及工具本身以外的人員與流程關聯兩個篇幅，
讓我們明天繼續鐵人文章系列分享，謝謝各位看倌。