快速风险审计：​做不确定性数学

做“不确定性数学”

使用范围和概率来表示不确定性而不是不切实际的精确点值显然具有优势。当您允许自己使用范围和概率时，您实际上不必假设任何您不知道的事实。但精确值的优点是在电子表格中可以简单地进行加、减、乘、除操作。如果您确切地知道每种类型的损失，那么计算总损失就会很容易。

在之前的快速审核方法中，我们要求间隔，但我们仍然将它们归结为一个点。我们可以有两个均值相同的范围，但其中一个范围比另一个范围宽得多。当我们将90% CI转换为单个数字时，我们失去了一些不确定性。如果一年内发生多个单独的事件，我们如何将范围相加，以便得到总数的聚合范围？我们希望能够回答诸如“考虑到所有威胁，一年内总损失超过2000万美元的可能性有多大？”之类的问题。我们无法通过将AEL相加来回答这个问题。我们需要对所有可能性进行数学计算。

那么，当我们没有精确值，只有范围时，如何在电子表格中进行加、减、乘、除呢？幸运的是，有一个实用的、经过验证的解决方案，它可以在任何现代个人计算机上执行——蒙特卡罗模拟方法。蒙特卡罗模拟使用计算机根据输入的概率生成大量场景。对于每种情况，将为每个未知变量随机生成一个特定值。然后，这些特定值将进入公式来计算该单一场景的输出。这个过程通常会持续数千个场景。

20世纪40年代，一些数学家和科学家开始使用数千次随机试验的模拟来帮助解决某些非常困难的数学问题。斯坦尼斯瓦夫·乌拉姆(Stanislaw Ulam)、约翰·冯·诺伊曼(John von Neumann)和尼古拉斯·梅特罗波利斯(Nicholas Metropolis)开发了一种在当时可用的基本计算机上使用这种方法的方法，以帮助解决与曼哈顿计划中第一颗原子弹的开发相关的数学问题。他们发现，当模型具有许多高度不确定的输入时，随机运行大量试验是计算各种结果概率的一种方法。在大都会的建议下，乌拉姆以著名赌博胜地蒙特卡洛的名字命名这种基于计算机的随机场景生成方法，以纪念乌拉姆的赌徒叔叔。1现在，凭借更强大的计算能力（无论以何种标准衡量，其计算能力都比曼哈顿计划高出数十亿倍），蒙特卡洛模拟已被用于模拟发电厂、供应链、保险、项目风险的模型、金融风险，当然还有网络安全。

如果您没有蒙特卡洛模拟经验，它们可能比您想象的要容易。作者和他们的许多员工经常将蒙特卡罗模拟应用于各种实际业务问题。我们看到，许多最初对使用蒙特卡罗模拟的想法感到不舒服的人在亲自修改工具后最终成为了狂热的支持者。

让我们从您为初始快速审核收集的相同可能性和90% CI开始。您有一组可能在给定一年内发生的事件。每个事件都有一个指定的概率，如果发生，则有一系列可能的损失。有些事件的概率可能为1%，有些事件的概率可能超过10%。在任何一年中，有可能没有发生重大损失事件，也有可能发生多个事件。甚至同一事件可能在同一年发生多次。有一个解决方案，但现在我们将保持简单，将事件建模为每年不超过一次的非此即彼的结果。

就像前面的示例一样，我们在网站www.howtomeasureanything.com/cybersecurity上已经将要描述的所有工具设置为Excel模板。

如前所述，我们在Excel中提供此功能以使其更易于访问。但我们也被要求提供Python和R的解决方案。还有专门用于网络安全中蒙特卡罗模拟的现有工具。这些工具可能会让您在本章的其余部分中了解蒙特卡罗模拟的基础知识。但对于那些想要了解一些基础知识（无论使用什么工具）或想要了解Excel电子表格如何工作的人，请继续阅读本章的其余部分。

有了这些信息以及即将到来的章节中的一些更详细的内容，您应该能够对不确定性进行建模并回答诸如“明年由于网络攻击我们损失超过X的可能性有多大？”之类的问题。