今日頭條
官方微信
官方抖音
資訊頻道網(wǎng)絡(luò)安全風(fēng)險(xiǎn)如今已成企業(yè)風(fēng)險(xiǎn)管理(ERM)過程的重要一環(huán)。信息安全人員應(yīng)如何談?wù)摼W(wǎng)絡(luò)安全風(fēng)險(xiǎn)并評(píng)估其影響?
評(píng)估風(fēng)險(xiǎn)以識(shí)別對(duì)公司財(cái)務(wù)健康及市場(chǎng)機(jī)會(huì)的威脅的過程,即為企業(yè)風(fēng)險(xiǎn)管理(ERM)。ERM項(xiàng)目的目標(biāo)是了解公司的風(fēng)險(xiǎn)承受能力,歸類并量化之。
審視企業(yè)風(fēng)險(xiǎn)的時(shí)候,傳統(tǒng)方法是看金融風(fēng)險(xiǎn)、監(jiān)管風(fēng)險(xiǎn)和運(yùn)營(yíng)風(fēng)險(xiǎn)。比如:匯率下降利率升高會(huì)有什么影響?新藥能不能獲批?庫(kù)存還夠不夠?
想要量化企業(yè)風(fēng)險(xiǎn),你得考慮進(jìn)事件的潛在影響并乘以事件發(fā)生的概率。小影響事件即使發(fā)生概率高也影響不了多少公司的整體風(fēng)險(xiǎn)暴露面,大影響事件即便發(fā)生概率低也有可能是災(zāi)難性的。
網(wǎng)絡(luò)安全威脅狀況帶來(lái)的風(fēng)險(xiǎn)逐漸成為ERM方程式的一部分,而這給CISO和其他高級(jí)安全人員帶來(lái)了挑戰(zhàn)。量化網(wǎng)絡(luò)安全事件的商業(yè)影響非常困難,就差是個(gè)“不可能任務(wù)”了,而量化此類事件的發(fā)生概率甚至更難一籌。
企業(yè)風(fēng)險(xiǎn)管理過程 有些公司正在做這事兒。比如說,Aetna公司的企業(yè)風(fēng)險(xiǎn)管理框架中就將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)納入了運(yùn)營(yíng)風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)是十分具體而定量的。事實(shí)上,ERM系統(tǒng)中會(huì)被饋送進(jìn)日常風(fēng)險(xiǎn)分值。 Aetna首席安全官 Jim Routh 不僅負(fù)責(zé)這個(gè)過程,還是管理公司ERM項(xiàng)目的風(fēng)險(xiǎn)委員會(huì)成員。他表示:安全在有效企業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)管理中所占比重越來(lái)越大,必須與ERM和危機(jī)管理項(xiàng)目緊密配合。 僅僅合規(guī)還不夠,黑客技術(shù)的快速進(jìn)化要求控制措施設(shè)計(jì)與有效性也隨之發(fā)展。監(jiān)管合規(guī)是基礎(chǔ),但還不足以達(dá)到企業(yè)所需的彈性。 聚焦商業(yè)影響是從另一個(gè)角度思考網(wǎng)絡(luò)安全,需要與技術(shù)性響應(yīng)網(wǎng)絡(luò)安全威脅相異的思維模式。網(wǎng)絡(luò)安全曾經(jīng)完全落腳在防止攻擊上,而數(shù)據(jù)泄露要么已經(jīng)發(fā)生,要么根本沒發(fā)生。 現(xiàn)在大多數(shù)公司企業(yè)都認(rèn)識(shí)到網(wǎng)絡(luò)安全不是個(gè)待解決的問題,而是種需要加以管理的風(fēng)險(xiǎn)。大多數(shù)市場(chǎng)都適應(yīng)了這種改變,換了全新的思維方式,認(rèn)為風(fēng)險(xiǎn)生來(lái)就能被接受、被緩解或被轉(zhuǎn)移。 ERM框架 安全語(yǔ)言和風(fēng)險(xiǎn)語(yǔ)言之間總有某種割裂感,讓CSO更難以在企業(yè)風(fēng)險(xiǎn)管理討論中有效履行其職責(zé)。實(shí)際上,在被問到如何量化特定緩解策略減少的風(fēng)險(xiǎn)時(shí),很多網(wǎng)絡(luò)安全專家深感挫敗,轉(zhuǎn)而指向有關(guān)數(shù)據(jù)泄露的媒體報(bào)道、NIST和FAIR之類的網(wǎng)絡(luò)安全框架,或者運(yùn)營(yíng)指標(biāo)以茲證明。 ERM框架中,“風(fēng)險(xiǎn)”一詞有著特定含義。技術(shù)出身的網(wǎng)絡(luò)安全主管大多傾向于關(guān)注非常戰(zhàn)術(shù)性的技術(shù)問題而不是底線影響。比如說,如果某漏洞未被修復(fù),就存在攻擊者利用該漏洞盜取數(shù)據(jù)的風(fēng)險(xiǎn)。 然而,從商業(yè)角度描述同樣的問題就可能是:修補(bǔ)該漏洞將會(huì)減小特定數(shù)據(jù)庫(kù)泄露的概率;如果漏洞持續(xù)暴露,則將會(huì)因商業(yè)損失、罰款和修復(fù)支出而花費(fèi)大筆金錢。運(yùn)用商業(yè)描述,公司就能確定緩解計(jì)劃是否有決定性影響,或者風(fēng)險(xiǎn)的降低程度夠不夠大,又或者該數(shù)據(jù)庫(kù)夠不夠關(guān)鍵,并由此決定要不要把時(shí)間和金錢花在別的事情上。 也有專家認(rèn)為這是不可能做到的,因?yàn)闆]有計(jì)算公式能算出你實(shí)現(xiàn)的每個(gè)控制措施各自幫你減少了多少風(fēng)險(xiǎn)。 雖然精確量化風(fēng)險(xiǎn)減少值不太可能,但公司企業(yè)可以根據(jù)威脅大小給風(fēng)險(xiǎn)排個(gè)優(yōu)先級(jí)順序。不按照特定工具或應(yīng)用來(lái)衡量具體的風(fēng)險(xiǎn)改變情況,而是思考如何將公司從高風(fēng)險(xiǎn)狀態(tài)轉(zhuǎn)移至中度風(fēng)險(xiǎn)狀態(tài),再改善至低風(fēng)險(xiǎn)狀態(tài)。 不過,沒有哪個(gè)網(wǎng)絡(luò)安全框架會(huì)量化這一做法的經(jīng)濟(jì)價(jià)值,公司企業(yè)是不會(huì)談?wù)摻档惋L(fēng)險(xiǎn)的特殊價(jià)值的。 網(wǎng)絡(luò)安全人員往往不講底線風(fēng)險(xiǎn),而是試圖以各種嚇人的“案例”向董事會(huì)證明所花預(yù)算很值。他們就是在販賣驚懼情緒,而每個(gè)人都知道總有許多恐怖的故事可以嚇到自己。 這種販賣恐慌的做法可以歇歇了。網(wǎng)絡(luò)安全技術(shù)人員應(yīng)該思考的是應(yīng)該如何與董事會(huì)和高級(jí)管理層溝通。他們太過關(guān)注那些極客眼中所謂的超酷技術(shù)了。技術(shù)人員與業(yè)務(wù)人員之間缺乏有效溝通。業(yè)務(wù)人員理解不了技術(shù)問題,技術(shù)人員不知道如何證明技術(shù)的商業(yè)價(jià)值。 于是,CSO面對(duì)高管談及預(yù)算問題時(shí)可能就會(huì)尋求新聞?lì)^條作為支撐,比如影響其他公司的重大漏洞之類的,想要以此引入技術(shù)細(xì)節(jié)并造成某些心理上的影響。讓人去想:又有什么新的事件了嗎?會(huì)不會(huì)讓我們公司更容易受到攻擊? 即便他們?cè)噲D拿出幾個(gè)風(fēng)險(xiǎn)相關(guān)的數(shù)據(jù)以茲證明,那也是非常主觀的。每個(gè)數(shù)字的含義都是在打分的時(shí)候編的。這與金融交易不同,金融交易中人們可以計(jì)算出欺詐百分比——?dú)v經(jīng)五六十年檢驗(yàn)的直觀度量標(biāo)準(zhǔn)。 至今似乎還沒有誰(shuí)解決了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)計(jì)算的問題。大多數(shù)ERM框架都是圍繞已知問題構(gòu)建的。但網(wǎng)絡(luò)安全風(fēng)險(xiǎn)領(lǐng)域沒有已知風(fēng)險(xiǎn),每個(gè)事件都是前所未有的。你怎么計(jì)算前所未見的風(fēng)險(xiǎn)呢? 于是CSO便去關(guān)注運(yùn)營(yíng)問題了,比如降低成本什么的。在需要評(píng)估風(fēng)險(xiǎn)或判斷安全項(xiàng)目效能的時(shí)候,他們轉(zhuǎn)向趣聞?shì)W事尋求支持。比如,塔吉特發(fā)生了數(shù)據(jù)泄露,誰(shuí)誰(shuí)誰(shuí)發(fā)生了數(shù)據(jù)泄露,5千萬(wàn)用戶信息在Facebook上被曝了……但沒人會(huì)說:“這是個(gè)價(jià)值4000萬(wàn)美元的風(fēng)險(xiǎn),我需要1000萬(wàn)美元來(lái)解決。”沒有足夠的數(shù)據(jù)支撐這種計(jì)算。 安全人員需要從戰(zhàn)術(shù)思維轉(zhuǎn)變到戰(zhàn)略思維,并與金融精算專家加強(qiáng)合作。IT與財(cái)務(wù)的結(jié)合與協(xié)同可能是個(gè)新的學(xué)科領(lǐng)域。 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化是一門不確定的科學(xué) 目前而言,精確量化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)這件事還為時(shí)過早。甚至保險(xiǎn)業(yè)巨頭都還沒有廣泛推開網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù)。確鑿的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)值是存在的,人們?cè)絹?lái)越意識(shí)到這些數(shù)據(jù)的重要性,但受董事會(huì)認(rèn)同的靜態(tài)精算數(shù)據(jù)也確實(shí)尚未出現(xiàn)。 供應(yīng)商提供風(fēng)險(xiǎn)得分卡會(huì)不會(huì)好一點(diǎn)?未必。這種做法很大程度上言過其實(shí)了。把自己的得分卡吹得天上有地下無(wú)的供應(yīng)商往往不會(huì)談及這樣一個(gè)事實(shí):每一次確定風(fēng)險(xiǎn)因素,分類所有資產(chǎn),并整理歸檔以便饋送進(jìn)此類系統(tǒng)都是非常費(fèi)時(shí)費(fèi)力的過程。 人工智能(AI)和機(jī)器學(xué)習(xí)能一定程度上減輕這種負(fù)擔(dān),但仍需要人類分析師做出最終決策,而決策工作并不輕松。不過,對(duì)有些公司而言,這一努力很值。這些公司已經(jīng)對(duì)自身所有業(yè)務(wù)單元及數(shù)據(jù)做了排查,識(shí)別并記錄了各自的風(fēng)險(xiǎn)等級(jí),能更好地利用自動(dòng)化報(bào)告在單一管理面板上看清自己的風(fēng)險(xiǎn)狀況。只不過,要做到這一步,前期投入的工作量很大,大多數(shù)公司都還沒達(dá)到這種程度。 想要產(chǎn)生有用的分?jǐn)?shù)和衡量標(biāo)準(zhǔn),公司企業(yè)必須分類包括數(shù)據(jù)在內(nèi)的所有資產(chǎn),以及這些資產(chǎn)在公司中起到在作用,還有各業(yè)務(wù)職能及數(shù)據(jù)的重要程度。只有做完所有這些費(fèi)時(shí)費(fèi)力的工作,將這所有數(shù)據(jù)集中起來(lái),才可以饋送進(jìn)你的ERM系統(tǒng),讓它吃進(jìn)所有數(shù)據(jù)再吐出一張得分卡給你。 越來(lái)越多的CSO被要求進(jìn)行企業(yè)風(fēng)險(xiǎn)評(píng)估,這其中正慢慢發(fā)生一些轉(zhuǎn)變。雖然風(fēng)險(xiǎn)得分是估測(cè)的,也難以獲取正確的數(shù)據(jù)進(jìn)行正確的評(píng)估,但CSO們正在摸索評(píng)估的方法。這是業(yè)務(wù)部門的人想要看到的現(xiàn)象。 網(wǎng)絡(luò)安全確實(shí)有些具體的挑戰(zhàn),比如第三方風(fēng)險(xiǎn)和黑天鵝事件,但其他業(yè)務(wù)領(lǐng)域也存在此類挑戰(zhàn),只不過網(wǎng)絡(luò)安全方面不可預(yù)測(cè)的程度更高些。但網(wǎng)絡(luò)安全領(lǐng)域有大量數(shù)據(jù)可用,也有很多公司企業(yè)在關(guān)注這一問題。 網(wǎng)絡(luò)保險(xiǎn)行業(yè)的成長(zhǎng)就是人們開始計(jì)算網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的例證。網(wǎng)絡(luò)保險(xiǎn)公司相當(dāng)清楚自己要保險(xiǎn)什么,也知道該要求被保人設(shè)置哪些安全措施才可以獲得保單。還有供應(yīng)商可以提供外部風(fēng)險(xiǎn)測(cè)評(píng),找出暴露的系統(tǒng);并有評(píng)估公司可以進(jìn)行網(wǎng)絡(luò)安全審計(jì)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)如今開始從感性認(rèn)知邁向科學(xué)計(jì)算了。 如何計(jì)算網(wǎng)絡(luò)安全事件的影響 商業(yè)影響是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方程的前半部分,也是最簡(jiǎn)單的部分,尤其是對(duì)大企業(yè)而言。財(cái)富500強(qiáng)公司往往都部署了ERM項(xiàng)目。這是個(gè)重要起始點(diǎn)。任何成立已久的公司通常都會(huì)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的商業(yè)影響投以關(guān)注。 然而,網(wǎng)絡(luò)安全方面卻有可能并未設(shè)置成熟的模型,CSO需與業(yè)務(wù)部門合作推動(dòng)這一領(lǐng)域的發(fā)展。比如說,聯(lián)邦快遞慣于為圣誕購(gòu)物狂歡季的爆倉(cāng)及人手不足風(fēng)險(xiǎn)做好打算。但在2017年6月,一場(chǎng)勒索軟件襲擊造成了約3億美元的損失。這種事是他們之前從未想過的。 受監(jiān)管的行業(yè)有一系列合規(guī)框架可以幫助識(shí)別出網(wǎng)絡(luò)安全攻擊可能造成影響的領(lǐng)域,比如零售業(yè)的PCI DSS (支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))、醫(yī)療行業(yè)的HIPAA和適用于金融公司、公開上市公司及政府承包商的各類框架,但這些都只是個(gè)最基本的起始點(diǎn)。 以PCI為例,支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)注重保護(hù)信用卡信息安全。但不涉及數(shù)據(jù)泄露的收銀系統(tǒng)勒索軟件攻擊同樣可能對(duì)公司造成重大財(cái)務(wù)損失。因?yàn)闆]有數(shù)據(jù)泄露,這不算是PCI事件,但銷售下滑真實(shí)發(fā)生了,更別說還有其他諸如公司信譽(yù)損失、業(yè)務(wù)停滯之類的后續(xù)影響,最終可能導(dǎo)致公司承受巨大的經(jīng)濟(jì)打擊。 識(shí)別出可能受網(wǎng)絡(luò)安全事件影響的關(guān)鍵業(yè)務(wù)過程是一項(xiàng)重要的工作,但很多公司企業(yè)并沒有做好。太多CSO不夠清楚到底什么才是業(yè)務(wù)關(guān)鍵的東西。 如何計(jì)算網(wǎng)絡(luò)安全事件的概率 計(jì)算事件潛在影響只是風(fēng)險(xiǎn)方程的前半部分,計(jì)算事件發(fā)生概率是風(fēng)險(xiǎn)方程中同樣重要而困難的一個(gè)部分。 可以采用由外而內(nèi)的方法來(lái)計(jì)算事件概率。 計(jì)算特定漏洞或其他安全問題損害公司的風(fēng)險(xiǎn)是絕對(duì)可能的,但需要公司在觀測(cè)和定性上需要一定程度的一致性。 CSO每年至少需與CEO和CTO坐下來(lái)商談一次,確定網(wǎng)絡(luò)安全事件發(fā)生的概率及影響的風(fēng)險(xiǎn)值。這樣,CSO才可以進(jìn)行各種計(jì)算,將之轉(zhuǎn)變?yōu)槟芮袑?shí)降低風(fēng)險(xiǎn)得分的具體標(biāo)準(zhǔn),持續(xù)跟蹤公司整體風(fēng)險(xiǎn)態(tài)勢(shì),為公司采取的風(fēng)險(xiǎn)預(yù)防和緩解操作提供更多透明性。 風(fēng)險(xiǎn)計(jì)算方程的前半部分——商業(yè)影響,取決于失去數(shù)據(jù)中心或數(shù)據(jù)集等事件給公司帶來(lái)的直接和間接損失。于是,要計(jì)算事件發(fā)生概率就得納入公開數(shù)據(jù)、內(nèi)部輸入和外部測(cè)試。比如說,對(duì)數(shù)據(jù)中心而言,公司可以查閱地震和火災(zāi)發(fā)生頻率等公開信息。 網(wǎng)絡(luò)攻擊的數(shù)據(jù)要難找一些,可以求助第三方滲透測(cè)試員來(lái)判斷公司系統(tǒng)入侵的難易程度——滲透進(jìn)去的耗時(shí)越長(zhǎng),所需技術(shù)水平越高,攻擊成功的概率就越低。 控制措施有效性判斷沒有一勞永逸的通用方法,我們只能不斷測(cè)試,通過漏洞掃描、紅藍(lán)對(duì)抗和高級(jí)滲透測(cè)試等方法持續(xù)評(píng)測(cè)公司安全措施有效性。 董事會(huì)什么時(shí)候才能不用擔(dān)憂網(wǎng)絡(luò)攻擊? 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是個(gè)讓公司董事會(huì)深感挫敗的問題。 在過去,風(fēng)險(xiǎn)提交到董事會(huì),董事會(huì)就會(huì)拿出一個(gè)方案來(lái)解決,然后完事兒。比如說,如果存在火災(zāi)風(fēng)險(xiǎn),董事會(huì)決定安裝消防噴頭和購(gòu)買火災(zāi)保險(xiǎn)就好了。此后除非又有什么變動(dòng),否則董事會(huì)就可以拋開火災(zāi)問題不談,將精力放到其他問題上。但網(wǎng)絡(luò)風(fēng)險(xiǎn)不是這樣的。 網(wǎng)絡(luò)風(fēng)險(xiǎn)持續(xù)存在,是個(gè)長(zhǎng)期議題,該風(fēng)險(xiǎn)領(lǐng)域無(wú)限廣闊而多樣。 事實(shí)上,不僅網(wǎng)絡(luò)威脅不斷進(jìn)化,技術(shù)也在加快滲透進(jìn)生產(chǎn)生活的各個(gè)方面。每家公司如今都是網(wǎng)絡(luò)公司,每個(gè)業(yè)務(wù)過程都要用到網(wǎng)絡(luò)。
來(lái)源:安全牛
北京市公安局海淀分局備案號(hào):11010802023656號(hào)