不合理的安全最佳實踐 vs. 良好風險管理
責編:gltian |2019-11-26 14:20:19世上無完美,假裝完美只會讓事情變得更糟。所以,做好基于風險的決策。
作者簡介
多年前,我曾與一家銀行的風險管理主管聊過。當時我為這家銀行提供咨詢服務。這位主管是新上任的,向我描述了他實現 IT 風險管理項目的計劃。該公司的項目將建立在早于 NIST 網絡安全框架的 NIST 800 系列標準基礎之上,而且他們已經基于 SP 800-53 安全控制標準做出了自身專屬的風險評分系統。計劃很是詳盡,該主管在上一職位上也就相同解決方案取得了一些成功。
最終,作為該過程結果給出的風險評分歸結于評估者的個人意見。但此方法真正的問題是,這位安全主管認為該過程最終能夠得到 NIST SP 800-53 實現的所有控制。因此,他們開發的模型旨在當實現更多控制時給出良好風險評分,而在缺失這些控制時給出不良風險評分。
認為更多控制相當于更少風險的人,絕不止這位主管一個。太多風險登記都僅僅是問題事項或缺失事項的列表。我們太過確信自己需要更多安全,以至于傾向認為只有完美才能保證安全。安全大會充斥各種格言,比如 “我們每次都得做對,黑客只需要做對一次。” 這種觀點很悲觀,而且勸阻了公司領導采取保護自身安全所需的正確行動。他們何必糾結于自己能否做到完美呢?
我常說我們需要認為自己能夠百分百阻止入侵的網絡安全人士來做封鎖和應對工作。這種思維對高品質威脅管理和安全運營而言很重要。但我知道,這些人最終都會失敗的。這并不意味著他們的工作毫無意義。事實上,我們應該頌揚的正是這些小成功和一致的行為,而不是完美。
不應責怪控制框架;它們只是在歸類各種可能性。應責備的是對安全控制采取 “必須全逮住” 方法的風險模型。該方法假裝安全控制和損失風險之間存在線性關系。這就忽略了攻擊頻率、攻擊者能力和公司損失承受力等關鍵變量。
這種 “收藏家” 式風險管理方法審計那些常自稱基于風險卻把每個缺失或不足都認為是風險本身的框架。該方法讓昭示零胃納的風險聲明直通高管和企業董事會。出于好意的風險胃納聲明,如 “我們不接受任何網絡相關風險”,實際上預算有限的公司(所有公司都預算有限)是無法付諸實踐的。接受零風險意味著將把公司每分錢都花到損失規避上,且即使如此,也沒人能保證一個零事件的未來。
成熟的網絡風險胃納談論方式是考慮一些非零損失量。風險與損失聲明應關注可損失的數額范圍,以及此類損失可能發生的時間線。這些范圍是必要的,因為我們討論的是可能或可能不會發生的未來事件,因此,針對胃納做出的任何具體措施都會錯。
有效風險管理的目標
有效風險管理可使公司企業以最少量的資本支出逐漸實現可接受的損失金額。換句話說,我們試圖以當下花的錢來降低未來發生一定數量損失的風險。而良好風險管理中并沒有完美風險規避的位置。這種對風險的關注限制了創新和良好業務管理。
首先,花在風險降低上的每分錢都無法投入企業目標上。因此,風險減少方面的投資肯定意味著企業目標縮減。其次,缺乏適量的無保障運營自由度,企業創新也會受限。
駕馭風險
若想駕馭風險并以安全控制過程消除風險,準確表征風險本質的良好模型必不可少。而且,此類模型應支持公司現代需求,如網絡保險購買和/或為風險配置留出資金(風險資本)。FAIR Institute 推動網絡風險量化的開源 FAIR 標準。FAIR 模型可幫助公司主管界定并建模風險場景。該模型將缺失的控制和審計發現與損失聲明聯系起來,讓決策者能作出考慮到風險的明智決策。
另外,該模型使公司企業有機會以有意義且可執行的方式:經濟影響,表達出這些網絡損失場景。舉個例子,通過將控制與公司的潛在損失、對客戶的影響和/或其對保險和風險資本的影響聯系起來,FAIR 可使公司表達出為什么該浩瀚目錄中的某個控制是有意義的。換句話說,這將技術失效與業務影響聯系在了一起。FAIR 還使實踐者能夠通過風險效能比的方式證明實現某個解決方案可減少風險。風險效能比就是投資到解決方案上的每塊錢能減少的未來潛在損失數額 “x”。
評估企業風險態勢的時候需警惕 “最佳實踐” 模型的誘惑。如果該模型鼓勵你在控制實現測試中獲得 A+,你就是在把公司拖入過度控制的環境,限制創新和斬斷商業計劃。所以,專注風險駕馭:為決策者提供做出風險明智決策所需的信息,接受公司網絡安全問題的完美解決方案可能是不完美實現的安全。