十個(gè)很少有人談到的網(wǎng)絡(luò )安全風(fēng)險因素

這些風(fēng)險因素可能不會(huì )出現在官方的風(fēng)險評估報告中，但是每個(gè)安全專(zhuān)家都應該考慮這些因素。

傳統的風(fēng)險管理通常包括對潛在的威脅和風(fēng)險進(jìn)行分類(lèi)，評估其發(fā)生的可能性，以及估算如果不能減輕它們可能造成的損失。潛在的緩解和控制成本是根據潛在損失來(lái)衡量的。如果減輕措施比風(fēng)險和威脅發(fā)生的成本更低、實(shí)施效果更好，那么就會(huì )采取相應措施。

大家都曾為計算一個(gè)事件的可能性及其潛在損失而煩惱過(guò)。這一過(guò)程一直更像是一種最佳猜測，而不是保險精算表。誰(shuí)能估計在某一年一個(gè)復雜的勒索軟件、DDoS 或內部攻擊在他們的組織機構中發(fā)生的概率或者能夠準確預測哪些資產(chǎn)會(huì )受到影響?有人能證明某年的可能性是20%還是 60% 嗎?

我們都在與龐大的估算做斗爭，但是還有很多其他因素影響著(zhù)風(fēng)險管理。這里有 10 個(gè)很少被公開(kāi)討論的問(wèn)題。

1. 應對“可能發(fā)生”的風(fēng)險

每一次風(fēng)險評估都是在應對可能發(fā)生的事情和什么都不做之間進(jìn)行斗爭，尤其是在以前從未發(fā)生過(guò)的情況下。很多人認為什么都不做更省錢(qián)，那些為某事而奮斗的人可能會(huì )被認為是在浪費錢(qián)?！盀槭裁匆速M錢(qián)?那永遠不過(guò)發(fā)生!”

很少有人會(huì )因為保持現狀和墨守成規而惹上麻煩。尤其是在涉及大筆資金的情況下，積極采取行動(dòng)，要比坐等損失出現并解決問(wèn)題要困難得多。

以 911 和航空旅途安全舉例。并不是說(shuō)航空安全專(zhuān)家們在 2001 年 9 月 11 日之前就不知道劫機者可以通過(guò)一把美工刀控制駕駛艙，或將爆炸物偷運上飛機。這些風(fēng)險早在幾十年前就已為人所知。想象一下，如果在 911 事件發(fā)生之前，乘客就被要求扔掉水瓶并接受全身掃描，會(huì )引起公眾多么強烈的抗議。這可能會(huì )激怒公眾，航空公司也會(huì )主動(dòng)去掉這些安全措施。

911 之后，我們很樂(lè )意脫掉鞋子，扔掉水瓶，接受全身掃描。獲得資金來(lái)應對可能的風(fēng)險要比在損失發(fā)生后獲得資金困難得多。每當風(fēng)險評估人員就從未發(fā)生過(guò)的問(wèn)題發(fā)出警告時(shí)，都非常需要勇氣。他們是無(wú)名英雄。

2. 政治風(fēng)險

主動(dòng)承擔風(fēng)險會(huì )引發(fā)相關(guān)的未知風(fēng)險之一：政治風(fēng)險。每當積極主動(dòng)的英雄們爭取應對從未發(fā)生的事情時(shí)，他們都會(huì )失去一點(diǎn)政治資本。他們只有在他們積極主動(dòng)去應對的事情發(fā)生的時(shí)候才能獲得勝利。如果他們能成功說(shuō)服公司實(shí)施控制和緩解措施，那么糟糕的事情就永遠不會(huì )發(fā)生，好吧，它永遠不會(huì )發(fā)生。

這是一個(gè)悖論。當他們勝利的時(shí)候沒(méi)有人知道，因為他們成功爭取到了控制。所以，每當他們擔心的事情從未發(fā)生時(shí)，他們就會(huì )被視為 “狼來(lái)了”。他們失去了政治資本。

任何經(jīng)歷過(guò)這些風(fēng)險管理斗爭的人都可以告訴你，他們不想承擔太多的挑戰。每一次斗爭都會(huì )給他們的聲譽(yù)帶來(lái)一點(diǎn)損害(或很多)。所以，這些戰士們會(huì )計劃他們想要打哪些仗。隨著(zhù)時(shí)間的推移，經(jīng)驗豐富的戰士會(huì )減少戰斗次數。他們不得不這么做。適者生存。他們中的很多人只會(huì )等待某一天，當一件真正糟糕的事情發(fā)生時(shí)，他們沒(méi)能為組織機構止損而斗爭，而成為了替罪羊。

3. “我們說(shuō)已經(jīng)做完了，但并不一定”的風(fēng)險

我們所說(shuō)的很多控制和緩解措施并沒(méi)有真正完成，至少沒(méi)有達到 100%。很多人在這個(gè)過(guò)程中明白事情并沒(méi)有真正完成。最常見(jiàn)的例子是打補丁和備份。我知道的大多數公司都說(shuō)他們打了 99% 到 100% 的補丁。在本文作者 30 多年的職業(yè)生涯中，檢查了數百萬(wàn)臺設備的打補丁狀況，但從來(lái)沒(méi)有發(fā)現一個(gè)設備是安裝了所有補丁的。然而審計過(guò)的每家公司都會(huì )說(shuō)，他們已經(jīng)安裝了所有的補丁，或者接近完成了。

備份也是如此。當前勒索軟件的泛濫暴露了大多數組織機構并沒(méi)有做好備份。盡管大多數組織機構和他們的審計人員多年來(lái)都在檢查是否已經(jīng)完成了關(guān)鍵備份，并定期進(jìn)行測試，但只要一次大型勒索軟件攻擊就能顯示出真相是多么的不同。

風(fēng)險管理領(lǐng)域的每個(gè)人都知道這一點(diǎn)。在沒(méi)有時(shí)間和資源的情況下，負責備份的人如何能夠測試所有內容呢?要測試備份和恢復是否可以工作，你必須對很多不同的系統進(jìn)行恢復測試，并將其同時(shí)放到必須工作的單獨環(huán)境中(即使所有資源都指向原始環(huán)境)。這需要投入大量的人力、時(shí)間和其他資源，而大多數組織機構都不會(huì )給負責人這些承諾。

4. 制度化的風(fēng)險：“一直都是這么做的”

很難反駁 “我們一直都是這么做的”，尤其是在幾十年都沒(méi)有發(fā)生針對弱點(diǎn)的攻擊的情況下。例如，我經(jīng)常遇到允許密碼為 6 個(gè)字符且從不修改的組織機構。有時(shí)是因為PC網(wǎng)絡(luò )的密碼必須與連接到公司所依賴(lài)的一些古老的 “大家伙” 系統的密碼相同。每個(gè)人可能都知道，6 個(gè)字符且不變的密碼不是一個(gè)好主意，但這從來(lái)不會(huì )造成任何問(wèn)題。

如果你認為所有東西都需要升級，以支持更長(cháng)的、更復雜的密碼(可能要花費數百萬(wàn)美元)，那么制度化的“智慧”是不利于你的，而大多數人在組織機構中的時(shí)間比你長(cháng)得多。

5. 業(yè)務(wù)中斷的風(fēng)險

你所實(shí)施的每個(gè)控制和緩解措施都可能導致運營(yíng)問(wèn)題。而且甚至可能會(huì )中斷運營(yíng)。你更有可能因為運營(yíng)意外中斷而被解雇，而不是提前預防了一些理論上的風(fēng)險。對于你推動(dòng)的每一項控制和緩解措施，你都要考慮是否會(huì )導致潛在的運營(yíng)中斷。

控制越徹底，就越有可能減少其所抵御的威脅帶來(lái)的風(fēng)險，但你會(huì )更懷疑是否可以在不中斷運營(yíng)的情況下做到這一點(diǎn)。如果在不造成運營(yíng)中斷的情況下降低風(fēng)險是容易的一件事情，那么每個(gè)人都會(huì )這么做。

6. 員工不滿(mǎn)的風(fēng)險

沒(méi)有哪個(gè)風(fēng)險經(jīng)理想讓員工生氣。如果你想要這種情況發(fā)生，就限制他們可以訪(fǎng)問(wèn)的 Internet 地址和他們在計算機上的操作。70% 到 90% 的惡意數據泄露(通過(guò)網(wǎng)絡(luò )釣魚(yú)和社會(huì )工程)都是由終端用戶(hù)造成的。你不能相信終端用戶(hù)能靠直覺(jué)保護組織機構。

然而，僅僅限制終端用戶(hù)操作，比如只允許預先批準的程序運行，或者限制他們對互聯(lián)網(wǎng)的訪(fǎng)問(wèn)和操作，就會(huì )遭到大多數員工的反對。勞動(dòng)力市場(chǎng)供不應求。每個(gè)公司都在努力爭取優(yōu)秀的員工，他們不想被告知他們不能在“他們的”電腦上做任何他們想做的事情。你鎖定的太多，他們可能會(huì )去別的地方工作。

7. 客戶(hù)不滿(mǎn)意的風(fēng)險

沒(méi)有人愿意實(shí)施一項讓客戶(hù)失望的政策或程序。沮喪的顧客會(huì )變成其他公司的快樂(lè )顧客。例如，與阻止欺詐相比，信用卡公司更關(guān)心的是意外拒絕合法客戶(hù)的合法交易。他們關(guān)心欺詐，但他們認為這是一種長(cháng)期行為。那些使信用卡交易更準確的承包商和公司向信用卡公司出售他們的服務(wù)，說(shuō)明他們如何減少拒絕合法交易的情況。一年內有兩次交易被意外拒絕的顧客將會(huì )使用其他銀行的信用卡。

這也是為什么在美國你不需要使用帶有 PIN 碼的芯片卡。世界其他地方需要芯片和 PIN 碼，這是目前為止更安全的選擇。美國是怎么做到的呢?因為 PIN 碼和芯片卡進(jìn)入美國的時(shí)間相對較晚，商戶(hù)和客戶(hù)剛剛習慣刷卡。要求人們插入卡片以正確讀取芯片將會(huì )使一小部分交易失敗，并使一些客戶(hù)不滿(mǎn)。

8. 前沿風(fēng)險

站在最前面的人容易被當成炮灰。沒(méi)有人愿意站在矛尖上。早期采用者很少會(huì )因為行動(dòng)早而得到獎勵。他們往往會(huì )成為經(jīng)驗教訓，有益于后人采用改進(jìn)的策略。

兩年前，美國國家標準與技術(shù)研究院 (US National Standards and Technology, NIST) 表示，其長(cháng)期以來(lái)要求使用長(cháng)而復雜密碼并定期更換的密碼策略，導致的黑客攻擊要比其阻止的多。其新的《數字身份指南》，NIST 特別出版物 800-63-3 (NIST Special Publication 800-63-3)，表示密碼可以是簡(jiǎn)短的，不復雜的，并且除非你知道密碼已經(jīng)被泄露，那你永遠不會(huì )被強制修改密碼。與先前被認為是教條的建議相比，這是一個(gè) 180 度的大轉變。

從那以后，沒(méi)有任何合規指南或監管法律得到更新，表明采納新建議是可取的或合法的，也沒(méi)有見(jiàn)到或聽(tīng)說(shuō)任何公司采用了新策略。這可能是一件好事，因為如果你改變了你的策略，并因此而遭到攻擊，即使 NIST 說(shuō)這是正確的做法，人們也會(huì )指責你，問(wèn)你為什么這樣做。等待大群體轉向新的密碼策略要安全得多，看看他們是對的還是錯的。

9. 滯后風(fēng)險

你總是在與已經(jīng)發(fā)生在其他人(或你的組織機構)身上的風(fēng)險作斗爭。你等著(zhù)看黑客有什么花招，然后建立緩解和控制措施，以對抗這些新的風(fēng)險。必須先等黑客出招，就造成了從發(fā)現新的惡意行為到評估新技術(shù)、考慮新控制并實(shí)施中間的時(shí)間差。在觀(guān)望中，你總是會(huì )落后。

10. “不可能事事正確”的風(fēng)險

去年公布了超過(guò) 16555 個(gè)新漏洞。已知有超過(guò) 1 億個(gè)獨特的惡意軟件程序。從民族國家黑客到金融竊賊，再到腳本小子，他們都試圖入侵你的組織機構。你要擔心的事情太多了。除非有人給你無(wú)限的金錢(qián)、時(shí)間和資源，否則你無(wú)法抵御這一切。你所能做的就是猜測(見(jiàn)第一條)哪些是最重要的風(fēng)險，并試圖阻止它們。

這些都不是風(fēng)險評估的新組成部分。它們一直都在，它們是你們在評估風(fēng)險和考慮控制時(shí)會(huì )想到的。所有這些都表明風(fēng)險評估和風(fēng)險管理比表面看上去要困難得多，尤其是和書(shū)本理論相比。當你考慮到普通計算機安全人員需要擔心和考慮的所有事情時(shí)，你會(huì )驚奇地發(fā)現，我們在大多數時(shí)候能夠處理好。

文章來(lái)源：https://news.cndns.com/article/11504

相關(guān)推薦

【上云季-1折驚爆價(jià)】香港/美國高性能云服務(wù)器27元起秒殺專(zhuān)場(chǎng)，上云必備，火爆開(kāi)搶>>點(diǎn)擊查看詳情<<

【全球云-高性能限量搶】高性能云主機好用能省，高性能高配置高儲存，輕松解鎖云端場(chǎng)景>>點(diǎn)擊查看詳情<<

【服務(wù)器-特價(jià)服務(wù)器】新購指定配置可享受限時(shí)特惠7折。每個(gè)用戶(hù)不限臺數 低至280元月>>點(diǎn)擊查看詳情<<