不合理的安全最佳实践 vs. 良好风险管理
星期二, 十一月 26, 2019
世上无完美,假装完美只会让事情变得更糟。所以,做好基于风险的决策。
多年前,我曾与一家银行的风险管理主管聊过。当时我为这家银行提供咨询服务。这位主管是新上任的,向我描述了他实现 IT 风险管理项目的计划。该公司的项目将建立在早于 NIST 网络安全框架的 NIST 800 系列标准基础之上,而且他们已经基于 SP 800-53 安全控制标准做出了自身专属的风险评分系统。计划很是详尽,该主管在上一职位上也就相同解决方案取得了一些成功。
最终,作为该过程结果给出的风险评分归结于评估者的个人意见。但此方法真正的问题是,这位安全主管认为该过程最终能够得到 NIST SP 800-53 实现的所有控制。因此,他们开发的模型旨在当实现更多控制时给出良好风险评分,而在缺失这些控制时给出不良风险评分。
认为更多控制相当于更少风险的人,绝不止这位主管一个。太多风险登记都仅仅是问题事项或缺失事项的列表。我们太过确信自己需要更多安全,以至于倾向认为只有完美才能保证安全。安全大会充斥各种格言,比如 “我们每次都得做对,黑客只需要做对一次。” 这种观点很悲观,而且劝阻了公司领导采取保护自身安全所需的正确行动。他们何必纠结于自己能否做到完美呢?
我常说我们需要认为自己能够百分百阻止入侵的网络安全人士来做封锁和应对工作。这种思维对高品质威胁管理和安全运营而言很重要。但我知道,这些人最终都会失败的。这并不意味着他们的工作毫无意义。事实上,我们应该颂扬的正是这些小成功和一致的行为,而不是完美。
不应责怪控制框架;它们只是在归类各种可能性。应责备的是对安全控制采取 “必须全逮住” 方法的风险模型。该方法假装安全控制和损失风险之间存在线性关系。这就忽略了攻击频率、攻击者能力和公司损失承受力等关键变量。
这种 “收藏家” 式风险管理方法审计那些常自称基于风险却把每个缺失或不足都认为是风险本身的框架。该方法让昭示零胃纳的风险声明直通高管和企业董事会。出于好意的风险胃纳声明,如 “我们不接受任何网络相关风险”,实际上预算有限的公司(所有公司都预算有限)是无法付诸实践的。接受零风险意味着将把公司每分钱都花到损失规避上,且即使如此,也没人能保证一个零事件的未来。
成熟的网络风险胃纳谈论方式是考虑一些非零损失量。风险与损失声明应关注可损失的数额范围,以及此类损失可能发生的时间线。这些范围是必要的,因为我们讨论的是可能或可能不会发生的未来事件,因此,针对胃纳做出的任何具体措施都会错。
有效风险管理可使公司企业以最少量的资本支出逐渐实现可接受的损失金额。换句话说,我们试图以当下花的钱来降低未来发生一定数量损失的风险。而良好风险管理中并没有完美风险规避的位置。这种对风险的关注限制了创新和良好业务管理。
首先,花在风险降低上的每分钱都无法投入企业目标上。因此,风险减少方面的投资肯定意味着企业目标缩减。其次,缺乏适量的无保障运营自由度,企业创新也会受限。
若想驾驭风险并以安全控制过程消除风险,准确表征风险本质的良好模型必不可少。而且,此类模型应支持公司现代需求,如网络保险购买和/或为风险配置留出资金(风险资本)。FAIR Institute 推动网络风险量化的开源 FAIR 标准。FAIR 模型可帮助公司主管界定并建模风险场景。该模型将缺失的控制和审计发现与损失声明联系起来,让决策者能作出考虑到风险的明智决策。
另外,该模型使公司企业有机会以有意义且可执行的方式:经济影响,表达出这些网络损失场景。举个例子,通过将控制与公司的潜在损失、对客户的影响和/或其对保险和风险资本的影响联系起来,FAIR 可使公司表达出为什么该浩瀚目录中的某个控制是有意义的。换句话说,这将技术失效与业务影响联系在了一起。FAIR 还使实践者能够通过风险效能比的方式证明实现某个解决方案可减少风险。风险效能比就是投资到解决方案上的每块钱能减少的未来潜在损失数额 “x”。
评估企业风险态势的时候需警惕 “最佳实践” 模型的诱惑。如果该模型鼓励你在控制实现测试中获得 A+,你就是在把公司拖入过度控制的环境,限制创新和斩断商业计划。所以,专注风险驾驭:为决策者提供做出风险明智决策所需的信息,接受公司网络安全问题的完美解决方案可能是不完美实现的安全。
相关阅读