十個(gè)很少有人談到的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)因素

這些風(fēng)險(xiǎn)因素可能不會(huì)出現(xiàn)在官方的風(fēng)險(xiǎn)評(píng)估報(bào)告中，但是每個(gè)安全專(zhuān)家都應(yīng)該考慮這些因素。

傳統(tǒng)的風(fēng)險(xiǎn)管理通常包括對(duì)潛在的威脅和風(fēng)險(xiǎn)進(jìn)行分類(lèi)，評(píng)估其發(fā)生的可能性，以及估算如果不能減輕它們可能造成的損失。潛在的緩解和控制成本是根據(jù)潛在損失來(lái)衡量的。如果減輕措施比風(fēng)險(xiǎn)和威脅發(fā)生的成本更低、實(shí)施效果更好，那么就會(huì)采取相應(yīng)措施。

大家都曾為計(jì)算一個(gè)事件的可能性及其潛在損失而煩惱過(guò)。這一過(guò)程一直更像是一種好猜測(cè)，而不是保險(xiǎn)精算表。誰(shuí)能估計(jì)在某一年一個(gè)復(fù)雜的勒索軟件、DDoS 或內(nèi)部攻擊在他們的組織機(jī)構(gòu)中發(fā)生的概率或者能夠準(zhǔn)確預(yù)測(cè)哪些資產(chǎn)會(huì)受到影響?有人能證明某年的可能性是20%還是 60% 嗎?

我們都在與龐大的估算做斗爭(zhēng)，但是還有很多其他因素影響著風(fēng)險(xiǎn)管理。這里有 10 個(gè)很少被公開(kāi)討論的問(wèn)題。

1. 應(yīng)對(duì)“可能發(fā)生”的風(fēng)險(xiǎn)

每一次風(fēng)險(xiǎn)評(píng)估都是在應(yīng)對(duì)可能發(fā)生的事情和什么都不做之間進(jìn)行斗爭(zhēng)，尤其是在以前從未發(fā)生過(guò)的情況下。很多人認(rèn)為什么都不做更省錢(qián)，那些為某事而奮斗的人可能會(huì)被認(rèn)為是在浪費(fèi)錢(qián)?！盀槭裁匆速M(fèi)錢(qián)?那永遠(yuǎn)不過(guò)發(fā)生!”

很少有人會(huì)因?yàn)楸３脂F(xiàn)狀和墨守成規(guī)而惹上麻煩。尤其是在涉及大筆資金的情況下，積極采取行動(dòng)，要比坐等損失出現(xiàn)并解決問(wèn)題要困難得多。

以 911 和航空旅途安全舉例。并不是說(shuō)航空安全專(zhuān)家們?cè)?2001 年 9 月 11 日之前就不知道劫機(jī)者可以通過(guò)一把美工刀控制駕駛艙，或?qū)⒈ㄎ锿颠\(yùn)上飛機(jī)。這些風(fēng)險(xiǎn)早在幾十年前就已為人所知。想象一下，如果在 911 事件發(fā)生之前，乘客就被要求扔掉水瓶并接受全身掃描，會(huì)引起公眾多么強(qiáng)烈的抗議。這可能會(huì)激怒公眾，航空公司也會(huì)主動(dòng)去掉這些安全措施。

911 之后，我們很樂(lè)意脫掉鞋子，扔掉水瓶，接受全身掃描。獲得資金來(lái)應(yīng)對(duì)可能的風(fēng)險(xiǎn)要比在損失發(fā)生后獲得資金困難得多。每當(dāng)風(fēng)險(xiǎn)評(píng)估人員就從未發(fā)生過(guò)的問(wèn)題發(fā)出警告時(shí)，都非常需要勇氣。他們是無(wú)名英雄。

2. 政治風(fēng)險(xiǎn)

主動(dòng)承擔(dān)風(fēng)險(xiǎn)會(huì)引發(fā)相關(guān)的未知風(fēng)險(xiǎn)之一：政治風(fēng)險(xiǎn)。每當(dāng)積極主動(dòng)的英雄們爭(zhēng)取應(yīng)對(duì)從未發(fā)生的事情時(shí)，他們都會(huì)失去一點(diǎn)政治資本。他們只有在他們積極主動(dòng)去應(yīng)對(duì)的事情發(fā)生的時(shí)候才能獲得勝利。如果他們能成功說(shuō)服公司實(shí)施控制和緩解措施，那么糟糕的事情就永遠(yuǎn)不會(huì)發(fā)生，好吧，它永遠(yuǎn)不會(huì)發(fā)生。

這是一個(gè)悖論。當(dāng)他們勝利的時(shí)候沒(méi)有人知道，因?yàn)樗麄兂晒?zhēng)取到了控制。所以，每當(dāng)他們擔(dān)心的事情從未發(fā)生時(shí)，他們就會(huì)被視為 “狼來(lái)了”。他們失去了政治資本。

任何經(jīng)歷過(guò)這些風(fēng)險(xiǎn)管理斗爭(zhēng)的人都可以告訴你，他們不想承擔(dān)太多的挑戰(zhàn)。每一次斗爭(zhēng)都會(huì)給他們的聲譽(yù)帶來(lái)一點(diǎn)損害(或很多)。所以，這些戰(zhàn)士們會(huì)計(jì)劃他們想要打哪些仗。隨著時(shí)間的推移，經(jīng)驗(yàn)豐富的戰(zhàn)士會(huì)減少戰(zhàn)斗次數(shù)。他們不得不這么做。適者生存。他們中的很多人只會(huì)等待某一天，當(dāng)一件真正糟糕的事情發(fā)生時(shí)，他們沒(méi)能為組織機(jī)構(gòu)止損而斗爭(zhēng)，而成為了替罪羊。

3. “我們說(shuō)已經(jīng)做完了，但并不一定”的風(fēng)險(xiǎn)

我們所說(shuō)的很多控制和緩解措施并沒(méi)有真正完成，至少?zèng)]有達(dá)到 100%。很多人在這個(gè)過(guò)程中明白事情并沒(méi)有真正完成。最常見(jiàn)的例子是打補(bǔ)丁和備份。我知道的大多數(shù)公司都說(shuō)他們打了 99% 到 100% 的補(bǔ)丁。在本文作者 30 多年的職業(yè)生涯中，檢查了數(shù)百萬(wàn)臺(tái)設(shè)備的打補(bǔ)丁狀況，但從來(lái)沒(méi)有發(fā)現(xiàn)一個(gè)設(shè)備是安裝了所有補(bǔ)丁的。然而審計(jì)過(guò)的每家公司都會(huì)說(shuō)，他們已經(jīng)安裝了所有的補(bǔ)丁，或者接近完成了。

備份也是如此。當(dāng)前勒索軟件的泛濫暴露了大多數(shù)組織機(jī)構(gòu)并沒(méi)有做好備份。盡管大多數(shù)組織機(jī)構(gòu)和他們的審計(jì)人員多年來(lái)都在檢查是否已經(jīng)完成了關(guān)鍵備份，并定期進(jìn)行測(cè)試，但只要一次大型勒索軟件攻擊就能顯示出真相是多么的不同。

風(fēng)險(xiǎn)管理領(lǐng)域的每個(gè)人都知道這一點(diǎn)。在沒(méi)有時(shí)間和資源的情況下，負(fù)責(zé)備份的人如何能夠測(cè)試所有內(nèi)容呢?要測(cè)試備份和恢復(fù)是否可以工作，你必須對(duì)很多不同的系統(tǒng)進(jìn)行恢復(fù)測(cè)試，并將其同時(shí)放到必須工作的單獨(dú)環(huán)境中(即使所有資源都指向原始環(huán)境)。這需要投入大量的人力、時(shí)間和其他資源，而大多數(shù)組織機(jī)構(gòu)都不會(huì)給負(fù)責(zé)人這些承諾。

4. 制度化的風(fēng)險(xiǎn)：“一直都是這么做的”

很難反駁 “我們一直都是這么做的”，尤其是在幾十年都沒(méi)有發(fā)生針對(duì)弱點(diǎn)的攻擊的情況下。例如，我經(jīng)常遇到允許密碼為 6 個(gè)字符且從不修改的組織機(jī)構(gòu)。有時(shí)是因?yàn)镻C網(wǎng)絡(luò)的密碼必須與連接到公司所依賴的一些古老的 “大家伙” 系統(tǒng)的密碼相同。每個(gè)人可能都知道，6 個(gè)字符且不變的密碼不是一個(gè)好主意，但這從來(lái)不會(huì)造成任何問(wèn)題。

如果你認(rèn)為所有東西都需要升級(jí)，以支持更長(zhǎng)的、更復(fù)雜的密碼(可能要花費(fèi)數(shù)百萬(wàn)美元)，那么制度化的“智慧”是不利于你的，而大多數(shù)人在組織機(jī)構(gòu)中的時(shí)間比你長(zhǎng)得多。

5. 業(yè)務(wù)中斷的風(fēng)險(xiǎn)

你所實(shí)施的每個(gè)控制和緩解措施都可能導(dǎo)致運(yùn)營(yíng)問(wèn)題。而且甚至可能會(huì)中斷運(yùn)營(yíng)。你更有可能因?yàn)檫\(yùn)營(yíng)意外中斷而被解雇，而不是提前預(yù)防了一些理論上的風(fēng)險(xiǎn)。對(duì)于你推動(dòng)的每一項(xiàng)控制和緩解措施，你都要考慮是否會(huì)導(dǎo)致潛在的運(yùn)營(yíng)中斷。

控制越徹底，就越有可能減少其所抵御的威脅帶來(lái)的風(fēng)險(xiǎn)，但你會(huì)更懷疑是否可以在不中斷運(yùn)營(yíng)的情況下做到這一點(diǎn)。如果在不造成運(yùn)營(yíng)中斷的情況下降低風(fēng)險(xiǎn)是容易的一件事情，那么每個(gè)人都會(huì)這么做。

6. 員工不滿的風(fēng)險(xiǎn)

沒(méi)有哪個(gè)風(fēng)險(xiǎn)經(jīng)理想讓員工生氣。如果你想要這種情況發(fā)生，就限制他們可以訪問(wèn)的 Internet 地址和他們?cè)谟?jì)算機(jī)上的操作。70% 到 90% 的惡意數(shù)據(jù)泄露(通過(guò)網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程)都是由終端用戶造成的。你不能相信終端用戶能靠直覺(jué)保護(hù)組織機(jī)構(gòu)。

然而，僅僅限制終端用戶操作，比如只允許預(yù)先批準(zhǔn)的程序運(yùn)行，或者限制他們對(duì)互聯(lián)網(wǎng)的訪問(wèn)和操作，就會(huì)遭到大多數(shù)員工的反對(duì)。勞動(dòng)力市場(chǎng)供不應(yīng)求。每個(gè)公司都在努力爭(zhēng)取優(yōu)秀的員工，他們不想被告知他們不能在“他們的”電腦上做任何他們想做的事情。你鎖定的太多，他們可能會(huì)去別的地方工作。

7. 客戶不滿意的風(fēng)險(xiǎn)

沒(méi)有人愿意實(shí)施一項(xiàng)讓客戶失望的政策或程序。沮喪的顧客會(huì)變成其他公司的快樂(lè)顧客。例如，與阻止欺詐相比，信用卡公司更關(guān)心的是意外拒絕合法客戶的合法交易。他們關(guān)心欺詐，但他們認(rèn)為這是一種長(zhǎng)期行為。那些使信用卡交易更準(zhǔn)確的承包商和公司向信用卡公司出售他們的服務(wù)，說(shuō)明他們?nèi)绾螠p少拒絕合法交易的情況。一年內(nèi)有兩次交易被意外拒絕的顧客將會(huì)使用其他銀行的信用卡。

這也是為什么在美國(guó)你不需要使用帶有 PIN 碼的芯片卡。世界其他地方需要芯片和 PIN 碼，這是目前為止更安全的選擇。美國(guó)是怎么做到的呢?因?yàn)?PIN 碼和芯片卡進(jìn)入美國(guó)的時(shí)間相對(duì)較晚，商戶和客戶剛剛習(xí)慣刷卡。要求人們插入卡片以正確讀取芯片將會(huì)使一小部分交易失敗，并使一些客戶不滿。

8. 前沿風(fēng)險(xiǎn)

站在最前面的人容易被當(dāng)成炮灰。沒(méi)有人愿意站在矛尖上。早期采用者很少會(huì)因?yàn)樾袆?dòng)早而得到獎(jiǎng)勵(lì)。他們往往會(huì)成為經(jīng)驗(yàn)教訓(xùn)，有益于后人采用改進(jìn)的策略。

兩年前，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (US National Standards and Technology, NIST) 表示，其長(zhǎng)期以來(lái)要求使用長(zhǎng)而復(fù)雜密碼并定期更換的密碼策略，導(dǎo)致的黑客攻擊要比其阻止的多。其新的《數(shù)字身份指南》，NIST 特別出版物 800-63-3 (NIST Special Publication 800-63-3)，表示密碼可以是簡(jiǎn)短的，不復(fù)雜的，并且除非你知道密碼已經(jīng)被泄露，那你永遠(yuǎn)不會(huì)被強(qiáng)制修改密碼。與先前被認(rèn)為是教條的建議相比，這是一個(gè) 180 度的大轉(zhuǎn)變。

從那以后，沒(méi)有任何合規(guī)指南或監(jiān)管法律得到更新，表明采納新建議是可取的或合法的，也沒(méi)有見(jiàn)到或聽(tīng)說(shuō)任何公司采用了新策略。這可能是一件好事，因?yàn)槿绻愀淖兞四愕牟呗裕⒁虼硕獾焦?，即?NIST 說(shuō)這是正確的做法，人們也會(huì)指責(zé)你，問(wèn)你為什么這樣做。等待大群體轉(zhuǎn)向新的密碼策略要安全得多，看看他們是對(duì)的還是錯(cuò)的。

9. 滯后風(fēng)險(xiǎn)

你總是在與已經(jīng)發(fā)生在其他人(或你的組織機(jī)構(gòu))身上的風(fēng)險(xiǎn)作斗爭(zhēng)。你等著看黑客有什么花招，然后建立緩解和控制措施，以對(duì)抗這些新的風(fēng)險(xiǎn)。必須先等黑客出招，就造成了從發(fā)現(xiàn)新的惡意行為到評(píng)估新技術(shù)、考慮新控制并實(shí)施中間的時(shí)間差。在觀望中，你總是會(huì)落后。

10. “不可能事事正確”的風(fēng)險(xiǎn)

去年公布了超過(guò) 16555 個(gè)新漏洞。已知有超過(guò) 1 億個(gè)獨(dú)特的惡意軟件程序。從民族國(guó)家黑客到金融竊賊，再到腳本小子，他們都試圖入侵你的組織機(jī)構(gòu)。你要擔(dān)心的事情太多了。除非有人給你無(wú)限的金錢(qián)、時(shí)間和資源，否則你無(wú)法抵御這一切。你所能做的就是猜測(cè)(見(jiàn)第一條)哪些是最重要的風(fēng)險(xiǎn)，并試圖阻止它們。

這些都不是風(fēng)險(xiǎn)評(píng)估的新組成部分。它們一直都在，它們是你們?cè)谠u(píng)估風(fēng)險(xiǎn)和考慮控制時(shí)會(huì)想到的。所有這些都表明風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理比表面看上去要困難得多，尤其是和書(shū)本理論相比。當(dāng)你考慮到普通計(jì)算機(jī)安全人員需要擔(dān)心和考慮的所有事情時(shí)，你會(huì)驚奇地發(fā)現(xiàn)，我們?cè)诖蠖鄶?shù)時(shí)候能夠處理好。

本文名稱(chēng)：十個(gè)很少有人談到的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)因素
網(wǎng)站路徑：http://www.bm7419.com/news24/102074.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供服務(wù)器托管、網(wǎng)頁(yè)設(shè)計(jì)公司、網(wǎng)站排名、做網(wǎng)站、標(biāo)簽優(yōu)化、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)