行業(yè)動(dòng)態(tài)

十個(gè)很少有人談到的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)因素

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-10-31    瀏覽次數(shù):
 

信息來源:安全牛

這些風(fēng)險(xiǎn)因素可能不會(huì)出現(xiàn)在官方的風(fēng)險(xiǎn)評(píng)估報(bào)告中,但是每個(gè)安全專家都應(yīng)該考慮這些因素。

傳統(tǒng)的風(fēng)險(xiǎn)管理通常包括對(duì)潛在的威脅和風(fēng)險(xiǎn)進(jìn)行分類,評(píng)估其發(fā)生的可能性,以及估算如果不能減輕它們可能造成的損失。潛在的緩解和控制成本是根據(jù)潛在損失來衡量的。如果減輕措施比風(fēng)險(xiǎn)和威脅發(fā)生的成本更低、實(shí)施效果更好,那么就會(huì)采取相應(yīng)措施。

大家都曾為計(jì)算一個(gè)事件的可能性及其潛在損失而煩惱過。這一過程一直更像是一種最佳猜測(cè),而不是保險(xiǎn)精算表。誰能估計(jì)在某一年一個(gè)復(fù)雜的勒索軟件、DDoS 或內(nèi)部攻擊在他們的組織機(jī)構(gòu)中發(fā)生的概率或者能夠準(zhǔn)確預(yù)測(cè)哪些資產(chǎn)會(huì)受到影響?有人能證明某年的可能性是20%還是 60% 嗎?

我們都在與龐大的估算做斗爭(zhēng),但是還有很多其他因素影響著風(fēng)險(xiǎn)管理。這里有 10 個(gè)很少被公開討論的問題。

1. 應(yīng)對(duì)“可能發(fā)生”的風(fēng)險(xiǎn)

每一次風(fēng)險(xiǎn)評(píng)估都是在應(yīng)對(duì)可能發(fā)生的事情和什么都不做之間進(jìn)行斗爭(zhēng),尤其是在以前從未發(fā)生過的情況下。很多人認(rèn)為什么都不做更省錢,那些為某事而奮斗的人可能會(huì)被認(rèn)為是在浪費(fèi)錢?!盀槭裁匆速M(fèi)錢?那永遠(yuǎn)不過發(fā)生!”

很少有人會(huì)因?yàn)楸3脂F(xiàn)狀和墨守成規(guī)而惹上麻煩。尤其是在涉及大筆資金的情況下,積極采取行動(dòng),要比坐等損失出現(xiàn)并解決問題要困難得多。

以 911 和航空旅途安全舉例。并不是說航空安全專家們?cè)?2001 年 9 月 11 日之前就不知道劫機(jī)者可以通過一把美工刀控制駕駛艙,或?qū)⒈ㄎ锿颠\(yùn)上飛機(jī)。這些風(fēng)險(xiǎn)早在幾十年前就已為人所知。想象一下,如果在 911 事件發(fā)生之前,乘客就被要求扔掉水瓶并接受全身掃描,會(huì)引起公眾多么強(qiáng)烈的抗議。這可能會(huì)激怒公眾,航空公司也會(huì)主動(dòng)去掉這些安全措施。

911 之后,我們很樂意脫掉鞋子,扔掉水瓶,接受全身掃描。獲得資金來應(yīng)對(duì)可能的風(fēng)險(xiǎn)要比在損失發(fā)生后獲得資金困難得多。每當(dāng)風(fēng)險(xiǎn)評(píng)估人員就從未發(fā)生過的問題發(fā)出警告時(shí),都非常需要勇氣。他們是無名英雄。

2. 政治風(fēng)險(xiǎn)

主動(dòng)承擔(dān)風(fēng)險(xiǎn)會(huì)引發(fā)相關(guān)的未知風(fēng)險(xiǎn)之一:政治風(fēng)險(xiǎn)。每當(dāng)積極主動(dòng)的英雄們爭(zhēng)取應(yīng)對(duì)從未發(fā)生的事情時(shí),他們都會(huì)失去一點(diǎn)政治資本。他們只有在他們積極主動(dòng)去應(yīng)對(duì)的事情發(fā)生的時(shí)候才能獲得勝利。如果他們能成功說服公司實(shí)施控制和緩解措施,那么糟糕的事情就永遠(yuǎn)不會(huì)發(fā)生,好吧,它永遠(yuǎn)不會(huì)發(fā)生。

這是一個(gè)悖論。當(dāng)他們勝利的時(shí)候沒有人知道,因?yàn)樗麄兂晒?zhēng)取到了控制。所以,每當(dāng)他們擔(dān)心的事情從未發(fā)生時(shí),他們就會(huì)被視為 “狼來了”。他們失去了政治資本。

任何經(jīng)歷過這些風(fēng)險(xiǎn)管理斗爭(zhēng)的人都可以告訴你,他們不想承擔(dān)太多的挑戰(zhàn)。每一次斗爭(zhēng)都會(huì)給他們的聲譽(yù)帶來一點(diǎn)損害(或很多)。所以,這些戰(zhàn)士們會(huì)計(jì)劃他們想要打哪些仗。隨著時(shí)間的推移,經(jīng)驗(yàn)豐富的戰(zhàn)士會(huì)減少戰(zhàn)斗次數(shù)。他們不得不這么做。適者生存。他們中的很多人只會(huì)等待某一天,當(dāng)一件真正糟糕的事情發(fā)生時(shí),他們沒能為組織機(jī)構(gòu)止損而斗爭(zhēng),而成為了替罪羊。

3. “我們說已經(jīng)做完了,但并不一定”的風(fēng)險(xiǎn)

我們所說的很多控制和緩解措施并沒有真正完成,至少?zèng)]有達(dá)到 100%。很多人在這個(gè)過程中明白事情并沒有真正完成。最常見的例子是打補(bǔ)丁和備份。我知道的大多數(shù)公司都說他們打了 99% 到 100% 的補(bǔ)丁。在本文作者 30 多年的職業(yè)生涯中,檢查了數(shù)百萬臺(tái)設(shè)備的打補(bǔ)丁狀況,但從來沒有發(fā)現(xiàn)一個(gè)設(shè)備是安裝了所有補(bǔ)丁的。然而審計(jì)過的每家公司都會(huì)說,他們已經(jīng)安裝了所有的補(bǔ)丁,或者接近完成了。

備份也是如此。當(dāng)前勒索軟件的泛濫暴露了大多數(shù)組織機(jī)構(gòu)并沒有做好備份。盡管大多數(shù)組織機(jī)構(gòu)和他們的審計(jì)人員多年來都在檢查是否已經(jīng)完成了關(guān)鍵備份,并定期進(jìn)行測(cè)試,但只要一次大型勒索軟件攻擊就能顯示出真相是多么的不同。

風(fēng)險(xiǎn)管理領(lǐng)域的每個(gè)人都知道這一點(diǎn)。在沒有時(shí)間和資源的情況下,負(fù)責(zé)備份的人如何能夠測(cè)試所有內(nèi)容呢?要測(cè)試備份和恢復(fù)是否可以工作,你必須對(duì)很多不同的系統(tǒng)進(jìn)行恢復(fù)測(cè)試,并將其同時(shí)放到必須工作的單獨(dú)環(huán)境中(即使所有資源都指向原始環(huán)境)。這需要投入大量的人力、時(shí)間和其他資源,而大多數(shù)組織機(jī)構(gòu)都不會(huì)給負(fù)責(zé)人這些承諾。

4. 制度化的風(fēng)險(xiǎn):“一直都是這么做的”

很難反駁 “我們一直都是這么做的”,尤其是在幾十年都沒有發(fā)生針對(duì)弱點(diǎn)的攻擊的情況下。例如,我經(jīng)常遇到允許密碼為 6 個(gè)字符且從不修改的組織機(jī)構(gòu)。有時(shí)是因?yàn)镻C網(wǎng)絡(luò)的密碼必須與連接到公司所依賴的一些古老的 “大家伙” 系統(tǒng)的密碼相同。每個(gè)人可能都知道,6 個(gè)字符且不變的密碼不是一個(gè)好主意,但這從來不會(huì)造成任何問題。

如果你認(rèn)為所有東西都需要升級(jí),以支持更長(zhǎng)的、更復(fù)雜的密碼(可能要花費(fèi)數(shù)百萬美元),那么制度化的“智慧”是不利于你的,而大多數(shù)人在組織機(jī)構(gòu)中的時(shí)間比你長(zhǎng)得多。

5. 業(yè)務(wù)中斷的風(fēng)險(xiǎn)

你所實(shí)施的每個(gè)控制和緩解措施都可能導(dǎo)致運(yùn)營(yíng)問題。而且甚至可能會(huì)中斷運(yùn)營(yíng)。你更有可能因?yàn)檫\(yùn)營(yíng)意外中斷而被解雇,而不是提前預(yù)防了一些理論上的風(fēng)險(xiǎn)。對(duì)于你推動(dòng)的每一項(xiàng)控制和緩解措施,你都要考慮是否會(huì)導(dǎo)致潛在的運(yùn)營(yíng)中斷。

控制越徹底,就越有可能減少其所抵御的威脅帶來的風(fēng)險(xiǎn),但你會(huì)更懷疑是否可以在不中斷運(yùn)營(yíng)的情況下做到這一點(diǎn)。如果在不造成運(yùn)營(yíng)中斷的情況下降低風(fēng)險(xiǎn)是容易的一件事情,那么每個(gè)人都會(huì)這么做。

6. 員工不滿的風(fēng)險(xiǎn)

沒有哪個(gè)風(fēng)險(xiǎn)經(jīng)理想讓員工生氣。如果你想要這種情況發(fā)生,就限制他們可以訪問的 Internet 地址和他們?cè)谟?jì)算機(jī)上的操作。70% 到 90% 的惡意數(shù)據(jù)泄露(通過網(wǎng)絡(luò)釣魚和社會(huì)工程)都是由終端用戶造成的。你不能相信終端用戶能靠直覺保護(hù)組織機(jī)構(gòu)。

然而,僅僅限制終端用戶操作,比如只允許預(yù)先批準(zhǔn)的程序運(yùn)行,或者限制他們對(duì)互聯(lián)網(wǎng)的訪問和操作,就會(huì)遭到大多數(shù)員工的反對(duì)。勞動(dòng)力市場(chǎng)供不應(yīng)求。每個(gè)公司都在努力爭(zhēng)取優(yōu)秀的員工,他們不想被告知他們不能在“他們的”電腦上做任何他們想做的事情。你鎖定的太多,他們可能會(huì)去別的地方工作。

7. 客戶不滿意的風(fēng)險(xiǎn)

沒有人愿意實(shí)施一項(xiàng)讓客戶失望的政策或程序。沮喪的顧客會(huì)變成其他公司的快樂顧客。例如,與阻止欺詐相比,信用卡公司更關(guān)心的是意外拒絕合法客戶的合法交易。他們關(guān)心欺詐,但他們認(rèn)為這是一種長(zhǎng)期行為。那些使信用卡交易更準(zhǔn)確的承包商和公司向信用卡公司出售他們的服務(wù),說明他們?nèi)绾螠p少拒絕合法交易的情況。一年內(nèi)有兩次交易被意外拒絕的顧客將會(huì)使用其他銀行的信用卡。

這也是為什么在美國(guó)你不需要使用帶有 PIN 碼的芯片卡。世界其他地方需要芯片和 PIN 碼,這是目前為止更安全的選擇。美國(guó)是怎么做到的呢?因?yàn)?PIN 碼和芯片卡進(jìn)入美國(guó)的時(shí)間相對(duì)較晚,商戶和客戶剛剛習(xí)慣刷卡。要求人們插入卡片以正確讀取芯片將會(huì)使一小部分交易失敗,并使一些客戶不滿。

8. 前沿風(fēng)險(xiǎn)

站在最前面的人容易被當(dāng)成炮灰。沒有人愿意站在矛尖上。早期采用者很少會(huì)因?yàn)樾袆?dòng)早而得到獎(jiǎng)勵(lì)。他們往往會(huì)成為經(jīng)驗(yàn)教訓(xùn),有益于后人采用改進(jìn)的策略。

兩年前,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (US National Standards and Technology, NIST) 表示,其長(zhǎng)期以來要求使用長(zhǎng)而復(fù)雜密碼并定期更換的密碼策略,導(dǎo)致的黑客攻擊要比其阻止的多。其新的《數(shù)字身份指南》,NIST 特別出版物 800-63-3 (NIST Special Publication 800-63-3),表示密碼可以是簡(jiǎn)短的,不復(fù)雜的,并且除非你知道密碼已經(jīng)被泄露,那你永遠(yuǎn)不會(huì)被強(qiáng)制修改密碼。與先前被認(rèn)為是教條的建議相比,這是一個(gè) 180 度的大轉(zhuǎn)變。

從那以后,沒有任何合規(guī)指南或監(jiān)管法律得到更新,表明采納新建議是可取的或合法的,也沒有見到或聽說任何公司采用了新策略。這可能是一件好事,因?yàn)槿绻愀淖兞四愕牟呗?,并因此而遭到攻擊,即?NIST 說這是正確的做法,人們也會(huì)指責(zé)你,問你為什么這樣做。等待大群體轉(zhuǎn)向新的密碼策略要安全得多,看看他們是對(duì)的還是錯(cuò)的。

9. 滯后風(fēng)險(xiǎn)

你總是在與已經(jīng)發(fā)生在其他人(或你的組織機(jī)構(gòu))身上的風(fēng)險(xiǎn)作斗爭(zhēng)。你等著看黑客有什么花招,然后建立緩解和控制措施,以對(duì)抗這些新的風(fēng)險(xiǎn)。必須先等黑客出招,就造成了從發(fā)現(xiàn)新的惡意行為到評(píng)估新技術(shù)、考慮新控制并實(shí)施中間的時(shí)間差。在觀望中,你總是會(huì)落后。

10. “不可能事事正確”的風(fēng)險(xiǎn)

去年公布了超過 16555 個(gè)新漏洞。已知有超過 1 億個(gè)獨(dú)特的惡意軟件程序。從民族國(guó)家黑客到金融竊賊,再到腳本小子,他們都試圖入侵你的組織機(jī)構(gòu)。你要擔(dān)心的事情太多了。除非有人給你無限的金錢、時(shí)間和資源,否則你無法抵御這一切。你所能做的就是猜測(cè)(見第一條)哪些是最重要的風(fēng)險(xiǎn),并試圖阻止它們。

這些都不是風(fēng)險(xiǎn)評(píng)估的新組成部分。它們一直都在,它們是你們?cè)谠u(píng)估風(fēng)險(xiǎn)和考慮控制時(shí)會(huì)想到的。所有這些都表明風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理比表面看上去要困難得多,尤其是和書本理論相比。當(dāng)你考慮到普通計(jì)算機(jī)安全人員需要擔(dān)心和考慮的所有事情時(shí),你會(huì)驚奇地發(fā)現(xiàn),我們?cè)诖蠖鄶?shù)時(shí)候能夠處理好。

 
 

上一篇:11新規(guī)即將施行!網(wǎng)絡(luò)平臺(tái)泄露用戶信息500條以上可入罪

下一篇:2019年10月31日 聚銘安全速遞