安全債務(wù)常深藏在公司的IT架構(gòu)、遺留代碼、第三方庫(kù)，甚至某些商業(yè)模型仰賴的基本經(jīng)濟(jì)原則中。

[[245728]]

無(wú)論是DDoS攻擊沖垮公司網(wǎng)絡(luò)，勒索軟件劫持重要文件，還是員工無(wú)心之失導(dǎo)致敏感客戶數(shù)據(jù)泄露，IT安全團(tuán)隊(duì)總是處在防御一方。

過(guò)去兩年間，公司企業(yè)遭受的網(wǎng)絡(luò)攻擊數(shù)量翻了一倍，未來(lái)兩年里預(yù)期還能再翻番。

眼下這么嚴(yán)峻的形勢(shì)，安全主管很難有機(jī)會(huì)盤點(diǎn)全局并拿出解決問(wèn)題的戰(zhàn)略方針，與公司高層和業(yè)務(wù)部門溝通更是難上加難。

但從金融領(lǐng)域借鑒經(jīng)驗(yàn)，將安全取舍視作需兌現(xiàn)的債券，卻可以更好地與業(yè)務(wù)部門溝通，進(jìn)而恰當(dāng)?shù)乇Ｗo(hù)公司免遭網(wǎng)絡(luò)威脅侵害。

技術(shù)債

“技術(shù)債”這個(gè)詞是美國(guó)軟件先鋒 Ward Cunningham 提出的，他聲稱“代碼中的某些問(wèn)題就像金融債券。透支未來(lái)也未嘗不可，只要你能償還得起。”

基本上，選擇簡(jiǎn)單快速的方式將不可避免地給企業(yè)造成未來(lái)的負(fù)擔(dān)，而一開始代價(jià)相對(duì)高昂的周全選項(xiàng)則會(huì)跑贏長(zhǎng)期指標(biāo)。

技術(shù)債的例子常見(jiàn)于想利用最新數(shù)字技術(shù)的公司企業(yè)，滿足于“還行”的IT安全規(guī)定，以至于隨后遭遇網(wǎng)絡(luò)攻擊，致使損失慘重。

技術(shù)債欠下時(shí)間越久，解決原始投資短板的利息就越高。

Equifax、Uber、雅虎和TalkTalk等公司遭遇的重大數(shù)據(jù)泄露，不僅打擊了公司聲譽(yù)，也沖擊了它們的底線。事實(shí)上，最近的研究揭示，2017年數(shù)據(jù)泄露所致?lián)p失超200億英鎊，而其中絕大部分本可以通過(guò)更好地理解并管理公司企業(yè)的安全債而規(guī)避掉。

驚人的相似性

現(xiàn)代安全債十分復(fù)雜。與其金融領(lǐng)域的對(duì)應(yīng)物類似，安全債難以被發(fā)現(xiàn)，往往深藏在公司IT架構(gòu)、遺留代碼、第三方庫(kù)，甚至某些商業(yè)模型仰賴的基本經(jīng)濟(jì)原則中。有時(shí)候，這種復(fù)雜性會(huì)達(dá)到普通公司企業(yè)無(wú)法完全確定其相互依賴關(guān)系的程度。

2008年金融危機(jī)就是由這種復(fù)雜性引發(fā)的，詳情可參考何謂次債危機(jī)。說(shuō)白了也就是債務(wù)的重售、捆綁和再重售導(dǎo)致無(wú)人確知原始債務(wù)出處，債務(wù)風(fēng)險(xiǎn)不可知。最終，到美國(guó)房地產(chǎn)市場(chǎng)開始崩潰的時(shí)候，用以保護(hù)市場(chǎng)的經(jīng)濟(jì)模型也失效了。

經(jīng)年累積的安全債和粗陋的風(fēng)險(xiǎn)評(píng)估會(huì)不會(huì)導(dǎo)致IT安全領(lǐng)域的類似情況，或許值得仔細(xì)思考一番。

比如說(shuō)，我們是不是在以無(wú)法清償?shù)乃俣冉栀J安全債?安全債如今是否復(fù)雜到?jīng)]人能夠確定到底誰(shuí)是誰(shuí)的債主了?有沒(méi)有可能一場(chǎng)災(zāi)難性網(wǎng)絡(luò)攻擊就導(dǎo)致安全債市場(chǎng)崩潰，監(jiān)管接入，公司破產(chǎn)?

雖然現(xiàn)在還不太可能崩潰，但仍值得思考金融行業(yè)與IT行業(yè)之間的相似性。

貨幣價(jià)值

理解和評(píng)估技術(shù)債很重要。安全專家 Dana Geer 和 Gunnar Peterson 的一篇論文就建議使用“安全邊際”算法，將公司IT資產(chǎn)的“票面價(jià)值”與用以保護(hù)這些資產(chǎn)的安全控制及服務(wù)做比較，確定出公司的技術(shù)負(fù)債率/安全負(fù)債率。該比率可應(yīng)用于其成本結(jié)構(gòu)以獲得實(shí)際貨幣價(jià)值，利息也可以“標(biāo)準(zhǔn)”利率為基線用風(fēng)險(xiǎn)管理語(yǔ)言確定出來(lái)。

但最重要的是要認(rèn)識(shí)到，安全債會(huì)隨時(shí)間累積利息，變成不可承受之重，所以最好早點(diǎn)償清。最壞情況下，潛在的安全債也能最終導(dǎo)致公司破產(chǎn)。與其面對(duì)強(qiáng)制償還，不如先弄清公司當(dāng)前的安全債，制訂出償債路線圖，比如投資托管服務(wù)或購(gòu)買安全保險(xiǎn)。

技術(shù)債或安全債的概念可能很大程度上只是理論上的，但若加以適當(dāng)考慮，也許會(huì)引起多個(gè)行業(yè)網(wǎng)絡(luò)安全管理方式上的整體改變。透過(guò)金融視角觀察安全債，IT主管們將找出更有效的風(fēng)險(xiǎn)管理方法，在不斷進(jìn)化的網(wǎng)絡(luò)威脅態(tài)勢(shì)中砥礪前行。

Dan Geer 和 Gunnar Peterson 的論文：https://www.usenix.org/system/files/login/articles/12_geer.pdf

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文