網(wǎng)絡安全風險如今已成企業(yè)風險管理(ERM)過程的重要一環(huán)。信息安全人員應如何談論網(wǎng)絡安全風險并評估其影響?

[[247684]]

評估風險以識別對公司財務健康及市場機會的威脅的過程，即為企業(yè)風險管理(ERM)。ERM項目的目標是了解公司的風險承受能力，歸類并量化之。

審視企業(yè)風險的時候，傳統(tǒng)方法是看金融風險、監(jiān)管風險和運營風險。比如：匯率下降利率升高會有什么影響?新藥能不能獲批?庫存還夠不夠?

想要量化企業(yè)風險，你得考慮進事件的潛在影響并乘以事件發(fā)生的概率。小影響事件即使發(fā)生概率高也影響不了多少公司的整體風險暴露面，大影響事件即便發(fā)生概率低也有可能是災難性的。

網(wǎng)絡安全威脅狀況帶來的風險逐漸成為ERM方程式的一部分，而這給CISO和其他高級安全人員帶來了挑戰(zhàn)。量化網(wǎng)絡安全事件的商業(yè)影響非常困難，就差是個“不可能任務”了，而量化此類事件的發(fā)生概率甚至更難一籌。

企業(yè)風險管理過程

有些公司正在做這事兒。比如說，Aetna公司的企業(yè)風險管理框架中就將網(wǎng)絡安全風險納入了運營風險。這些風險是十分具體而定量的。事實上，ERM系統(tǒng)中會被饋送進日常風險分值。

Aetna首席安全官 Jim Routh 不僅負責這個過程，還是管理公司ERM項目的風險委員會成員。他表示：安全在有效企業(yè)運營風險管理中所占比重越來越大，必須與ERM和危機管理項目緊密配合。

僅僅合規(guī)還不夠，黑客技術的快速進化要求控制措施設計與有效性也隨之發(fā)展。監(jiān)管合規(guī)是基礎，但還不足以達到企業(yè)所需的彈性。

聚焦商業(yè)影響是從另一個角度思考網(wǎng)絡安全，需要與技術性響應網(wǎng)絡安全威脅相異的思維模式。網(wǎng)絡安全曾經(jīng)完全落腳在防止攻擊上，而數(shù)據(jù)泄露要么已經(jīng)發(fā)生，要么根本沒發(fā)生。

現(xiàn)在大多數(shù)公司企業(yè)都認識到網(wǎng)絡安全不是個待解決的問題，而是種需要加以管理的風險。大多數(shù)市場都適應了這種改變，換了全新的思維方式，認為風險生來就能被接受、被緩解或被轉移。

ERM框架

安全語言和風險語言之間總有某種割裂感，讓CSO更難以在企業(yè)風險管理討論中有效履行其職責。實際上，在被問到如何量化特定緩解策略減少的風險時，很多網(wǎng)絡安全專家深感挫敗，轉而指向有關數(shù)據(jù)泄露的媒體報道、NIST和FAIR之類的網(wǎng)絡安全框架，或者運營指標以茲證明。

ERM框架中，“風險”一詞有著特定含義。技術出身的網(wǎng)絡安全主管大多傾向于關注非常戰(zhàn)術性的技術問題而不是底線影響。比如說，如果某漏洞未被修復，就存在攻擊者利用該漏洞盜取數(shù)據(jù)的風險。

然而，從商業(yè)角度描述同樣的問題就可能是：修補該漏洞將會減小特定數(shù)據(jù)庫泄露的概率;如果漏洞持續(xù)暴露，則將會因商業(yè)損失、罰款和修復支出而花費大筆金錢。運用商業(yè)描述，公司就能確定緩解計劃是否有決定性影響，或者風險的降低程度夠不夠大，又或者該數(shù)據(jù)庫夠不夠關鍵，并由此決定要不要把時間和金錢花在別的事情上。

也有專家認為這是不可能做到的，因為沒有計算公式能算出你實現(xiàn)的每個控制措施各自幫你減少了多少風險。

雖然精確量化風險減少值不太可能，但公司企業(yè)可以根據(jù)威脅大小給風險排個優(yōu)先級順序。不按照特定工具或應用來衡量具體的風險改變情況，而是思考如何將公司從高風險狀態(tài)轉移至中度風險狀態(tài)，再改善至低風險狀態(tài)。

不過，沒有哪個網(wǎng)絡安全框架會量化這一做法的經(jīng)濟價值，公司企業(yè)是不會談論降低風險的特殊價值的。

網(wǎng)絡安全人員往往不講底線風險，而是試圖以各種嚇人的“案例”向董事會證明所花預算很值。他們就是在販賣驚懼情緒，而每個人都知道總有許多恐怖的故事可以嚇到自己。

這種販賣恐慌的做法可以歇歇了。網(wǎng)絡安全技術人員應該思考的是應該如何與董事會和高級管理層溝通。他們太過關注那些極客眼中所謂的超酷技術了。技術人員與業(yè)務人員之間缺乏有效溝通。業(yè)務人員理解不了技術問題，技術人員不知道如何證明技術的商業(yè)價值。

于是，CSO面對高管談及預算問題時可能就會尋求新聞頭條作為支撐，比如影響其他公司的重大漏洞之類的，想要以此引入技術細節(jié)并造成某些心理上的影響。讓人去想：又有什么新的事件了嗎?會不會讓我們公司更容易受到攻擊?

即便他們試圖拿出幾個風險相關的數(shù)據(jù)以茲證明，那也是非常主觀的。每個數(shù)字的含義都是在打分的時候編的。這與金融交易不同，金融交易中人們可以計算出欺詐百分比——歷經(jīng)五六十年檢驗的直觀度量標準。

至今似乎還沒有誰解決了網(wǎng)絡安全風險計算的問題。大多數(shù)ERM框架都是圍繞已知問題構建的。但網(wǎng)絡安全風險領域沒有已知風險，每個事件都是前所未有的。你怎么計算前所未見的風險呢?

于是CSO便去關注運營問題了，比如降低成本什么的。在需要評估風險或判斷安全項目效能的時候，他們轉向趣聞軼事尋求支持。比如，塔吉特發(fā)生了數(shù)據(jù)泄露，誰誰誰發(fā)生了數(shù)據(jù)泄露，5千萬用戶信息在Facebook上被曝了……但沒人會說：“這是個價值4000萬美元的風險，我需要1000萬美元來解決。”沒有足夠的數(shù)據(jù)支撐這種計算。

安全人員需要從戰(zhàn)術思維轉變到戰(zhàn)略思維，并與金融精算專家加強合作。IT與財務的結合與協(xié)同可能是個新的學科領域。

網(wǎng)絡安全風險量化是一門不確定的科學

目前而言，精確量化網(wǎng)絡安全風險這件事還為時過早。甚至保險業(yè)巨頭都還沒有廣泛推開網(wǎng)絡保險業(yè)務。確鑿的網(wǎng)絡安全風險值是存在的，人們越來越意識到這些數(shù)據(jù)的重要性，但受董事會認同的靜態(tài)精算數(shù)據(jù)也確實尚未出現(xiàn)。

供應商提供風險得分卡會不會好一點?未必。這種做法很大程度上言過其實了。把自己的得分卡吹得天上有地下無的供應商往往不會談及這樣一個事實：每一次確定風險因素，分類所有資產(chǎn)，并整理歸檔以便饋送進此類系統(tǒng)都是非常費時費力的過程。

人工智能(AI)和機器學習能一定程度上減輕這種負擔，但仍需要人類分析師做出最終決策，而決策工作并不輕松。不過，對有些公司而言，這一努力很值。這些公司已經(jīng)對自身所有業(yè)務單元及數(shù)據(jù)做了排查，識別并記錄了各自的風險等級，能更好地利用自動化報告在單一管理面板上看清自己的風險狀況。只不過，要做到這一步，前期投入的工作量很大，大多數(shù)公司都還沒達到這種程度。

想要產(chǎn)生有用的分數(shù)和衡量標準，公司企業(yè)必須分類包括數(shù)據(jù)在內(nèi)的所有資產(chǎn)，以及這些資產(chǎn)在公司中起到在作用，還有各業(yè)務職能及數(shù)據(jù)的重要程度。只有做完所有這些費時費力的工作，將這所有數(shù)據(jù)集中起來，才可以饋送進你的ERM系統(tǒng)，讓它吃進所有數(shù)據(jù)再吐出一張得分卡給你。

越來越多的CSO被要求進行企業(yè)風險評估，這其中正慢慢發(fā)生一些轉變。雖然風險得分是估測的，也難以獲取正確的數(shù)據(jù)進行正確的評估，但CSO們正在摸索評估的方法。這是業(yè)務部門的人想要看到的現(xiàn)象。

網(wǎng)絡安全確實有些具體的挑戰(zhàn)，比如第三方風險和黑天鵝事件，但其他業(yè)務領域也存在此類挑戰(zhàn)，只不過網(wǎng)絡安全方面不可預測的程度更高些。但網(wǎng)絡安全領域有大量數(shù)據(jù)可用，也有很多公司企業(yè)在關注這一問題。

網(wǎng)絡保險行業(yè)的成長就是人們開始計算網(wǎng)絡安全風險的例證。網(wǎng)絡保險公司相當清楚自己要保險什么，也知道該要求被保人設置哪些安全措施才可以獲得保單。還有供應商可以提供外部風險測評，找出暴露的系統(tǒng);并有評估公司可以進行網(wǎng)絡安全審計。網(wǎng)絡安全風險如今開始從感性認知邁向科學計算了。

如何計算網(wǎng)絡安全事件的影響

商業(yè)影響是網(wǎng)絡安全風險方程的前半部分，也是最簡單的部分，尤其是對大企業(yè)而言。財富500強公司往往都部署了ERM項目。這是個重要起始點。任何成立已久的公司通常都會對網(wǎng)絡安全風險的商業(yè)影響投以關注。

然而，網(wǎng)絡安全方面卻有可能并未設置成熟的模型，CSO需與業(yè)務部門合作推動這一領域的發(fā)展。比如說，聯(lián)邦快遞慣于為圣誕購物狂歡季的爆倉及人手不足風險做好打算。但在2017年6月，一場勒索軟件襲擊造成了約3億美元的損失。這種事是他們之前從未想過的。

受監(jiān)管的行業(yè)有一系列合規(guī)框架可以幫助識別出網(wǎng)絡安全攻擊可能造成影響的領域，比如零售業(yè)的PCI DSS (支付卡行業(yè)數(shù)據(jù)安全標準)、醫(yī)療行業(yè)的HIPAA和適用于金融公司、公開上市公司及政府承包商的各類框架，但這些都只是個最基本的起始點。

以PCI為例，支付卡行業(yè)安全標準委員會注重保護信用卡信息安全。但不涉及數(shù)據(jù)泄露的收銀系統(tǒng)勒索軟件攻擊同樣可能對公司造成重大財務損失。因為沒有數(shù)據(jù)泄露，這不算是PCI事件，但銷售下滑真實發(fā)生了，更別說還有其他諸如公司信譽損失、業(yè)務停滯之類的后續(xù)影響，最終可能導致公司承受巨大的經(jīng)濟打擊。

識別出可能受網(wǎng)絡安全事件影響的關鍵業(yè)務過程是一項重要的工作，但很多公司企業(yè)并沒有做好。太多CSO不夠清楚到底什么才是業(yè)務關鍵的東西。

如何計算網(wǎng)絡安全事件的概率

計算事件潛在影響只是風險方程的前半部分，計算事件發(fā)生概率是風險方程中同樣重要而困難的一個部分。

可以采用由外而內(nèi)的方法來計算事件概率。

計算特定漏洞或其他安全問題損害公司的風險是絕對可能的，但需要公司在觀測和定性上需要一定程度的一致性。

CSO每年至少需與CEO和CTO坐下來商談一次，確定網(wǎng)絡安全事件發(fā)生的概率及影響的風險值。這樣，CSO才可以進行各種計算，將之轉變?yōu)槟芮袑嵔档惋L險得分的具體標準，持續(xù)跟蹤公司整體風險態(tài)勢，為公司采取的風險預防和緩解操作提供更多透明性。

風險計算方程的前半部分——商業(yè)影響，取決于失去數(shù)據(jù)中心或數(shù)據(jù)集等事件給公司帶來的直接和間接損失。于是，要計算事件發(fā)生概率就得納入公開數(shù)據(jù)、內(nèi)部輸入和外部測試。比如說，對數(shù)據(jù)中心而言，公司可以查閱地震和火災發(fā)生頻率等公開信息。

網(wǎng)絡攻擊的數(shù)據(jù)要難找一些，可以求助第三方滲透測試員來判斷公司系統(tǒng)入侵的難易程度——滲透進去的耗時越長，所需技術水平越高，攻擊成功的概率就越低。

控制措施有效性判斷沒有一勞永逸的通用方法，我們只能不斷測試，通過漏洞掃描、紅藍對抗和高級滲透測試等方法持續(xù)評測公司安全措施有效性。

董事會什么時候才能不用擔憂網(wǎng)絡攻擊?

網(wǎng)絡安全風險是個讓公司董事會深感挫敗的問題。

在過去，風險提交到董事會，董事會就會拿出一個方案來解決，然后完事兒。比如說，如果存在火災風險，董事會決定安裝消防噴頭和購買火災保險就好了。此后除非又有什么變動，否則董事會就可以拋開火災問題不談，將精力放到其他問題上。但網(wǎng)絡風險不是這樣的。

網(wǎng)絡風險持續(xù)存在，是個長期議題，該風險領域無限廣闊而多樣。

事實上，不僅網(wǎng)絡威脅不斷進化，技術也在加快滲透進生產(chǎn)生活的各個方面。每家公司如今都是網(wǎng)絡公司，每個業(yè)務過程都要用到網(wǎng)絡。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文