|
|
51CTO旗下网站
|
|
移步端
创造专栏

十个很少有人谈到的网络安全风险因素

咱们都在与庞大之估计做艰苦奋斗,但是还有好多其他因素影响着风险管理。此地有 10 个很少被公开讨论的题材。

笔者:i2| 2019-10-30 12:24

该署风险因素可能不会出现在法定的风险评估报告中,但是每个安全专家都应当考虑这些要素。

风的风险管理通常包括对潜在的威慑和高风险进行分类,评估其发生之可能,以及估算如果未能减轻它们可能造成的损失。地下的缓解和掌握成本是根据潜在损失来衡量的。如果减轻措施比风险和威胁发生之资金更低、实行效果更好,这就是说就会利用相应措施。

大家都曾为计算一下事件的可能及其潜在损失而烦恼过。这一过程一直更像是一种最佳猜测,而不是保险精算表。哪个能估计在某一年一个复杂的勒索软件、DDoS 或内部攻击在她们的团队机关中发生之概率或者能够准确预测哪些资产会受到影响?有人能证明某年的可能是20%还是 60% 吗?

咱们都在与庞大之估计做艰苦奋斗,但是还有好多其他因素影响着风险管理。此地有 10 个很少被公开讨论的题材。

1. 应对“可能发生”的风险

每一次风险评估都是在回答可能发生之作业和什么都不做之间展开斗争,尤其是在此前从未发生过的情况下。有的是人口觉得什么都不做更省钱,该署为某事而努力的人数可能会被认为是在浪费钱。“为什么要浪费钱?那永远不过发生!”

很少有人会因为保持现状和封建而惹上劳动。尤其是在涉及大笔资金的情况下,再接再厉利用行动,要比坐等损失出现并解决问题要困难得多。

以 911 和航空旅途安全举例。并不是说航空安全专家们在 2001 年 9 月 11 日之前就不知晓劫机者可以通过一把美工刀控制驾驶舱,或将爆炸物偷运上飞机。该署风险早在几十年前就已为人口所知。想象一下,如果在 911 事件发生之前,乘客就把要求扔掉水瓶并接收全身扫描,会引起公众多么强烈的对抗。这可能会激怒公众,股份公司也会积极去掉这些安全措施。

911 后,咱们很乐意脱掉鞋子,扔掉水瓶,接到全身扫描。拥有资金来回答可能的风险要比在损失发生之后获得资金困难得多。每当风险评估人员就下未发生过的题材发出警告时,都特别需要胆量。她们是英雄汉。

2. 党政风险

再接再厉承担风险会引发相关的未知风险之一:党政风险。每当积极主动的勇敢们争取应对从未发生之作业时,她们都会失去一些政治资本。她们只有在她们再接再厉主动去应对的作业发生之时节才能获得胜利。如果他们能得逞说服公司实施控制和轻松措施,这就是说糟糕的作业就永远不会发生,好吧,他永远不会发生。

这是一番悖论。顶他俩胜利之时节没有人知道,因为他们成功争取到了掌握。故此,每当他们担心的作业从未发生时,她们就会把视为 “狼来了”。她们失去了党政资本。

其它经历过那些风险管理斗争的人数都得以告诉你,她们不想承担太多的挑战。每一次斗争都会送她们的名誉带来一点损害(或很多)。故此,该署战士们会计划他们想要打哪些仗。随着岁月之延期,经历丰富的精兵会减少战斗次数。她们不得不这么做。适者生存。她们中的很多人口只会等待某一天,顶一件真正糟糕的作业发生时,她们没能为集体机关止损而努力,而变成了替罪羊。

3. “咱们说已经做完了,但并不一定”的风险

咱们所说的许多左右和轻松措施并没有实际形成,至少没有达到 100%。有的是人口在这个过程中了解事情并没有实际形成。最广泛的例证是打补丁和维修。我明白的绝大多数商店都说他们打了 99% 到 100% 的补丁。在本文作者 30 连年之生意生涯中,检查了底数百万台设备的打补丁状况,但从来没有意识一个设备是安装了方方面面补丁的。然而审计过的每家公司都会说,她们已经安装了方方面面的补丁,或者接近完成了。

备份也是如此。眼前勒索软件的泛滥暴露了大多数组织机关并没有做好备份。尽管大多数组织机关和她们的审批人员日前都在检查是否已经形成了主要备份,并定期进行测试,但只要一次大型勒索软件攻击就能显示出真相是多么的不同。

风险管理领域的每股人都晓得这一点。在没有工夫和自然资源之情况下,承担备份的人数如何能够测试所有内容呢?要测试备份和恢复是否可以工作,你不能不对许多不同之体系开展恢复高考,并将他同时放开必须工作之单独环境中(即使全部资源都指向原始环境)。这需要投入大量之人数力、时光和任何资源,而大多数组织机关都不会给负责人这些承诺。

4. 电气化的风险:“一直都是这么做的”

很难反驳 “咱们一直都是这么做的”,尤其是在几十年都没有发生针对弱点的攻击的情况下。例如,我经常遇到允许密码为 6 个字符且从不修改的团队机关。有时是因为PC网络的密码必须与连接到合作社所依赖的组成部分古老的 “大家伙” 系统之密码相同。每个人可能都晓得,6 个字符且不变的密码不是一番好主意,但这从来不会造成任何问题。

如果你觉得凡事东西都要求升级,以支持更长的、更复杂的密码(可能要花费数百万港币),这就是说制度化的“聪慧”是事与愿违于你的,而大多数人口在集体机关中的时间比你长得多。

5. 工作中断的风险

你所推行的每股控制和轻松措施都可能导致运营问题。而且甚至可能会中断运营。你更有可能因为运营意外中断而把解雇,而不是提前预防了部分理论上的风险。对于你推动的每一项控制和轻松措施,你都要考虑是否会导致潜在的营业中断。

控制越彻底,就越有可能减少其所抵御的威慑带来的风险,但你会更怀疑是否可以在不间歇运营的情况下做到这一点。如果在不造成运营中断的情况下降低风险是不难的一件事情,这就是说每个人都会这么做。

6. 职工不满的风险

没有谁风险经理想让职工生气。如果你想要这种情景发生,就限制他们可以访问的 Internet 地点和她们在计算机上的借鉴。70% 到 90% 的恶意数据泄露(穿过网络钓鱼和社会工程)都是由终端用户造成的。你不能相信终端用户能靠直觉保护组织机关。

然而,仅仅限制终端用户操作,比如只同意预先批准的顺序运行,或者限制他们对互联网的走访和借鉴,就会遭到大多数职工的反对。劳动力市场供不应求。每个企业都在斗争争取优秀的职工,她们不想被告知他们不能在“她们的”微机上做其他他们想做的作业。你锁定的太多,她们可能会去别的地方工作。

7. 我家不令人满意的风险

没有人愿意实施一项让用户失望的策略或程序。沮丧的消费者会成为其他企业的欣喜顾客。例如,与阻止欺诈相比,贺卡公司更关心的是意外拒绝合法客户的法定交易。她们关心欺诈,但他们觉得这是一种长期行为。该署使信用卡交易更准确的制造商和商社向信用卡公司出售他们的劳务,表明他们如何减少拒绝合法交易的状况。一年内有两次交易被意外拒绝的消费者将会使用任何银行的贺年卡。

这也是为什么在塞尔维亚你不需要采取带有 PIN 码的芯片卡。世界任何各州需要芯片和 PIN 码,这是现阶段结束更安全的取舍。尼日尔是怎么做到的呢?因为 PIN 码和芯片卡进入日本的年华相对较晚,贾和用户刚刚习惯刷卡。渴求人们插入卡片以科学读取芯片将会使一小部分交易失败,并行使部分用户不满。

8. 前线风险

站在最前面的人数不难把当成炮灰。没有人愿意站在矛尖上。最初利用者很少会因为行动早而得到奖励。她们往往会变成经验教训,有益于后人采用改进的方针。

两年前,尼日尔国家标准与艺术研究院 (US National Standards and Technology, NIST) 表示,他长期以来要求采取长而复杂密码并定期更换的密码策略,导致的黑客攻击要比他阻止的多。他新的《数字身份指南》,NIST 特别出版物 800-63-3 (NIST Special Publication 800-63-3),表示密码可以是简单的,不复杂的,并且除非你知道密码已经把泄露,那你永远不会把强制修改密码。与事先把认为是形而上学的提议相比,这是一番 180 度的大变化。

副那以后,没有其他合规指南或监管法律得到更新,表明采纳新建议是长项的或合法的,也没有看到或听说任何企业采取了新策略。这可能是一件好事,因为如果你改变了你的方针,并因此而遭到抨击,即使 NIST 说这是科学的作法,人人也会指责你,问你为什么这样做。等待大群体转向新的密码策略要安全得多,探望他们是对的还是错的。

9. 落后风险

你总是在与已经发生在其他人(或你的团队机关)身上的风险作努力。你等着看黑客有什么花招,下一场建立缓解和掌握措施,以对抗这些新的风险。必须先等黑客出招,就造成了从意识新的恶意行为到评估新技术、考虑新控制并实行中间的逆差。在观望中,你总是会落下。

10. “不可能事事正确”的风险

去年发布了超过 16555 个新漏洞。已知有超过 1 京个非常之恶意软件程序。副中华民族国家黑客到国民经济窃贼,再到脚本小子,她们都试图入侵你的团队机关。你要担心的作业太多了。除非有人给你无限的资金、时光和自然资源,否则你无法抗拒这一切。你所能做的就是猜测(见第一枝)哪些是最重要的风险,并准备阻止它们。

该署都不是风险评估的新组成部分。它们一直都在,它们是你们在评估风险和设想控制时会想到的。整整这些都说明风险评估和高风险管理比表面看上去要困难得多,尤其是和书籍理论相比。顶你考虑到普通计算机安全人员要求担心和设想的一切工作时,你会惊奇地意识,咱们在大部分时候能够处理好。

【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,瞧该作者更多好文

【编纂推荐】

  1. 网络安全领域20种特别差劲指标
  2. 合规指令:基本 2019 安全第一的网络安全较佳实践
【义务编辑: 赵宁宁 TEL:(010)68476606】

点赞 0
  • 网络安全  安全风险  网络攻击
  • 分享:
    大家都在看
    猜你喜欢