网络安全风险如今已成企业风险管理(ERM)过程的重要一环。信息安全人员应如何谈论网络安全风险并评估其影响?
评估风险以识别对公司财务健康及市场机会的威胁的过程,即为企业风险管理(ERM)。ERM项目的目标是了解公司的风险承受能力,归类并量化之。
审视企业风险的时候,传统方法是看金融风险、监管风险和运营风险。比如:汇率下降利率升高会有什么影响?新药能不能获批?库存还够不够?
想要量化企业风险,你得考虑进事件的潜在影响并乘以事件发生的概率。小影响事件即使发生概率高也影响不了多少公司的整体风险暴露面,大影响事件即便发生概率低也有可能是灾难性的。
网络安全威胁状况带来的风险逐渐成为ERM方程式的一部分,而这给CISO和其他高级安全人员带来了挑战。量化网络安全事件的商业影响非常困难,就差是个“不可能任务”了,而量化此类事件的发生概率甚至更难一筹。
企业风险管理过程
有些公司正在做这事儿。比如说,Aetna公司的企业风险管理框架中就将网络安全风险纳入了运营风险。这些风险是十分具体而定量的。事实上,ERM系统中会被馈送进日常风险分值。
Aetna首席安全官 Jim Routh 不仅负责这个过程,还是管理公司ERM项目的风险委员会成员。他表示:安全在有效企业运营风险管理中所占比重越来越大,必须与ERM和危机管理项目紧密配合。
仅仅合规还不够,黑客技术的快速进化要求控制措施设计与有效性也随之发展。监管合规是基础,但还不足以达到企业所需的弹性。
聚焦商业影响是从另一个角度思考网络安全,需要与技术性响应网络安全威胁相异的思维模式。网络安全曾经完全落脚在防止攻击上,而数据泄露要么已经发生,要么根本没发生。
现在大多数公司企业都认识到网络安全不是个待解决的问题,而是种需要加以管理的风险。大多数市场都适应了这种改变,换了全新的思维方式,认为风险生来就能被接受、被缓解或被转移。
ERM框架
安全语言和风险语言之间总有某种割裂感,让CSO更难以在企业风险管理讨论中有效履行其职责。实际上,在被问到如何量化特定缓解策略减少的风险时,很多网络安全专家深感挫败,转而指向有关数据泄露的媒体报道、NIST和FAIR之类的网络安全框架,或者运营指标以兹证明。
ERM框架中,“风险”一词有着特定含义。技术出身的网络安全主管大多倾向于关注非常战术性的技术问题而不是底线影响。比如说,如果某漏洞未被修复,就存在攻击者利用该漏洞盗取数据的风险。
然而,从商业角度描述同样的问题就可能是:修补该漏洞将会减小特定数据库泄露的概率;如果漏洞持续暴露,则将会因商业损失、罚款和修复支出而花费大笔金钱。运用商业描述,公司就能确定缓解计划是否有决定性影响,或者风险的降低程度够不够大,又或者该数据库够不够关键,并由此决定要不要把时间和金钱花在别的事情上。
也有专家认为这是不可能做到的,因为没有计算公式能算出你实现的每个控制措施各自帮你减少了多少风险。
虽然精确量化风险减少值不太可能,但公司企业可以根据威胁大小给风险排个优先级顺序。不按照特定工具或应用来衡量具体的风险改变情况,而是思考如何将公司从高风险状态转移至中度风险状态,再改善至低风险状态。
不过,没有哪个网络安全框架会量化这一做法的经济价值,公司企业是不会谈论降低风险的特殊价值的。
网络安全人员往往不讲底线风险,而是试图以各种吓人的“案例”向董事会证明所花预算很值。他们就是在贩卖惊惧情绪,而每个人都知道总有许多恐怖的故事可以吓到自己。
这种贩卖恐慌的做法可以歇歇了。网络安全技术人员应该思考的是应该如何与董事会和高级管理层沟通。他们太过关注那些极客眼中所谓的超酷技术了。技术人员与业务人员之间缺乏有效沟通。业务人员理解不了技术问题,技术人员不知道如何证明技术的商业价值。
于是,CSO面对高管谈及预算问题时可能就会寻求新闻头条作为支撑,比如影响其他公司的重大漏洞之类的,想要以此引入技术细节并造成某些心理上的影响。让人去想:又有什么新的事件了吗?会不会让我们公司更容易受到攻击?
即便他们试图拿出几个风险相关的数据以兹证明,那也是非常主观的。每个数字的含义都是在打分的时候编的。这与金融交易不同,金融交易中人们可以计算出欺诈百分比——历经五六十年检验的直观度量标准。
至今似乎还没有谁解决了网络安全风险计算的问题。大多数ERM框架都是围绕已知问题构建的。但网络安全风险领域没有已知风险,每个事件都是前所未有的。你怎么计算前所未见的风险呢?
于是CSO便去关注运营问题了,比如降低成本什么的。在需要评估风险或判断安全项目效能的时候,他们转向趣闻轶事寻求支持。比如,塔吉特发生了数据泄露,谁谁谁发生了数据泄露,5千万用户信息在Facebook上被曝了……但没人会说:“这是个价值4000万美元的风险,我需要1000万美元来解决。”没有足够的数据支撑这种计算。
安全人员需要从战术思维转变到战略思维,并与金融精算专家加强合作。IT与财务的结合与协同可能是个新的学科领域。
网络安全风险量化是一门不确定的科学
目前而言,精确量化网络安全风险这件事还为时过早。甚至保险业巨头都还没有广泛推开网络保险业务。确凿的网络安全风险值是存在的,人们越来越意识到这些数据的重要性,但受董事会认同的静态精算数据也确实尚未出现。
供应商提供风险得分卡会不会好一点?未必。这种做法很大程度上言过其实了。把自己的得分卡吹得天上有地下无的供应商往往不会谈及这样一个事实:每一次确定风险因素,分类所有资产,并整理归档以便馈送进此类系统都是非常费时费力的过程。
人工智能(AI)和机器学习能一定程度上减轻这种负担,但仍需要人类分析师做出最终决策,而决策工作并不轻松。不过,对有些公司而言,这一努力很值。这些公司已经对自身所有业务单元及数据做了排查,识别并记录了各自的风险等级,能更好地利用自动化报告在单一管理面板上看清自己的风险状况。只不过,要做到这一步,前期投入的工作量很大,大多数公司都还没达到这种程度。
想要产生有用的分数和衡量标准,公司企业必须分类包括数据在内的所有资产,以及这些资产在公司中起到在作用,还有各业务职能及数据的重要程度。只有做完所有这些费时费力的工作,将这所有数据集中起来,才可以馈送进你的ERM系统,让它吃进所有数据再吐出一张得分卡给你。
越来越多的CSO被要求进行企业风险评估,这其中正慢慢发生一些转变。虽然风险得分是估测的,也难以获取正确的数据进行正确的评估,但CSO们正在摸索评估的方法。这是业务部门的人想要看到的现象。
网络安全确实有些具体的挑战,比如第三方风险和黑天鹅事件,但其他业务领域也存在此类挑战,只不过网络安全方面不可预测的程度更高些。但网络安全领域有大量数据可用,也有很多公司企业在关注这一问题。
网络保险行业的成长就是人们开始计算网络安全风险的例证。网络保险公司相当清楚自己要保险什么,也知道该要求被保人设置哪些安全措施才可以获得保单。还有供应商可以提供外部风险测评,找出暴露的系统;并有评估公司可以进行网络安全审计。网络安全风险如今开始从感性认知迈向科学计算了。
如何计算网络安全事件的影响
商业影响是网络安全风险方程的前半部分,也是最简单的部分,尤其是对大企业而言。财富500强公司往往都部署了ERM项目。这是个重要起始点。任何成立已久的公司通常都会对网络安全风险的商业影响投以关注。
然而,网络安全方面却有可能并未设置成熟的模型,CSO需与业务部门合作推动这一领域的发展。比如说,联邦快递惯于为圣诞购物狂欢季的爆仓及人手不足风险做好打算。但在2017年6月,一场勒索软件袭击造成了约3亿美元的损失。这种事是他们之前从未想过的。
受监管的行业有一系列合规框架可以帮助识别出网络安全攻击可能造成影响的领域,比如零售业的PCI DSS (支付卡行业数据安全标准)、医疗行业的HIPAA和适用于金融公司、公开上市公司及政府承包商的各类框架,但这些都只是个最基本的起始点。
以PCI为例,支付卡行业安全标准委员会注重保护信用卡信息安全。但不涉及数据泄露的收银系统勒索软件攻击同样可能对公司造成重大财务损失。因为没有数据泄露,这不算是PCI事件,但销售下滑真实发生了,更别说还有其他诸如公司信誉损失、业务停滞之类的后续影响,最终可能导致公司承受巨大的经济打击。
识别出可能受网络安全事件影响的关键业务过程是一项重要的工作,但很多公司企业并没有做好。太多CSO不够清楚到底什么才是业务关键的东西。
如何计算网络安全事件的概率
计算事件潜在影响只是风险方程的前半部分,计算事件发生概率是风险方程中同样重要而困难的一个部分。
可以采用由外而内的方法来计算事件概率。
计算特定漏洞或其他安全问题损害公司的风险是绝对可能的,但需要公司在观测和定性上需要一定程度的一致性。
CSO每年至少需与CEO和CTO坐下来商谈一次,确定网络安全事件发生的概率及影响的风险值。这样,CSO才可以进行各种计算,将之转变为能切实降低风险得分的具体标准,持续跟踪公司整体风险态势,为公司采取的风险预防和缓解操作提供更多透明性。
风险计算方程的前半部分——商业影响,取决于失去数据中心或数据集等事件给公司带来的直接和间接损失。于是,要计算事件发生概率就得纳入公开数据、内部输入和外部测试。比如说,对数据中心而言,公司可以查阅地震和火灾发生频率等公开信息。
网络攻击的数据要难找一些,可以求助第三方渗透测试员来判断公司系统入侵的难易程度——渗透进去的耗时越长,所需技术水平越高,攻击成功的概率就越低。
控制措施有效性判断没有一劳永逸的通用方法,我们只能不断测试,通过漏洞扫描、红蓝对抗和高级渗透测试等方法持续评测公司安全措施有效性。
董事会什么时候才能不用担忧网络攻击?
网络安全风险是个让公司董事会深感挫败的问题。
在过去,风险提交到董事会,董事会就会拿出一个方案来解决,然后完事儿。比如说,如果存在火灾风险,董事会决定安装消防喷头和购买火灾保险就好了。此后除非又有什么变动,否则董事会就可以抛开火灾问题不谈,将精力放到其他问题上。但网络风险不是这样的。
网络风险持续存在,是个长期议题,该风险领域无限广阔而多样。
事实上,不仅网络威胁不断进化,技术也在加快渗透进生产生活的各个方面。每家公司如今都是网络公司,每个业务过程都要用到网络。