2021-02-20 分類: 網站建設
這些風險因素可能不會出現在官方的風險評估報告中,但是每個安全專家都應該考慮這些因素。
傳統的風險管理通常包括對潛在的威脅和風險進行分類,評估其發生的可能性,以及估算如果不能減輕它們可能造成的損失。潛在的緩解和控制成本是根據潛在損失來衡量的。如果減輕措施比風險和威脅發生的成本更低、實施效果更好,那么就會采取相應措施。
大家都曾為計算一個事件的可能性及其潛在損失而煩惱過。這一過程一直更像是一種好猜測,而不是保險精算表。誰能估計在某一年一個復雜的勒索軟件、DDoS 或內部攻擊在他們的組織機構中發生的概率或者能夠準確預測哪些資產會受到影響?有人能證明某年的可能性是20%還是 60% 嗎?
我們都在與龐大的估算做斗爭,但是還有很多其他因素影響著風險管理。這里有 10 個很少被公開討論的問題。
1. 應對“可能發生”的風險
每一次風險評估都是在應對可能發生的事情和什么都不做之間進行斗爭,尤其是在以前從未發生過的情況下。很多人認為什么都不做更省錢,那些為某事而奮斗的人可能會被認為是在浪費錢。“為什么要浪費錢?那永遠不過發生!”
很少有人會因為保持現狀和墨守成規而惹上麻煩。尤其是在涉及大筆資金的情況下,積極采取行動,要比坐等損失出現并解決問題要困難得多。
以 911 和航空旅途安全舉例。并不是說航空安全專家們在 2001 年 9 月 11 日之前就不知道劫機者可以通過一把美工刀控制駕駛艙,或將爆炸物偷運上飛機。這些風險早在幾十年前就已為人所知。想象一下,如果在 911 事件發生之前,乘客就被要求扔掉水瓶并接受全身掃描,會引起公眾多么強烈的抗議。這可能會激怒公眾,航空公司也會主動去掉這些安全措施。
911 之后,我們很樂意脫掉鞋子,扔掉水瓶,接受全身掃描。獲得資金來應對可能的風險要比在損失發生后獲得資金困難得多。每當風險評估人員就從未發生過的問題發出警告時,都非常需要勇氣。他們是無名英雄。
2. 政治風險
主動承擔風險會引發相關的未知風險之一:政治風險。每當積極主動的英雄們爭取應對從未發生的事情時,他們都會失去一點政治資本。他們只有在他們積極主動去應對的事情發生的時候才能獲得勝利。如果他們能成功說服公司實施控制和緩解措施,那么糟糕的事情就永遠不會發生,好吧,它永遠不會發生。
這是一個悖論。當他們勝利的時候沒有人知道,因為他們成功爭取到了控制。所以,每當他們擔心的事情從未發生時,他們就會被視為 “狼來了”。他們失去了政治資本。
任何經歷過這些風險管理斗爭的人都可以告訴你,他們不想承擔太多的挑戰。每一次斗爭都會給他們的聲譽帶來一點損害(或很多)。所以,這些戰士們會計劃他們想要打哪些仗。隨著時間的推移,經驗豐富的戰士會減少戰斗次數。他們不得不這么做。適者生存。他們中的很多人只會等待某一天,當一件真正糟糕的事情發生時,他們沒能為組織機構止損而斗爭,而成為了替罪羊。
3. “我們說已經做完了,但并不一定”的風險
我們所說的很多控制和緩解措施并沒有真正完成,至少沒有達到 100%。很多人在這個過程中明白事情并沒有真正完成。最常見的例子是打補丁和備份。我知道的大多數公司都說他們打了 99% 到 100% 的補丁。在本文作者 30 多年的職業生涯中,檢查了數百萬臺設備的打補丁狀況,但從來沒有發現一個設備是安裝了所有補丁的。然而審計過的每家公司都會說,他們已經安裝了所有的補丁,或者接近完成了。
備份也是如此。當前勒索軟件的泛濫暴露了大多數組織機構并沒有做好備份。盡管大多數組織機構和他們的審計人員多年來都在檢查是否已經完成了關鍵備份,并定期進行測試,但只要一次大型勒索軟件攻擊就能顯示出真相是多么的不同。
風險管理領域的每個人都知道這一點。在沒有時間和資源的情況下,負責備份的人如何能夠測試所有內容呢?要測試備份和恢復是否可以工作,你必須對很多不同的系統進行恢復測試,并將其同時放到必須工作的單獨環境中(即使所有資源都指向原始環境)。這需要投入大量的人力、時間和其他資源,而大多數組織機構都不會給負責人這些承諾。
4. 制度化的風險:“一直都是這么做的”
很難反駁 “我們一直都是這么做的”,尤其是在幾十年都沒有發生針對弱點的攻擊的情況下。例如,我經常遇到允許密碼為 6 個字符且從不修改的組織機構。有時是因為PC網絡的密碼必須與連接到公司所依賴的一些古老的 “大家伙” 系統的密碼相同。每個人可能都知道,6 個字符且不變的密碼不是一個好主意,但這從來不會造成任何問題。
如果你認為所有東西都需要升級,以支持更長的、更復雜的密碼(可能要花費數百萬美元),那么制度化的“智慧”是不利于你的,而大多數人在組織機構中的時間比你長得多。
5. 業務中斷的風險
你所實施的每個控制和緩解措施都可能導致運營問題。而且甚至可能會中斷運營。你更有可能因為運營意外中斷而被解雇,而不是提前預防了一些理論上的風險。對于你推動的每一項控制和緩解措施,你都要考慮是否會導致潛在的運營中斷。
控制越徹底,就越有可能減少其所抵御的威脅帶來的風險,但你會更懷疑是否可以在不中斷運營的情況下做到這一點。如果在不造成運營中斷的情況下降低風險是容易的一件事情,那么每個人都會這么做。
6. 員工不滿的風險
沒有哪個風險經理想讓員工生氣。如果你想要這種情況發生,就限制他們可以訪問的 Internet 地址和他們在計算機上的操作。70% 到 90% 的惡意數據泄露(通過網絡釣魚和社會工程)都是由終端用戶造成的。你不能相信終端用戶能靠直覺保護組織機構。
然而,僅僅限制終端用戶操作,比如只允許預先批準的程序運行,或者限制他們對互聯網的訪問和操作,就會遭到大多數員工的反對。勞動力市場供不應求。每個公司都在努力爭取優秀的員工,他們不想被告知他們不能在“他們的”電腦上做任何他們想做的事情。你鎖定的太多,他們可能會去別的地方工作。
7. 客戶不滿意的風險
沒有人愿意實施一項讓客戶失望的政策或程序。沮喪的顧客會變成其他公司的快樂顧客。例如,與阻止欺詐相比,信用卡公司更關心的是意外拒絕合法客戶的合法交易。他們關心欺詐,但他們認為這是一種長期行為。那些使信用卡交易更準確的承包商和公司向信用卡公司出售他們的服務,說明他們如何減少拒絕合法交易的情況。一年內有兩次交易被意外拒絕的顧客將會使用其他銀行的信用卡。
這也是為什么在美國你不需要使用帶有 PIN 碼的芯片卡。世界其他地方需要芯片和 PIN 碼,這是目前為止更安全的選擇。美國是怎么做到的呢?因為 PIN 碼和芯片卡進入美國的時間相對較晚,商戶和客戶剛剛習慣刷卡。要求人們插入卡片以正確讀取芯片將會使一小部分交易失敗,并使一些客戶不滿。
8. 前沿風險
站在最前面的人容易被當成炮灰。沒有人愿意站在矛尖上。早期采用者很少會因為行動早而得到獎勵。他們往往會成為經驗教訓,有益于后人采用改進的策略。
兩年前,美國國家標準與技術研究院 (US National Standards and Technology, NIST) 表示,其長期以來要求使用長而復雜密碼并定期更換的密碼策略,導致的黑客攻擊要比其阻止的多。其新的《數字身份指南》,NIST 特別出版物 800-63-3 (NIST Special Publication 800-63-3),表示密碼可以是簡短的,不復雜的,并且除非你知道密碼已經被泄露,那你永遠不會被強制修改密碼。與先前被認為是教條的建議相比,這是一個 180 度的大轉變。
從那以后,沒有任何合規指南或監管法律得到更新,表明采納新建議是可取的或合法的,也沒有見到或聽說任何公司采用了新策略。這可能是一件好事,因為如果你改變了你的策略,并因此而遭到攻擊,即使 NIST 說這是正確的做法,人們也會指責你,問你為什么這樣做。等待大群體轉向新的密碼策略要安全得多,看看他們是對的還是錯的。
9. 滯后風險
你總是在與已經發生在其他人(或你的組織機構)身上的風險作斗爭。你等著看黑客有什么花招,然后建立緩解和控制措施,以對抗這些新的風險。必須先等黑客出招,就造成了從發現新的惡意行為到評估新技術、考慮新控制并實施中間的時間差。在觀望中,你總是會落后。
10. “不可能事事正確”的風險
去年公布了超過 16555 個新漏洞。已知有超過 1 億個獨特的惡意軟件程序。從民族國家黑客到金融竊賊,再到腳本小子,他們都試圖入侵你的組織機構。你要擔心的事情太多了。除非有人給你無限的金錢、時間和資源,否則你無法抵御這一切。你所能做的就是猜測(見第一條)哪些是最重要的風險,并試圖阻止它們。
這些都不是風險評估的新組成部分。它們一直都在,它們是你們在評估風險和考慮控制時會想到的。所有這些都表明風險評估和風險管理比表面看上去要困難得多,尤其是和書本理論相比。當你考慮到普通計算機安全人員需要擔心和考慮的所有事情時,你會驚奇地發現,我們在大多數時候能夠處理好。
本文名稱:十個很少有人談到的網絡安全風險因素
網站路徑:http://m.newbst.com/news24/102074.html
成都網站建設公司_創新互聯,為您提供服務器托管、網頁設計公司、網站排名、做網站、標簽優化、自適應網站
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容