网络威胁响应
为了应对竞争和流行病,组织必须更加积极地采用在线解决方案。公众希望在线购物、在线订餐、在线跟踪送货等等。企业和学校不得不允许更多的远程工作,迫使更多的会议通过Zoom、Webex和Teams等服务进行。
这有点像第22条军规,因为商业上的成功与曝光高度相关。银行业务、购物、就医,甚至就业都取决于风险敞口。你需要公开数据来处理业务,如果你想做更多的业务,这意味着更多的攻击面。当您暴露在外时,您可能会以意想不到的恶意方式被看到并受到影响。在防御方面,网络安全专业人员试图“强化”系统,即删除所有不必要的内容,包括程序、用户、数据、权限和漏洞。硬化会缩小但不会消除攻击表面。然而,即使攻击面部分减少也需要大量资源,而且趋势表明资源需求将会增长。
组织是否至少关注并优先考虑这些风险?有几项调查可以回答这个问题。几乎所有主要咨询公司都会根据对其高管级客户的调查来制作年度风险报告。这些报告旨在涵盖所有风险,而不仅仅是网络安全,但网络安全在这些报告中的影响力越来越大。他们选择高管的方法、调查提出的问题以及结果分析各不相同,但他们讲述了一个相似的故事:网络安全受到越来越多的关注。在某些情况下,网络安全比其他任何风险都更受领导层关注。
麦肯锡是最大、历史最悠久的主要咨询公司,它针对组织面临的所有类型的风险编写年度报告。2010年麦肯锡企业风险报告中,一次也没有提到网络安全。2016年,网络安全被提及,但与其他风险相比,提及次数最少。在2021年《麦肯锡风险报告》中,网络安全风险比所有其他风险(包括金融、监管、地缘政治、竞争甚至新冠疫情)被提及的频率更高。
普华永道于2022年发布的第25次年度全球首席执行官调查询问首席执行官们最担心哪些类型的增长威胁。最常被提及的威胁是网络安全,49%的首席执行官给出了这一回应。在俄罗斯入侵乌克兰当年和新冠疫情两年后,这一问题排在地缘政治冲突、宏观经济波动和健康风险之前。
总体而言,高管层对网络安全风险的关注度有所增加,其次是资源。董事会开始提出诸如“我们会被破坏吗?”之类的问题。“我们比其他人更好吗?最近违反了我们行业中的公司吗?”或者“我们是否在正确的风险上投入了足够的资金?”
提出这些问题最终会让一些人聘请首席信息安全官(CISO)。第一个财富100强CISO职位出现于20世纪90年代,但此后的大部分时间里,CISO的增长都很缓慢。《CFO》杂志承认,在2008年才聘用CISO会被认为是“多余的”。到本书第一版撰写时(2016年),CISO角色变得越来越普遍。现在,几乎所有财富500强公司都拥有专门负责网络安全的CISO或类似的副总裁、高级副总裁或C级人员。
企业也一直表现出愿意分配大量资源来解决这个问题的意愿,但速度可能比网络安全专业人士希望的要慢。从2012年到2020年,每位员工的网络安全支出增加了四倍多,达到2,691美元(甚至根据通货膨胀进行调整)。据cyberseek.org报道,2022年8月,美国劳动力市场网络安全从业人员总数达到100万的里程碑。
那么,组织如何利用这种新的高管可见性和网络安全资金流入呢?大多数情况下,他们寻找漏洞、检测攻击并消除危害。当然,攻击面的规模以及漏洞、攻击和妥协的数量之大意味着组织必须做出艰难的选择;并非所有事情都会得到修复、停止、恢复等等。需要有某种形式的可接受的损失。哪些风险是可以接受的,通常没有记录下来,即使有,也是以软性、非量化的术语表述的,这些术语不能在计算中明确使用来确定给定的支出是否合理。
在等式的漏洞方面,这导致了所谓的“漏洞管理”。攻击方的一个扩展是“安全事件管理”,它可以概括为“安全信息和事件管理”。最近出现了“威胁情报”和“威胁管理”。虽然所有内容都在战术安全解决方案空间内,但管理部分尝试对下一步要做的事情进行排序。那么组织如何进行安全管理呢?他们如何优先分配重要但有限的资源来应对不断扩大的漏洞列表?换句话说,他们如何做出网络安全决策来分配有限的资源来应对这种不确定且不断增长的风险?
当然,这涉及到很多专家的直觉,就像管理中总是存在的那样。但对于更系统的方法,哈伯德决策研究公司(Hubbard Decision Research)2016年进行的调查发现,大约80%关注网络安全的组织会采取某种“评分”方法。例如,具有多个漏洞的应用程序可以将所有漏洞汇总为一个分数。在另一个规模上使用类似的方法,然后可以将应用程序组聚合到一个组合中并绘制出来与其他投资组合。聚合过程通常是精算师、统计学家和数学家不熟悉的某种形式的发明数学。
超过50%的受访者将风险绘制在二维矩阵上。在这种方法中,“可能性”和“影响”将被主观评级,可能按1到5的等级,这两个值将用于在矩阵上绘制特定风险(也称为“风险矩阵”、“热度矩阵”)。地图”、“风险地图”等)。矩阵——类似于图1.1所示的矩阵——然后通常进一步分为低风险、中风险和高风险部分。高可能性和高影响的事件将位于右上角的“高风险”角,而那些低可能性和低影响的事件将位于相反的“低风险”角。这个想法是,分数越高,事情越重要,你应该越早解决它。你可能直觉地认为这样的做法是合理的,如果你这么认为,那么你就会有很好的同伴。
各种版本的评分和风险地图均得到多个主要组织、标准和框架的认可和推广,例如美国国家标准与技术研究所(NIST)、国际标准组织(ISO)、MITRE.org和开放Web应用程序安全项目(OWASP)。大多数具有网络安全职能的组织都声称至少其中一项是其风险评估框架的一部分。事实上,大多数主要软件组织(例如Oracle、Microsoft和Adobe)都使用NIST支持的名为“通用漏洞评分系统”(CVSS)的评分系统来评估其漏洞。许多安全解决方案还包括CVSS评级,无论是与漏洞和/或攻击相关的评级。虽然其中许多框架提出的控制建议都很好,这就是我们在企业规模上优先考虑风险管理的方式,这会放大风险。
![网络安全:网络威胁响应]( "网络安全:网络威胁响应")
事实上,数百家安全供应商甚至标准机构已经开始采用某种形式的评分系统,包括风险矩阵。事实上,评分方法和风险矩阵是安全行业风险管理方法的核心。
在所有情况下,它们都基于这样的想法:这些方法在某种程度上是有益的。也就是说,它们被认为至少是相对于不使用这种方法的改进。正如其中一个标准组织所说,以这种方式评级风险就足够了:
一旦测试人员识别出潜在风险并想要弄清楚其严重程度,第一步就是估计可能性。在最高级别上,这是对攻击者发现和利用此特定漏洞的可能性的粗略衡量。这个估计没有必要过于精确。一般来说,确定可能性是低、中还是高就足够了。(强调已添加)
—OWASP
最后这句话“低、中、高就足够了”,需要相信吗?考虑到这些方法将指导的决策的关键性质,我们认为不应该这样做。这是一个可检验的假设,实际上已经通过多种不同的方式进行了检验。仅网络安全攻击的增长趋势就表明现在可能是尝试其他方法的时候了。
因此,让我们明确我们对当前方法的立场:它们是失败的。他们不工作。对这些方法和决策方法的研究进行彻底调查后,得出以下结论(所有这些都将在后面的章节中详细讨论):
·没有证据表明网络安全中广泛使用的评分和风险矩阵方法类型可以提高判断力。
·相反,有证据表明这些方法会增加判断过程的噪音和错误。我们将进一步讨论的一位研究人员——托尼·考克斯——甚至说它们“比随机的更糟糕”。
·任何“有效”的表现都可能是一种“分析安慰剂”。也就是说,一种方法可能会让您感觉更好,即使该活动在估计风险方面没有提供可测量的改进(甚至增加了误差)。
·已发表的研究中有大量证据表明,定量概率方法比独立的专家直觉有所改进。
·即使输入部分或全部是主观的,只要输入是来自经过校准的专家的明确数量,相对于独立专家直觉的改进也是可以测量的。
·幸运的是,大多数网络安全专家似乎愿意并且能够采用更好的定量解决方案。但一些人持有的常见误解(包括对基本统计的误解)为采用更好的方法造成了一些障碍。
网络安全如何评估风险,以及如何确定风险降低程度,是确定网络安全需要优先使用资源的基础。如果这种方法被打破——或者甚至只是留下了重大改进的空间——那么这就是网络安全需要解决的最优先问题。
这也不全是坏消息。我们将在本书后面展示网络风险量化(CRQ)正在流行,并得到越来越多工具的支持。正如我们将在后面的章节中展示的那样,即使是简单的量化方法也会比仍然广泛使用的风险矩阵更好。
原文始发于微信公众号(河南等级保护测评):网络安全:网络威胁响应
评论