为什么CISO要具备基于风险的网络安全战略思维？

近年来，从个人信息保护到数据安全治理等各个方面的法律法规都在快速更新，这让许多组织找到了“标杆和依据”，而随着越来越多的数据违规事件引发了极为严厉的处罚后果，商业领袖理所当然地为企业树立了最为简洁明了的安全口号：合规。当然，这是必要的，但合规是底线，不是终点。

Hunyadi指出，法规旨在广泛解决网络安全风险，然而仅仅只做到合规并不能代表安全，更无法保护公司免受今后越来越复杂的威胁。现实中，连网络犯罪分子都在积极跟踪监管要求，为了能实时调整其攻击策略，因此，依靠“合规分数”来管理风险是完全不够的，公司、组织不应该忽视网络环境所带来的快速变化，我们可以确定的是，法律法规总是滞后的。

国内等级保护资深专家毕马宁曾在《等保合规》的课程中指出，根据信息系统的安全保护级别，为信息系统选择适当的安全控制措施，在信息系统中实现这些安全技术措施和管理措施，确保信息系统具有与其安全级别对应的安全保护能力，这是一个基本要求，而满足基本要求意味着信息系统具有相应等级的基本安全保护能力，只是达到了一种基本的安全状态，这并不代表企业就是毫无破绽、所向披靡的了，比起更复杂的威胁环境，基本的安全状态只能算九牛一毛，因此基本要求是安全保护的出发点，不是终点，所以才说合规不一定安全，但不合规一定不会安全。

另一方面，Hunyadi表示，定义网络安全风险，设置正确的资源、策略和防护需要更广泛、更基于业务的视角，而不是按着法律法规去填补安全措施，在许多组织里，尤其是那些监管严格的行业里，通常都是审计部门在决定如何使用安全资金，这便会使安全职能偏离公司业务。

相反，大多数较小的组织会采取以风险为中心的安全策略，或许是因为他们涉及不到过多的法律法规问题，但也可能是因为他们没有足够的预算、人员去站在合规性的角度看待安全问题。总之，在这些规模较小的组织中，他们的安全策略更为精简，Hunyadi认为，或许他们这样的安全策略更适合当下日益复杂的网络环境：1、关注哪些安全漏洞会对组织造成最大危害；2、在组织内部定义最高风险区域；3、做出合理的、基于事实的安全规划。

许多组织的安全策略之所以没有基于风险，还有一个重要原因是，他们通常缺乏对风险的共同定义，因此无法帮助组织内部做出基于风险的安全决策。

大多数商业领袖只知道风险的经典定义：发生某事件的可能性是多少？如果发生了，影响有多大？这一定义几乎适用于所有业务场景，但要真正解决风险问题，领导们必须就“如何衡量可能性和影响”、“组织对风险的容忍度在什么范围”达成一致，这样才能应用政策、技术使得风险始终在组织可接受的范围内。

在如今“数字化被视为第一”的环境中，许多企业高管会以不同的方式识别和衡量风险，但领导层对组织拥有或应该拥有多少风险偏好并不能达成一致，毕竟每个业务涉众都有着不同的风险阈值，比如CRM应用程序若受到损害，这对任何一家公司的收入方来说都是问题，但管理仓库物流的团队可能会不以为意。

所以Hunyadi表示，组织首先应该在其内部将“安全风险和影响”方面的共识建立起来。Hunyadi介绍说：“加入雪佛龙之前，我曾在一家小公司工作，当时我们只有两名IT人员，其他都外包了。由于公司业务不断增长，老板同意建立更大的安全部门，于是我就问老板，在保护公司重要数据方面，他最担心什么。结果我发现，类似于这样的讨论往往会陷入僵局，因为老板认为IT就只包含了应用程序和运营系统，这使我意识到，安全人员需要围绕网络安全风险教育公司的领导层。”

Hunyadi说，虽然这例子发生在小企业里，但在较大的企业里也是同样的概念。事实上，大型企业往往会错估网络安全风险，因为首先他们根本不知道自己的数据存储在哪儿，不知道自己有多少系统、流程和端口，会直接通过云服务连接到互联网，同时他们又会高估风险，常常会过度关注业务运营中断所带来的成本，而很少考虑如何使用现有的缓解措施来防止“最坏的情况”。所以Hunyadi认为，企业可先建立一种逻辑来识别、排名各种网络攻击，看哪些攻击会给企业业务带来较大的影响。

之后，下一步是讨论事件可能性。而关于网络可能性的讨论需要一定的技术知识，这在大多数公司中是稀缺的。Hunyadi对此表示：“我曾研究过网络攻击技术，坦白来讲，我对黑客、攻击者充满‘敬意’，因为他们有着绝对的耐心和决心，能在安全堆栈中找到最小的漏洞并利用它，这其实是不可思议的。所以，在当下的环境中，商业领袖们必须得明白，任何与互联网相连的领域都有可能被攻破，任何现有的保护或检测能力都只能减少风险，而不能灭绝风险。而关键问题在于，一旦确定了各种风险，企业需要多少保护才是‘足够的’？这需要企业不断衡量。”

Hunyadi说，他在与同事讨论风险承受能力时，喜欢直接问一些简单的问题，比如“在你看来，系统宕机或数据丢失在什么情况下会让你觉得影响过大？”，这时同事就会回答说：“如果电子邮件系统在几个小时内不可用，我可能会感到恼火，但如果供应链管理系统停机超过10分钟，那我晚上一定睡不着。”Hunyadi对此表示，大多数商业领袖都考虑过法律方面的风险承受能力，像灾难所导致的无法运营等，因此安全人员就可以通过“每日收入损失”和“保险金额”等指标，去让各层领导了解公司对风险的总体承受能力，然后据此得出网络相关的风险承受能力。

Hunyadi强调，虽然他不主张将关键IT职能外包，但他非常支持让经验丰富且经过验证的外部组织，来评估组织应对风险的安全能力，因为大多数企业难以发现其系统环境中每一处的安全风险，容易忽视来自企业各个角落的网络连接，同时很多企业也没有亲自感受过网络攻击和攻击过后所带来的影响，所以他们很难自我衡量相关风险。

而经验丰富的第三方组织可以帮助企业充分了解风险，他们能够提供独特的视角，不仅仅是站在企业的角度上，而是站在行业内、站在各家公司对比的角度上，进行横向纵向的风险衡量，因此这些外部意见对高管和董事会来说至关重要，就好比企业通常会聘请外部审计师对公司财务报表进行审查，而这类安全评估也应该以类似的方式处理。

Hunyadi表示，将风险评估外包一定是合理的，因为公司内部的业务负责人通常认为演习、培训是浪费时间，他们不相信自己公司会被攻击，因此只有通过权威的第三方，他们才愿意看清现状，第三方会提供最真实的网络环境，并且还会告知当下行业内的一些情况，比如什么公司已被攻击过等等。此外，公司内部的安全团队在听到风险评估被外包后，可能会觉得自己不被信任，但只要第三方能引起公司对风险的重视，那么安全团队的价值就会被扩大，相应的安全投资、安全预算也会增加。

Hunyadi说，如果在所有利益相关者之间建立好了正确的框架，合格的外部意见可以在识别、评估和解释网络安全风险方面，提供信心、清晰度和一致性。

Hunyadi最后提出，想象力对于安全策略来说至关重要。“大多数人都知道NASA阿波罗1号的悲剧事件，三名宇航员在一次训练中死亡，为此我们成立了蓝丝带委员会来研究事故的原因，并提出了相关建议，以预防未来事故的发生。其中，作为委员会成员之一的弗兰克·鲍曼（Frank Borman），当他在听证会上被问及为什么会发生这场悲剧时，他言简意赅的回答道：‘源于缺乏想象。’”

很显然，Frank的观点被很好地证实了，正是因为没人想到指令舱会在那样的情况下失火，也没想到“舱盖未向外开启”会导致人员无法逃离，因此才酿成了此等悲剧。Frank的回答从那天起成为了一种号召，他告诉了人们，不要将任何事情视为理所当然，各种小概率事件都得考虑进去。

Hunyadi表示：“在安全领域，想象力是正确理解风险的核心能力，我希望安全人员能在识别、评估、衡量和最小化风险方面发挥各自的想象力。”

对于安全战略为什么一定要基于风险，安全部门又该如何更好的衡量风险，国内安全专家如此建议。

某金融科技公司安全负责人李扬表示，安全战略应服务于企业的使命，是企业的中长期目标。为了实现这个目标，需要正确地做事，更需要做正确的事。如何聚焦目标，缓解意外，坚持长期主义，实现战略目标，就需要风险导向。安全就是风险控制的实践。脱离企业实际风险制定的安全战略就是无源之水，无本之木，是不具备目标牵引的空中楼阁。

李扬表示，安全部门应坚持独立性，从风险=发生率*影响面*成本的基本面出发，审慎地从第三方的角度，以点、线、面的思维，对风险进行评估和衡量。从业务中来，到业务中去，实现风险评估的有效反馈与快速迭代，安全部门才能更好的体现裁判的作用，更好的衡量风险。

除此之外李扬指出，安全行业目前成熟度相较于IT产业，存在成熟度偏低的情况，也因为行业敏感性，缺乏同行公开的数据，定量分析难度大，导致行业内普遍存在安全部门价值难以量化和汇报的困惑，进一步影响安全部门的价值体现与持续发展。

而某科技企业安全负责人赵军利表示，首先要明白一点，企业首要战略是业务战略，一切都是为了支撑良好的业务发展与盈利。那么第一位就是详细分析业务战略，清晰业务发展方向，年度重点项目；为了保障业务顺利开展，达成战略规划目标，安全要从中分析存在的安全风险，并转化为安全的战略规划，制定对应的举措与行动计划，及时削减业务风险，以确保业务的良好开展。在梳理出需要关注的业务风险点后，要充分与业务部门研讨以确定风险的级别，方可制定有序的方案并落地。

赵军利强调，安全部门在制定战略时，谨记一点是跳出安全看业务，搞清楚业务的战略规划，再回归看安全。

某证券公司信息安全负责人丁安安同意以上观点，他认为信息安全战略的初衷就是为了保护企业的信息资产不受内外部的威胁入侵，或者在发生信息入侵事件的时候能够及时、快速的进行处置，避免产生损失。因此，安全战略必须将风险考虑进来，以制定一系列的战略方针和战术步骤，将风险变的可感知、可控制。

在如何更好地衡量风险方面，丁安安表示：“一方面，定期的漏扫、渗透测试、攻击面管理等工作必不可少，这有助于对系统的安全问题从各个维度进行梳理和管理，另一方面，常态化的安全运营，并对运营工具、流程不断的迭代优化，不仅能够感知外部威胁态势，也能够及时掌握系统的抵御能力。”

除此之外，丁安安指出，当下新型攻击手法层出不穷，欺诈钓鱼的套路也不断升级，企业的安全边界也越来越模糊。零信任等一些新的安全理念可以纳入安全战略的考量范围，如一些默认信任的区域是否真的可信？即使身份可信之后，ta行为是否可信？设备是否可信？丁安安希望业内的众人可以共同思考。

新时期的网络安全，表现得越来越业务驱动、供需交融，也越来越凸显其场景化、实战性的特点。因此，安全战略一定要基于风险，基于什么风险？基于业务的风险。安全风险管理的目的并不是保证没有风险，而是要将信息化发展带来的业务风险控制在可接受的范围内。

安全的目的是“护航”，是为了保障业务目标的实现和效益的达成，安全服务是为了提升安全保护能力（对抗能力、检测能力和恢复能力），在这种情形下，安全从业人员必须对业务模式和安全需求有着充分了解，重点解决“场景定制、应用适配”等问题，这样才能做到真正意义上的安全。