这些风险因素可能不会出现在官方的风险评估报告中,但每个安全专业人员都应该考虑。传统的风险管理通常涉及对潜在威胁和风险进行分类,评估它们发生的可能性,以及估计如果不减轻它们可能造成的损害。潜在的缓解和遏制成本与潜在损失进行权衡。如果缓解措施比风险和威胁成本更低且实施起来更好,那么就会采取相应的措施。每个人都在努力计算事件发生的概率及其潜在损失。这个过程总是比精算表更像是一个最佳猜测。任何人都可以估计在给定年份其组织中发生复杂勒索软件、DDoS或内部攻击的可能性,或者能够准确预测哪些资产将受到影响吗?有人可以证明给定年份的概率是20%还是60%吗?我们都在为巨大的估计而苦苦挣扎,但还有许多其他因素会影响风险管理。以下是很少公开讨论的10个问题。1.处理“可能发生”的风险每一次风险评估都是在处理可能发生的事情和什么都不做之间进行斗争,尤其是在以前从未发生过的情况下。许多人认为什么都不做更省钱,而那些为某事而努力的人可能会被视为浪费金钱。“为什么要浪费钱?那永远不会发生!”很少有人会因为维持现状和遵守规则而惹上麻烦。尤其是当涉及大笔资金时,积极行动要比等待损失发生并弥补损失困难得多。以9/11事件和航空旅行安全为例。并非航空安全专家在2001年9月11日之前不知道,劫机者可以使用小刀控制驾驶舱或将炸药走私到飞机上。这些风险几十年前就为人所知。想象一下,如果在9/11之前,乘客被要求扔掉他们的水瓶并接受身体扫描,那会是怎样的公众抗议。这可能会激怒公众,航空公司会自愿取消这些安全措施。9/11之后,我们很高兴脱鞋、扔掉水瓶并进行身体扫描。获得资金来覆盖可能出现的风险要比损失发生后再获得资金困难得多。每次风险评估员警告从未发生过的问题时,都需要勇气。他们是无名英雄。2.政治风险主动冒险会导致一种相关的未知风险:政治风险。每当积极主动的英雄为应对从未发生过的事情而斗争时,他们就会失去一点政治资本。只有当他们积极尝试处理的事情发生时,他们才能获胜。如果他们能够成功说服公司实施控制和缓解措施,那么坏事就永远不会发生,好吧,它永远不会发生。这是一个悖论。没有人知道他们何时获胜,因为他们设法获得了控制权。因此,每当他们担心的事情从未发生时,他们就被视为“哭狼”。他们失去了政治资本。经历过这些风险管理斗争的任何人都可以告诉您他们不想接受太多挑战。每场战斗都会对他们的声誉造成一点(或很多)损害。所以,这些战士计划他们想打哪些仗。随着时间的推移,经验丰富的战士战斗次数会减少。他们必须。适者生存。他们中的许多人只会等待真正糟糕的事情发生的那一天,他们无法为阻止组织的损失而奋斗并成为替罪羊。3.“我们说我们完成了,但我们不一定”的风险我们说的许多控制和缓解措施并没有真正完成,至少不是100%。许多人在这个过程中了解到事情并没有真正完成。最常见的例子是修补和备份。我认识的大多数公司都说他们已经修补了99%到100%。在作者30多年的职业生涯中,我检查了数百万设备的补丁状态,但从未找到一个设备可以完全打补丁。然而,每家接受审计的公司都会说他们已经安装了所有补丁,或者接近安装了。备份也是如此。当前的勒索软件泛滥表明大多数组织都没有备份。虽然大多数组织及其审计员多年来一直在检查关键备份是否到位并定期测试它们,但只需要一次重大勒索软件攻击就可以证明事实有多么不同。风险管理领域的每个人都知道这一点。没有时间和资源,备份负责人如何测试一切?要测试备份和恢复能否正常工作,您必须在许多不同的系统上测试恢复,并将它们同时放在必须正常工作的不同系统上。环境(即使所有资源都指向原始环境)。这需要投入大量人力、时间和其他资源,而且大多数组织不会向负责人做出这些承诺。4.制度化风险:“Thisalwaysbeendonethisway”很难反驳“Thisishowwealwaysdoneit”,尤其是在几十年没有攻击漏洞的情况下。例如,我经常遇到允许密码为6个字符并且从不修改它们的组织。有时是因为PC网络的密码必须与连接公司所依赖的某个古老“大人物”系统的密码相同。每个人都可能知道6个字符的密码不变是个坏主意,但这从来没有造成任何问题。如果你认为一切都需要升级以支持更长、更复杂的密码(可能花费数百万美元),制度化的“智慧”对你不利,而且组织中的大多数人都比你长得多。5.业务中断的风险您实施的每项控制和缓解措施都可能导致运营问题。它甚至可能会扰乱运营。与事先预防一些理论上的风险相比,您更有可能因运营的意外中断而被解雇。对于您推动的每一项控制和缓解措施,您都必须考虑它是否会导致潜在的运营中断。控制越彻底,就越有可能降低它所抵御的威胁带来的风险,但您会更加怀疑是否可以在不中断运营的情况下完成控制。如果在不中断运营的情况下降低风险很容易,那么每个人都会这样做。6.员工不满的风险没有风险管理者想让员工生气。如果您希望发生这种情况,请限制他们可以访问的Internet地址以及他们可以在计算机上执行的操作。70%到90%的恶意数据泄露(通过网络钓鱼和社会工程学)是由最终用户造成的。您不能相信最终用户保护组织的直觉。但是,简单地限制最终用户的操作,例如只允许运行预先批准的程序,或者限制他们访问和操作互联网,将遭到大多数员工的反对。劳动力市场供不应求。每个公司都在努力获得优秀的员工,他们不想被告知不能在“他们的”计算机上做任何他们想做的事情。你锁定太多,他们可能会去别处工作。7.客户不满意的风险没有人愿意实施一项让客户失望的政策或程序。对其他公司来说,沮丧的客户变成了快乐的客户。例如,信用卡公司更关心意外拒绝合法客户的合法交易,而不是防止欺诈。他们关心欺诈,但他们将其视为一种长期做法。使信用卡交易更准确的承包商和公司向信用卡公司出售他们的服务,以了解他们如何减少对合法交易的拒绝。一年内有两次交易意外被拒绝的客户将使用不同银行的信用卡。这就是为什么您不需要在美国使用带PIN码的芯片卡。世界其他地区需要芯片和PIN,这是迄今为止更安全的选择。美国是怎么做到的?因为PIN卡和芯片卡在国内还比较陌生,商家和顾客都刚刚习惯刷卡。要求人们插入他们的卡以正确读取芯片将导致一小部分交易失败并使一些客户不高兴。8、前沿风险站在最前沿的人容易被当作炮灰。没有人愿意站在矛尖上。早期采用者很少会因为早期行动而获得奖励。它们往往成为经验教训,有助于后代采取改进的战略。两年前,美国国家标准与技术协会(NIST)表示,其长期存在的密码政策要求使用长而复杂的密码并定期更改密码,这导致黑客入侵的次数超过了它所阻止的次数。其新的《数字身份指南》,NISTSpecialPublication800-63-3(NISTSpecialPublication800-63-3)说密码可以很短,不复杂,除非你知道密码已被泄露,否则你永远不会Youwillnot被迫更改密码。这与之前被认为是教条式的建议发生了180度的转变。从那以后,没有更新合规指南或监管法律来表明采用新建议是明智的或合法的,也没有看到或听说过任何公司采用新策略。这可能是一件好事,因为如果你改变策略并因此受到攻击,人们会指责你并问你为什么这样做,即使NIST说这是正确的做法。等待大型团体切换到新的密码策略并查看它们是对还是错要安全得多。9.滞后风险你总是在对抗已经发生在其他人(或你的组织)身上的风险。您等着看黑客想出了什么,然后建立缓解措施和控制措施来应对这些新风险。必须等待黑客首先发起攻击,这会在发现新的恶意行为与评估新技术、考虑和实施新的控制措施之间造成时间滞后。在场边,你永远落后。10.去年宣布了超过16,555个新漏洞,“不可能把一切都做好”风险。已知有超过1亿个独特的恶意软件程序。从民族国家黑客到金融窃贼再到脚本小子,他们都在试图闯入您的组织。你有很多事情要担心。除非有人给你无限的金钱、时间和资源,否则你对这一切毫无防备。您所能做的就是猜测(参见#1)哪些是最重要的风险并设法预防它们。这些都不是风险评估的新组成部分。它们一直都在那里,当您评估风险和考虑控制时,它们就是您所考虑的。所有这些都表明,风险评估和风险管理比表面上看起来要困难得多,尤其是与书本理论相比时。当您考虑普通计算机安全人员需要担心和思考的所有事情时,您会惊讶于我们在大多数情况下的管理如此之好。【本文为专栏作者“李少鹏”原创文章,转载请通过平安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
