企業風險管理(ERM):如何將網路安全威脅融入業務上下文
網路安全風險如今已成企業風險管理(ERM)過程的重要一環。資訊保安人員應如何談論網路安全風險並評估其影響?
評估風險以識別對公司財務健康及市場機會的威脅的過程,即為企業風險管理(ERM)。ERM專案的目標是瞭解公司的風險承受能力,歸類並量化之。
審視企業風險的時候,傳統方法是看金融風險、監管風險和運營風險。比如:匯率下降利率升高會有什麼影響?新藥能不能獲批?庫存還夠不夠?
想要量化企業風險,你得考慮進事件的潛在影響並乘以事件發生的概率。小影響事件即使發生概率高也影響不了多少公司的整體風險暴露面,大影響事件即便發生概率低也有可能是災難性的。
網路安全威脅狀況帶來的風險逐漸成為ERM方程式的一部分,而這給CISO和其他高階安全人員帶來了挑戰。量化網路安全事件的商業影響非常困難,就差是個“不可能任務”了,而量化此類事件的發生概率甚至更難一籌。
企業風險管理過程
有些公司正在做這事兒。比如說,Aetna公司的企業風險管理框架中就將網路安全風險納入了運營風險。這些風險是十分具體而定量的。事實上,ERM系統中會被饋送進日常風險分值。
Aetna首席安全官 Jim Routh 不僅負責這個過程,還是管理公司ERM專案的風險委員會成員。他表示:安全在有效企業運營風險管理中所佔比重越來越大,必須與ERM和危機管理專案緊密配合。
僅僅合規還不夠,黑客技術的快速進化要求控制措施設計與有效性也隨之發展。監管合規是基礎,但還不足以達到企業所需的彈性。
聚焦商業影響是從另一個角度思考網路安全,需要與技術性響應網路安全威脅相異的思維模式。網路安全曾經完全落腳在防止攻擊上,而資料洩露要麼已經發生,要麼根本沒發生。
現在大多數公司企業都認識到網路安全不是個待解決的問題,而是種需要加以管理的風險。大多數市場都適應了這種改變,換了全新的思維方式,認為風險生來就能被接受、被緩解或被轉移。
ERM框架
安全語言和風險語言之間總有某種割裂感,讓CSO更難以在企業風險管理討論中有效履行其職責。實際上,在被問到如何量化特定緩解策略減少的風險時,很多網路安全專家深感挫敗,轉而指向有關資料洩露的媒體報道、NIST和FAIR之類的網路安全框架,或者運營指標以茲證明。
ERM框架中,“風險”一詞有著特定含義。技術出身的網路安全主管大多傾向於關注非常戰術性的技術問題而不是底線影響。比如說,如果某漏洞未被修復,就存在攻擊者利用該漏洞盜取資料的風險。
然而,從商業角度描述同樣的問題就可能是:修補該漏洞將會減小特定資料庫洩露的概率;如果漏洞持續暴露,則將會因商業損失、罰款和修復支出而花費大筆金錢。運用商業描述,公司就能確定緩解計劃是否有決定性影響,或者風險的降低程度夠不夠大,又或者該資料庫夠不夠關鍵,並由此決定要不要把時間和金錢花在別的事情上。
也有專家認為這是不可能做到的,因為沒有計算公式能算出你實現的每個控制措施各自幫你減少了多少風險。
雖然精確量化風險減少值不太可能,但公司企業可以根據威脅大小給風險排個優先順序順序。不按照特定工具或應用來衡量具體的風險改變情況,而是思考如何將公司從高風險狀態轉移至中度風險狀態,再改善至低風險狀態。
不過,沒有哪個網路安全框架會量化這一做法的經濟價值,公司企業是不會談論降低風險的特殊價值的。
網路安全人員往往不講底線風險,而是試圖以各種嚇人的“案例”向董事會證明所花預算很值。他們就是在販賣驚懼情緒,而每個人都知道總有許多恐怖的故事可以嚇到自己。
這種販賣恐慌的做法可以歇歇了。網路安全技術人員應該思考的是應該如何與董事會和高階管理層溝通。他們太過關注那些極客眼中所謂的超酷技術了。技術人員與業務人員之間缺乏有效溝通。業務人員理解不了技術問題,技術人員不知道如何證明技術的商業價值。
於是,CSO面對高管談及預算問題時可能就會尋求新聞頭條作為支撐,比如影響其他公司的重大漏洞之類的,想要以此引入技術細節並造成某些心理上的影響。讓人去想:又有什麼新的事件了嗎?會不會讓我們公司更容易受到攻擊?
即便他們試圖拿出幾個風險相關的資料以茲證明,那也是非常主觀的。每個數字的含義都是在打分的時候編的。這與金融交易不同,金融交易中人們可以計算出欺詐百分比——歷經五六十年檢驗的直觀度量標準。
至今似乎還沒有誰解決了網路安全風險計算的問題。大多數ERM框架都是圍繞已知問題構建的。但網路安全風險領域沒有已知風險,每個事件都是前所未有的。你怎麼計算前所未見的風險呢?
於是CSO便去關注運營問題了,比如降低成本什麼的。在需要評估風險或判斷安全專案效能的時候,他們轉向趣聞軼事尋求支援。比如,塔吉特發生了資料洩露,誰誰誰發生了資料洩露,5千萬使用者資訊在Facebook上被曝了……但沒人會說:“這是個價值4000萬美元的風險,我需要1000萬美元來解決。”沒有足夠的資料支撐這種計算。
安全人員需要從戰術思維轉變到戰略思維,並與金融精算專家加強合作。IT與財務的結合與協同可能是個新的學科領域。
網路安全風險量化是一門不確定的科學
目前而言,精確量化網路安全風險這件事還為時過早。甚至保險業巨頭都還沒有廣泛推開網路保險業務。確鑿的網路安全風險值是存在的,人們越來越意識到這些資料的重要性,但受董事會認同的靜態精算資料也確實尚未出現。
供應商提供風險得分卡會不會好一點?未必。這種做法很大程度上言過其實了。把自己的得分卡吹得天上有地下無的供應商往往不會談及這樣一個事實:每一次確定風險因素,分類所有資產,並整理歸檔以便饋送進此類系統都是非常費時費力的過程。
人工智慧(AI)和機器學習能一定程度上減輕這種負擔,但仍需要人類分析師做出最終決策,而決策工作並不輕鬆。不過,對有些公司而言,這一努力很值。這些公司已經對自身所有業務單元及資料做了排查,識別並記錄了各自的風險等級,能更好地利用自動化報告在單一管理面板上看清自己的風險狀況。只不過,要做到這一步,前期投入的工作量很大,大多數公司都還沒達到這種程度。
想要產生有用的分數和衡量標準,公司企業必須分類包括資料在內的所有資產,以及這些資產在公司中起到在作用,還有各業務職能及資料的重要程度。只有做完所有這些費時費力的工作,將這所有資料集中起來,才可以饋送進你的ERM系統,讓它吃進所有資料再吐出一張得分卡給你。
越來越多的CSO被要求進行企業風險評估,這其中正慢慢發生一些轉變。雖然風險得分是估測的,也難以獲取正確的資料進行正確的評估,但CSO們正在摸索評估的方法。這是業務部門的人想要看到的現象。
網路安全確實有些具體的挑戰,比如第三方風險和黑天鵝事件,但其他業務領域也存在此類挑戰,只不過網路安全方面不可預測的程度更高些。但網路安全領域有大量資料可用,也有很多公司企業在關注這一問題。
網路保險行業的成長就是人們開始計算網路安全風險的例證。網路保險公司相當清楚自己要保險什麼,也知道該要求被保人設定哪些安全措施才可以獲得保單。還有供應商可以提供外部風險測評,找出暴露的系統;並有評估公司可以進行網路安全審計。網路安全風險如今開始從感性認知邁向科學計算了。
如何計算網路安全事件的影響
商業影響是網路安全風險方程的前半部分,也是最簡單的部分,尤其是對大企業而言。財富500強公司往往都部署了ERM專案。這是個重要起始點。任何成立已久的公司通常都會對網路安全風險的商業影響投以關注。
然而,網路安全方面卻有可能並未設定成熟的模型,CSO需與業務部門合作推動這一領域的發展。比如說,聯邦快遞慣於為聖誕購物狂歡季的爆倉及人手不足風險做好打算。但在2017年6月,一場勒索軟體襲擊造成了約3億美元的損失。這種事是他們之前從未想過的。
受監管的行業有一系列合規框架可以幫助識別出網路安全攻擊可能造成影響的領域,比如零售業的PCI DSS (支付卡行業資料安全標準)、醫療行業的HIPAA和適用於金融公司、公開上市公司及政府承包商的各類框架,但這些都只是個最基本的起始點。
以PCI為例,支付卡行業安全標準委員會注重保護信用卡資訊保安。但不涉及資料洩露的收銀系統勒索軟體攻擊同樣可能對公司造成重大財務損失。因為沒有資料洩露,這不算是PCI事件,但銷售下滑真實發生了,更別說還有其他諸如公司信譽損失、業務停滯之類的後續影響,最終可能導致公司承受巨大的經濟打擊。
識別出可能受網路安全事件影響的關鍵業務過程是一項重要的工作,但很多公司企業並沒有做好。太多CSO不夠清楚到底什麼才是業務關鍵的東西。
如何計算網路安全事件的概率
計算事件潛在影響只是風險方程的前半部分,計算事件發生概率是風險方程中同樣重要而困難的一個部分。
可以採用由外而內的方法來計算事件概率。
計算特定漏洞或其他安全問題損害公司的風險是絕對可能的,但需要公司在觀測和定性上需要一定程度的一致性。
CSO每年至少需與CEO和CTO坐下來商談一次,確定網路安全事件發生的概率及影響的風險值。這樣,CSO才可以進行各種計算,將之轉變為能切實降低風險得分的具體標準,持續跟蹤公司整體風險態勢,為公司採取的風險預防和緩解操作提供更多透明性。
風險計算方程的前半部分——商業影響,取決於失去資料中心或資料集等事件給公司帶來的直接和間接損失。於是,要計算事件發生概率就得納入公開資料、內部輸入和外部測試。比如說,對資料中心而言,公司可以查閱地震和火災發生頻率等公開資訊。
網路攻擊的資料要難找一些,可以求助第三方滲透測試員來判斷公司系統入侵的難易程度——滲透進去的耗時越長,所需技術水平越高,攻擊成功的概率就越低。
控制措施有效性判斷沒有一勞永逸的通用方法,我們只能不斷測試,通過漏洞掃描、紅藍對抗和高階滲透測試等方法持續評測公司安全措施有效性。
董事會什麼時候才能不用擔憂網路攻擊?
網路安全風險是個讓公司董事會深感挫敗的問題。
在過去,風險提交到董事會,董事會就會拿出一個方案來解決,然後完事兒。比如說,如果存在火災風險,董事會決定安裝消防噴頭和購買火災保險就好了。此後除非又有什麼變動,否則董事會就可以拋開火災問題不談,將精力放到其他問題上。但網路風險不是這樣的。
網路風險持續存在,是個長期議題,該風險領域無限廣闊而多樣。
事實上,不僅網路威脅不斷進化,技術也在加快滲透進生產生活的各個方面。每家公司如今都是網路公司,每個業務過程都要用到網路。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
ofollow,noindex" target="_blank">戳這裡,看該作者更多好文