来自雾帜智能K2实验室的汪浩博士在XCon上做了《信息安全风险的量化》的报告后,后台收到不少PPT的下载请求。但PPT内容精简,本文是对报告的深入解读。阅读本文大概需要15分钟。
报告的主要内容包括:
1.一种描述安全风险、衡量安全绩效的方式(用钱衡量安全工作)
2.一种处理复杂、不确定问题的计算流程(明确概念;分类分解;数据+专家经验挖掘;数值模拟)
两个问题
要做的工作很多,优先级怎么定?
我的工作对公司/组织的贡献有多大?
不管你当前是技术骨干,还是管理精英,一定在某个时刻考虑过以上两个问题。不妨想一下你的答案会是什么。
汪浩采访了几位安全领域专家,汇总之后的结论如下:
优先级,可以有以下几个考虑方向:个人经验和积累;看行业最佳实践;找业务了解安全需求;非常重要的合规等等。
贡献则可以从这么几个点来描述:合规没有问题,安全事故减少了,外部发现的漏洞减少了多少,安全能力增加了多少,覆盖了多少风险场景等等。
这说明当前的规划和汇报策略是可行的。那为什么还要讨论别的方式呢?
用钱衡量安全工作
接受采访的几位专家同时提到,安全的上级主管,比如CEO,是认可甚至鼓励现有的规划方式的:就是通过看齐行业最佳实践、满足合规要求等确定优先级;他们也接受现有的安全成绩的汇报方式。安全预算申请时,被以投资回报率(ROI)这种量化指标来挑战这种事,基本不会发生。这说明当前的规划和汇报策略是可行的。
那为什么还要讨论新的方式呢?因为用钱讨论问题,在易于理解这一点上,有不言自明的优势:其他团队能理解,领导也能看懂。此外,就像我们将要看到的,以钱量化安全成绩,有望解决安全工作“做不好会减分,做好不加分”,这个我们一直认为是安全职业属性的难题。
但很可能你也曾或多或少琢磨过,甚至是亲身实践过化安全风险的量化。事实上,学界相关的研究一直就没有断过——攻击图(attackgraph)有至少20年的历史;新一些的如贝叶斯攻击图、博弈论讨论内鬼作案可能性等等,不可谓不先进。但似乎并没听说过基于这些技术的风险量化方案落地案例。为什么?
业务部门用钱描述成绩,是因为它的KPI是实际发生的,简单汇总即可,用到的技术主要有:加、减、乘——可能都用不到除法!但安全面对的是不确定性,是不断变化的攻击面,这些简单工具显然不够用。但太复杂而玄妙的,做出来可能自己也难以相信,也就很难持续。
概括来说,把安全风险和成绩换成钱,有以下三个困难:
1.不确定:会不会被攻击?攻击会不会成功?攻击成功会不会造成实际损失?
2.太复杂:最典型的——数据泄露被媒体报道,声誉损失要怎么算?
3.数据少:重大事件原本就少,被攻击的公司又通常不会公开
他山之石
要想把安全风险就换成钱,而且让别人认可,我们必须能够克服以上这三个困难。逐个看下来,我们会发现在其他领域已经有成熟的,或者行之有效的解决方案了:
1.用概率工具和风险管理语言,解决不确定性困难。金融行业,比如保险,会面对很多不确定的问题。像地震、奥运会举办延期,都非常罕见。但客户出险,保险公司作出赔偿,不会因此就认为精算师工作做的不好。因为风险经过了量化,这样的结果在预测之内。企业风险治理是另一个处理不确定的领域。在这类包含不确定性的领域,人们使用概率、数值模拟来描述这些不确定性。除了钱之外,CEO们也精通企业风险治理(ERM),这意味着用类似的语言跟他们沟通,效果更有保障。
2.分类分解,解决复杂性困难。这方面,像麦肯锡这类咨询公司比较有经验。把问题或者主题,按照统一的方式,分解成几个小问题。每个小问题比较容易解决。金字塔原则,零秒思考之类名词,都是在讲怎样高效率地把复杂、没有头绪的事情系统地拆解为可解决的问题。
3.提取专家经验,解决数据少的困难。把领域专家经验作为数值给挖掘、提取出来,可能是质量很高的数据。人们平时很少用数字去思考,但能安全的在马路上穿行,说明了大脑中各种信息的有效性。这涉及认知科学,得从相关文献里找工具。但也有咨询公司做过不少尝试,效果可能超出你我预期。
如果你碰巧对以上几个方面都有研究,可以尝试把它们组合起来,应用到安全领域,设计一个安全风险量化方案出来。但现在有一个现成的——已经有人组合了这么一套框架出来,对自己搭框架也会有借鉴意义。
FAIR
这个框架叫做“信息风险因子分析(FactorAnalysisofInformationRisk)”,简称FAIR。
目前在美国,FAIR可能是应用最广的信息安全风险量化框架:
FAIR学院的成员遍布Netflix,惠普等超过45%的美国财富企业;NASA、美国能源部等政府部门使用FAIR量化风险;IBM有一个知名的年度数据泄露损失报告(“CostofaDataBreachReport”),年版使用FAIR来量化数据泄露的损失;NIST年报告《将安全与企业风险管理整合》(“IntegratingCybersecurityandEnterpriseRiskManagement”)建议以FAIR作为量化安全风险的手段;FAIR被TheOpenGroup收录,是目前安全风险量化唯一的国际标准(OpenFAIR)。
Figure1IBM数据泄露报告以FAIR量化风险
可以看到,FAIR至少是在部分组织里被接受、并实际使用的。虽然FAIR执行起来需要费些脑筋,但能够被众多公司和机构接受,来替代简单易行的最佳实践、风险矩阵,应该是因为FAIR做了某些虽然麻烦、但是正确的事情。
案例:一个有问题的分析
勒索攻击最近两年已经成为最受