棘手的地方是:即使有大量的根本原因数据,现代安全团队也很少知道如何处理这些信息。他们不知道如何反馈它,也不知道如何衡量自己在减少与这些根本原因相关的结果的可能性方面取得的进展。
没有定量衡量风险随时间降低的安全团队,只是希望他们的行动能改变未来的结果,然而希望不是策略,这些行为很容易与一场“祈雨舞”,一个货物崇拜相媲美,或者与关于精神错乱和预期结果的陈词滥调相提并论。
以前以为信息安全风险太细微了,不能用真正的定量方法来严格的衡量。衡量方法不会像那些为安全团队制定策略的有才能的个人的直觉和引导那样有效。从那时起,当我开始了解基于角色场景的预测和跨不同行业的严格评估时,就坚信了另外一种说法,信息安全风险可以定量衡量。
安全团队彼此之间的运作方式相差太大
在与许多安全团队一起工作的几年时间里,几乎所有表现出对风险真正的偏见和非理性的直觉都来自少数有影响力的人。我自己运作的团队也遭遇类似的问题,这种偏见和非理性直觉来自于我自己。这一点尤其体现在一个公司或团队将如何从下一个,甚至在相同的竞争领域去处理风险。
此外,突变可能发生在领导者变化时。某个公司在多年的时间里经历了四次领导变革,每次都以完全不同的方式对待风险,每次要求员工参与到新的思想流派。有领导者的判断是“正确”的吗?更多他们可能只是武断地选择。
下面是一些例子:
“遵从”。虔诚地遵守规定的规章制度。
“顾客至上”。优先考虑/满足客户需求清单。
“基于标准”。信奉行业成熟的模型或标准。
“威胁驱动”。践行威胁核心和优先处理对手目标。
“参考组织”。与其它组织相比,要与众不同。
“检测优先”。一级检测允许更宽松的安全性。
“万里挑一”。不要被指责为玩忽职守。
“度量驱动”。选择度量作为“风险”的代理,并减少它们。
“混沌”或“迭代”。不断地打破、观察和修正。
“专家”的直觉通常是如何实现这些或某一些的组合。不是通过任何结构化的决策方法。
在许多情况下,专家的直觉是错误的,在涉及网络安全风险的行业中,这是一个大问题。
我也不例外,我的直觉同样不可靠。我的直觉总是希望事故响应能力和强大的日志记录处于团队策略的前沿。我可以论证为什么这种方法是优越的……但是其它方法的倡导者亦是如此。为什么我会与众不同?或者你有什么与众不同呢?都是自己的迷之自信罢了。
如果有科学的方法去构建专注于风险的团队,就不会经常看到如此激烈的战略分歧,也不会在优良方法、产品或者策略上争论这么多。会争论如何选择一个策略,或者更具体地说,为了降低风险所作的选择,以及为什么这个选择比其它选择更好,通过一个科学的方法来论证,而不是把有影响力的词汇串在一起。
通过了解所需的、共享的基础设施,可以加速发展应对网络安全风险的科学方法。现有技术可用于衡量来自其它行业的风险,安全工程师有足够的机会使得这种衡量技术对信息安全和技术公司有效。
有三件事需要向前推进
网络安全行业的行动指南存在于其它领域。我特别关注航空航天,核工业,特别是天气预报行业。这些天我大部分时间都在叨扰这些领域的专业人士,想通过他们充分了解这个主题。
这些行业的经验教训得到了经济和心理学领域研究成果的支持,即如何基于复杂信息做出理性决策。这项研究是稳健的,可信的,可获得诺贝尔奖金的。希望能够依靠这些经验来弥补(希望是暂时的)在数据安全方面存在的不足。
接下来描述安全行业如何处理风险的三个特定方面的薄弱环节,这些都是沉重的问题,减缓了安全行业迈向效率时代,灵感来自于安全行业管理风险方面与其它行业不同。
1.数据泄露根本原因的分类语言
目前对泄露数据的典型可用性和质量感到满意,它是非结构化的数据,非实时的,不可访问的,而且是罕见的。