需要灵活的分类方法来描述根本原因,而不是满足于道歉的博客帖子和受害者的数量估计。例如,可以通过手动分析数据泄露通知观察到,小企业税务筹划店是网络钓鱼攻击的主要目标。目前通过社会工程和凭证重用可以阻止导致税务欺诈的W2盗窃的RDP实现。这使得小型会计师事务所的风险远高于任何一般雇主向员工发放W2的标准风险。在美好的未来,这可能是很容易进行的实时观察。
利用可访问的方法来分类根本原因,然后可以根据对自己组织的了解,采用强有力的概率方法来更好地预测风险。具有特定根源的场景可以在我们自己的组织中以强有力的方式预测,类似于出现在核工业和航空航天领域、并且持续出现在气象学中的专家启发方法。
2. 在数据泄露通知中必须出现根本原因
世界各地的数据泄露通知规则分散化,标准不一。即使是强制性的,许多通知也不是公开可用的。今天,一个适当的反馈回路的机会往往被浪费掉。
此外,数据泄露通知很少以令人满意的方式描述发生的事情,通知一般是一份附带有受害者数量的道歉信。事件和导致事件发生的环境每天都会变成黑洞。
公司不愿意披露数据泄露的原因有很多,他们更不愿意披露数据泄露是如何发生的。不需要讨论这些。重要的是让这些数据变得丰富、通俗、易懂,并克服这些障碍。
由于目前可用的零散数据出现了明显的趋势。例子:W2数据对攻击者来说非常有价值。勒索软件正在兴起和不断创新。凭证重用被证明是好用的,而且仍在蓬勃高涨。
这些信息可以从手动审查数据泄露通知时,通过典型模糊短语收集,但是数据泄露通知通常不包括任何根本原因语言。数据泄露的整个趋势都消失了,因此执行定量推理的能力被破坏了。
这就是我们错失的,例如:“在税收筹划行业,W2数据泄露的基线概率是每年18%。我们的预测,考虑到所做的准备,数据泄露概率减少到9%”这种声明应该不难获得,许多安全人员都对这种声明感到不安。
这是网络安全行业的弱点,其它行业熟悉概率术语和预测。那些人已经知道预测总是错误的,一个“最佳猜测”可能真的很有价值,特别是当那些猜测有很好的业绩记录时。预测只能朝着更正确的方向努力,同时还要了解预测的决策价值。
许多行业都熟悉按优先级排序的工作,与风险相关的未知预期值尽可能紧密。他们并不自鸣得意地相信自己能预测未来。他们知道预测和概率衡量的不足之处。安全行业也必须构建和学习这种方式,尤其是预测事件涉及活跃的邪恶人员。
核领域规则提供了中心可访问的根源数据。
NRC的事件通知报告是一个非常有趣的读物,来自事件响应的视角。与数据泄露报告相比,它们细到极致。它们会引用包含失败案例的特定模型,详细的影响,明确的根本原因。实例:
昨天发生一起轻微核事故的根本原因……
这个围绕核材料小小的、无关紧要的事件的根本原因好于我所见过的任何数据泄露通知。它甚至比我所遇见的一些IR团队做的没下功夫的总结还要好,即便核相关的材料是保密的。
更大的根本原因数据流将允许安全团队合理地优先考虑安全工作,基于无偏见的事件趋势,适当地考量自己公司的个性化风险。
3.安全工作必须要求一个概率结果
信息安全专业的每一个概念都可以作为一种概率工具。即使不确定性非常高(例如,APT的区域,你是否受到威胁了),我们仍然有延伸的工具可测量,减少对一个场景的不确定性。
即使是在没有可用数据的地方,气象学家仍然预测天气。在安全方面,我们必须预测风险,即使面对细微差别、波动的背景和不确定性。这种不确定性没有任何借口。简单的统计方法与我们的直觉和不确定性的测量是相容的,并且在其它地方得到了很好的实践。
这里有一些天气预报困难的例子:NOAA卫星经常离线,我们有糟糕的数据来预测卢旺达的天气,有时气象学家甚至用正确的数据也会搞砸。
尽管存在这些不确定性,气象专家仍然尽最大努力预测天气,因为他们的目标永远是少犯错误。安全行业也是一样,我们已经根据直觉做出决定,但不排除量化我们的预测。
借口不包括快速发展的技术,逃避衡量的智能威胁行为者,以及不知道的著名事件。我们仍然应该尽最大努力预测风险和支持改进预测的需求数据。
从红客团队到属性,到安全工程管理的一切都需要成为概率。恶意软件分析,社会工程,意识……它都与概率方法兼容。