安全債務(wù)常深藏在公司的IT架構(gòu)、遺留代碼、第三方庫，甚至某些商業(yè)模型仰賴的基本經(jīng)濟(jì)原則中。

[[245728]]

無論是DDoS攻擊沖垮公司網(wǎng)絡(luò)，勒索軟件劫持重要文件，還是員工無心之失導(dǎo)致敏感客戶數(shù)據(jù)泄露，IT安全團(tuán)隊總是處在防御一方。

過去兩年間，公司企業(yè)遭受的網(wǎng)絡(luò)攻擊數(shù)量翻了一倍，未來兩年里預(yù)期還能再翻番。

眼下這么嚴(yán)峻的形勢，安全主管很難有機(jī)會盤點(diǎn)全局并拿出解決問題的戰(zhàn)略方針，與公司高層和業(yè)務(wù)部門溝通更是難上加難。

但從金融領(lǐng)域借鑒經(jīng)驗，將安全取舍視作需兌現(xiàn)的債券，卻可以更好地與業(yè)務(wù)部門溝通，進(jìn)而恰當(dāng)?shù)乇Ｗo(hù)公司免遭網(wǎng)絡(luò)威脅侵害。

技術(shù)債

“技術(shù)債”這個詞是美國軟件先鋒 Ward Cunningham 提出的，他聲稱“代碼中的某些問題就像金融債券。透支未來也未嘗不可，只要你能償還得起。”

基本上，選擇簡單快速的方式將不可避免地給企業(yè)造成未來的負(fù)擔(dān)，而一開始代價相對高昂的周全選項則會跑贏長期指標(biāo)。

技術(shù)債的例子常見于想利用最新數(shù)字技術(shù)的公司企業(yè)，滿足于“還行”的IT安全規(guī)定，以至于隨后遭遇網(wǎng)絡(luò)攻擊，致使損失慘重。

技術(shù)債欠下時間越久，解決原始投資短板的利息就越高。

Equifax、Uber、雅虎和TalkTalk等公司遭遇的重大數(shù)據(jù)泄露，不僅打擊了公司聲譽(yù)，也沖擊了它們的底線。事實(shí)上，最近的研究揭示，2017年數(shù)據(jù)泄露所致?lián)p失超200億英鎊，而其中絕大部分本可以通過更好地理解并管理公司企業(yè)的安全債而規(guī)避掉。

驚人的相似性

現(xiàn)代安全債十分復(fù)雜。與其金融領(lǐng)域的對應(yīng)物類似，安全債難以被發(fā)現(xiàn)，往往深藏在公司IT架構(gòu)、遺留代碼、第三方庫，甚至某些商業(yè)模型仰賴的基本經(jīng)濟(jì)原則中。有時候，這種復(fù)雜性會達(dá)到普通公司企業(yè)無法完全確定其相互依賴關(guān)系的程度。

2008年金融危機(jī)就是由這種復(fù)雜性引發(fā)的，詳情可參考何謂次債危機(jī)。說白了也就是債務(wù)的重售、捆綁和再重售導(dǎo)致無人確知原始債務(wù)出處，債務(wù)風(fēng)險不可知。最終，到美國房地產(chǎn)市場開始崩潰的時候，用以保護(hù)市場的經(jīng)濟(jì)模型也失效了。

經(jīng)年累積的安全債和粗陋的風(fēng)險評估會不會導(dǎo)致IT安全領(lǐng)域的類似情況，或許值得仔細(xì)思考一番。

比如說，我們是不是在以無法清償?shù)乃俣冉栀J安全債?安全債如今是否復(fù)雜到?jīng)]人能夠確定到底誰是誰的債主了?有沒有可能一場災(zāi)難性網(wǎng)絡(luò)攻擊就導(dǎo)致安全債市場崩潰，監(jiān)管接入，公司破產(chǎn)?

雖然現(xiàn)在還不太可能崩潰，但仍值得思考金融行業(yè)與IT行業(yè)之間的相似性。

貨幣價值

理解和評估技術(shù)債很重要。安全專家 Dana Geer 和 Gunnar Peterson 的一篇論文就建議使用“安全邊際”算法，將公司IT資產(chǎn)的“票面價值”與用以保護(hù)這些資產(chǎn)的安全控制及服務(wù)做比較，確定出公司的技術(shù)負(fù)債率/安全負(fù)債率。該比率可應(yīng)用于其成本結(jié)構(gòu)以獲得實(shí)際貨幣價值，利息也可以“標(biāo)準(zhǔn)”利率為基線用風(fēng)險管理語言確定出來。

但最重要的是要認(rèn)識到，安全債會隨時間累積利息，變成不可承受之重，所以最好早點(diǎn)償清。最壞情況下，潛在的安全債也能最終導(dǎo)致公司破產(chǎn)。與其面對強(qiáng)制償還，不如先弄清公司當(dāng)前的安全債，制訂出償債路線圖，比如投資托管服務(wù)或購買安全保險。

技術(shù)債或安全債的概念可能很大程度上只是理論上的，但若加以適當(dāng)考慮，也許會引起多個行業(yè)網(wǎng)絡(luò)安全管理方式上的整體改變。透過金融視角觀察安全債，IT主管們將找出更有效的風(fēng)險管理方法，在不斷進(jìn)化的網(wǎng)絡(luò)威脅態(tài)勢中砥礪前行。

Dan Geer 和 Gunnar Peterson 的論文：https://www.usenix.org/system/files/login/articles/12_geer.pdf

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文