安全違規的真正成本
關于安全違規成本的文章有很多。并且隨著隱私法規的發布,我們根據企業的盈利或對每個攻擊記錄的價值進行計算,就可以計算出安全違規的成本。然而,這些硬數據似乎還不夠詳細,以至于無法使許多安全專業人員信服。
許多網絡安全專業人員的推測都進行了一個不必要的轉變,即從最初的可量化到如今不正確的概念。特別是,每當談及數據泄漏成本時,名譽受損的話題總不免被提起。然而,許多c級的高管都將其視為聳人聽聞的策略、邊緣政策、空洞的威脅,或者說這本就是理所應當的。沒有什么能夠比無法估量的威脅更能轉移人們對重要消息的注意力。
縱觀歷史,發生過的許多災難都比隱私信息泄漏要更加嚴重,另一方面,也出現過一些幾乎不受其影響的比較負責任的公司。而那些由于失誤甚至造成人員傷亡的公司,如今也依然在蓬勃發展。在這里沒有必要指明具體的名字和事件,因為這對我們來說都再熟悉不過了。同時,從純粹的網絡安全角度來看,即便那些代價最高的攻擊,持續成功也都是顯而易見的。
關鍵是,公司的名譽將會受到市場因素的影響,例如其償付能力以及以往的聲譽。當我們作為安全專業人員進行煽動性和危言聳聽的猜測時,我們也就淡化了自己易掌握信息的重要性。諷刺的是,我們所損害的往往可能是我們自己的聲譽。
人們經常說,安全專業人員不懂“業務語言”。這一直很令人費解,因為它對于純技術人員來說并沒有意義。然而,在闡明安全方案的重要性時,安全人員應該掌握一些簡單的步驟,以從業務的角度來展現風險的嚴重性。
了解業務
心理學家的原則是“在客戶的所在地與之會面”。這意味著,為了真正了解客戶,我們必須站在他們的角度來考慮其存在的問題。商業上也是如此。對于大多數企業來說安全并不是首要目標。最重要的目的往往是賺取足夠的錢來維持企業的運轉。你的生意是如何取得成功的呢?當試圖獲取資金或安全方案時,進行投資回報計算(ROI)是非常必要的。
在許多安全項目中,實現準確的ROI計算是非常困難的。組織往往無法預測自己需要預防確切攻擊的數量。然而,當涉及到違規成本計算時,事情就變得比較容易了,但同時也仍需要花費一定的精力。
了解數據
金融公司的記錄與非營利組織或醫療機構的記錄有很大的不同。在某些情況下,記錄可能存儲在完整性狀態不同在的多個系統中。為了數據的值進行量化,組織必須對所有數據的所在地以及其所包含的內容進行清點。
在某些情況下,一個系統所包含信息有限,因此一旦其遭到破壞,那么這些記錄都將變得毫無價值。在其他情況下,系統中可能包含著如個人身份信息(PII)等有價值的數據,而衛生保健系統,則包含著有價值的醫療數據。數據分類可以為該數據的優先級進行賦值,但為了更好地向董事會提出安全預算的案例,我們就必須為該數據分配真正的貨幣層次上的價值。這可以根據現有媒體報道和行業報告中的許多基準來實現。
了解電子表格
來自其他安全漏洞的比較信息應與業務相關的監管制裁一起提交。例如,如果企業遵守GDPR,那么處罰將與該組織的年度利潤有關。如果業務受到CCPA的約束,那么將涉及對每次違規的處罰。如果組織同時受到多個規則的限制,那么這些都應該包括在內。當為系統收集這些相關數據,以及潛在記錄的數量時,一個清晰的商業圖景就逐漸顯現出來了。例如,一個具有全球影響力的組織可以用以下方式來表示:
從簡單移動到復雜移動
在演示數據價值時,最好先從價值小的記錄開始演示,然后逐漸過渡到價值大的記錄,這樣可以展現出違規成本不斷增加的趨勢。在傳遞信息的同時,可以衡量一下整體的注意力情況,并在觀眾可接受的范圍內調整演示內容。同時,還應該強調,首次攻擊不會受到 處罰。相反,對此的懲罰是根據其影響因素來進行評估的(比如重復冒犯)。需要記住的是,這里的重點是要傳達業務信息,而并非是要散布恐懼或威脅。
擴展到外設安全方案
即使組織已經正確地完成了所有事項,但其仍然有可能會存在一些缺陷需要進一步改進。例如,盡管所有敏感數據均已被加密,但組織卻無法完全控制其所有加密密鑰,那么這個時候組織就需要建立一個密鑰管理平臺。或者,倘若組織在不斷追蹤配置漂移,那么就很有必要去購買一個配置管理系統。
遵守這些指標,避免產生轟動效應
如今,人們能夠比以往任何時候都更有能力,去準確地追蹤安全指標。追蹤所有的數據,然后將之與其真正的價值聯系起來,這需要花費大量的精力。這是因為它與組織具體的業務相關聯。但最終,比起對聲譽受損進行空洞的預測,它將獲得更多的支持。同時,這些指標本身就很顯著。感覺主義對我們的服務來說,并無多大益處。
點評
企業通常很難估量網絡威脅所能帶來的具體損失,但卻可以根據一定的指標來估算出網絡安全違規的成本。因而,安全的違規成本往往反應了相關安全威脅的嚴重性。反之亦然,安全威脅的嚴重程度越大,企業需付的相關成本也就越高。
準確有效地向組織各層級展現威脅的重要程度,可以幫助組織識別優先事項,將有限的財力與精力用在“刀刃”上,從而更好地實現成本效益最大化。其中最關鍵的是,對于不同的組織,威脅所影響的業務,以及業務的具體價值都會受到不同因素的影響。
因此,安全人員需要從實際出發,結合具體影響要素來向闡明不同威脅對業務的影響程度,即嚴重性。
