為什么在評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)識(shí)別不同類(lèi)型的信息至關(guān)重要。

介紹

風(fēng)險(xiǎn)信息是可以影響決策的任何信息。一些組織傾向于只接受某些類(lèi)型的信息作為合法的風(fēng)險(xiǎn)信息。這些限制增加了錯(cuò)過(guò)重要事情的可能性。

為什么多樣性很重要

想象一下，您的組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法只能處理描述高、中、低風(fēng)險(xiǎn)的定性信息（例如政策文件、事件報(bào)告或評(píng)估）。這種方法會(huì)錯(cuò)過(guò)可以通過(guò)包含定量信息（例如網(wǎng)絡(luò)流量或安全事件數(shù)量）來(lái)發(fā)現(xiàn)的模式和趨勢(shì)。利用各種信息源可能會(huì)揭示原本會(huì)被忽視的風(fēng)險(xiǎn)。

組織很少明確排除某些類(lèi)型的風(fēng)險(xiǎn)信息，但他們通常對(duì)特定類(lèi)型有不言而喻的偏見(jiàn)。安全有時(shí)被聲稱是“無(wú)法量化的”，或者定性信息被低估，因?yàn)樗且粋€(gè)人的（主觀）意見(jiàn)。同樣，這些偏見(jiàn)可能導(dǎo)致組織在進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估時(shí)忽視有價(jià)值的信息。

如果您的組織對(duì)每種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估采用單一的標(biāo)準(zhǔn)化方法，您就更有可能陷入這個(gè)陷阱。當(dāng)組織專注于完成風(fēng)險(xiǎn)管理或合規(guī)流程，而不是關(guān)注應(yīng)由此產(chǎn)生的風(fēng)險(xiǎn)管理活動(dòng)時(shí)，更有可能發(fā)生這種情況。當(dāng)組織進(jìn)入這種“防御”的風(fēng)險(xiǎn)管理行為模式時(shí)，這種對(duì)“合法”風(fēng)險(xiǎn)信息的封鎖可能會(huì)加劇。

幫助評(píng)估信息來(lái)源

您如何知道您是否正在考慮足夠的信息源？這與其說(shuō)是一門(mén)科學(xué)，不如說(shuō)是一門(mén)藝術(shù)，我們?cè)谙旅娼ㄗh的技術(shù)使用一個(gè)矩陣，將信息分類(lèi)為定性或定量、客觀或主觀：

• 定性信息是用人類(lèi)語(yǔ)言描述某些事物，例如文檔中呈現(xiàn)的書(shū)面信息
• 定量信息是關(guān)于可以用數(shù)字來(lái)衡量的事物
• 客觀信息是可驗(yàn)證的，不受意見(jiàn)影響（例如您的組織擁有的筆記本電腦數(shù)量，或者您購(gòu)買(mǎi)特定防病毒解決方案所需的費(fèi)用）
• 主觀信息是一個(gè)觀點(diǎn)問(wèn)題（例如判斷某個(gè)組織遭受 DDoS 攻擊的風(fēng)險(xiǎn)比勒索軟件攻擊的風(fēng)險(xiǎn)更大）

首先將上面的每個(gè)信息類(lèi)型分配到網(wǎng)格上的相應(yīng)位置。您將很快能夠識(shí)別是否存在任何潛在的盲點(diǎn)，因?yàn)槿魏慰障笙薅紩?huì)立即顯現(xiàn)出來(lái)。我們完成了下面的示例網(wǎng)格，其中為每個(gè)象限分配了不同類(lèi)型的風(fēng)險(xiǎn)信息。

我們并不是說(shuō)來(lái)自四個(gè)象限中任何一個(gè)的信息都比任何其他類(lèi)型的信息“更好”。此練習(xí)的目的是可視化您在風(fēng)險(xiǎn)分析中使用的信息源的傳播情況，以便您可以快速識(shí)別任何盲點(diǎn)。它不會(huì)告訴您到底缺少什么，但它可以揭示組織對(duì)特定類(lèi)型信息的偏見(jiàn)。

那么你可以怎樣做呢？

1. 首先瀏覽進(jìn)入組織風(fēng)險(xiǎn)評(píng)估流程的所有各種信息源。
2. 將它們放入上面的網(wǎng)格中。如果您不確定從哪里開(kāi)始，請(qǐng)返回到與組織中的網(wǎng)絡(luò)安全相關(guān)的決策。該決定使用了哪些信息？如果沒(méi)有寫(xiě)下任何內(nèi)容，請(qǐng)回去與做出決定的人交談，并詢問(wèn)他們?cè)谠摪踩珕?wèn)題上做出的決定。
3. 檢查網(wǎng)格。它是什么樣子的？你的權(quán)重是偏向一個(gè)象限，還是偏向二分之一？
4. 您還可以收集哪些其他信息來(lái)填補(bǔ)空白？這會(huì)如何改變這個(gè)決定？為什么它們所在的地方有間隙？這可能會(huì)在您的風(fēng)險(xiǎn)分析方法中造成哪些盲點(diǎn)？

這絕不是對(duì)風(fēng)險(xiǎn)信息進(jìn)行分類(lèi)的唯一方法。風(fēng)險(xiǎn)信息還有其他可能同樣有用的屬性。例如，還值得考慮的是，您是否正在平衡使用有關(guān)過(guò)去的信息和有關(guān)您預(yù)期未來(lái)將如何展開(kāi)的信息，并進(jìn)行一些解釋。當(dāng)今用于評(píng)估和分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的大多數(shù)方法都使用定性和主觀信息。那些想要了解更多有關(guān)使用定量信息的感興趣的讀者可以閱讀我們的網(wǎng)絡(luò)風(fēng)險(xiǎn)量化簡(jiǎn)介。

常見(jiàn)的組織偏見(jiàn)

通過(guò)使用定性/定量、客觀/主觀技術(shù)，NCSC 認(rèn)識(shí)到許多組織中存在一個(gè)共同的偏見(jiàn)，即網(wǎng)格中左上和右下象限的人口較多，而其他兩個(gè)象限則為空。在此類(lèi)組織中，在評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)，“客觀”和“定量”這兩個(gè)術(shù)語(yǔ)被認(rèn)為具有相同的含義。

我們的研究結(jié)果表明，在這些組織中，與這種有缺陷的假設(shè)不一致的信息被忽略了。例如，專家對(duì)概率的主觀評(píng)估就被打了折扣。