网络安全管理如何“走近科学”?

强调顶层设计的,“形而上”的网络安全管理至今也没有发展出类似医疗和航空业那样的科学安全管理方法。

在过去的一百年里,人类在两个领域的安全性和性能同时得到了显着改善:航空和医学。

自90年代以来,医学取得巨大进步的一个重要原因是采用了循证实践(EBP,基于证据的实践。编者:属于逻辑实证范畴)的科学化方法。航空业则发展出一套成熟的相对独立的安全调查系统和方法,对航空事故(例如CVR和FDR等黑匣子数据)和紧急呼叫、空管记录进行彻底调查,并且在整个航空业中吸取经验教训,很少考虑政治或其他利益干扰因素。

医学和航空业的安全管理工作都与网络安全一样复杂,甚至更复杂,例如航空业向我们展示了如何使用类似机组资源管理(Crew Resource Management)这样的技术来解决看似棘手的复杂问题(编者:掺杂人、技术、流程和外界因素的复杂问题)。

“机组资源管理”(驾驶舱资源管理)一词是1979年由美国宇航局心理学家约翰劳伯创造的,包括一组培训程序,用于在人为错误可能产生破坏性影响的环境中使用,侧重于飞行驾驶舱中的人际沟通、领导力和决策制订。机组资源管理在保留指挥层级的同时,旨在培养一种更扁平化的驾驶舱文化,鼓励副驾驶在发现机长犯错时向机长提问。

并不是说医学和航空业发展出的管理科学完全没有问题,也有大量批评者(编者:例如基于统计学和概率论的科学方法往往不能很好地预测黑天鹅事件,这个问题需要全新的模型,不能仅仅通过优化旧的风险治理模型来解决),但循证实践的本质在于它们是自我纠正的。如果某人/企业做了错事迟早会暴露出来,从而使错误得到被纠正的机会。而对于那些没有实证依据的实践做法,例如当今网络安全管理理论、规范中的大量内容,情况并非如此。

安全管理专家Vicente Aceituno Canal指出:安全人士最常讨论的主题有一些共同点,那就是网络安全的现实与传统之间存在脱节。Canal花了20年时间试图找到可用且不太“烧脑”的方案。最后他意识到,在谈论安全管理模式、基于运营概念的安全指标,或者指责某些流行的安全概念如何脱离现实(证据)基础时,人们已经开始不自觉地在应用基于实证的科学方法,只是没有清晰地表达出来而已。

在列举基于循证实践的网络安全管理原则之前,我们先简要回顾一下我们为什么要做网络安全:

网络安全的驱动力

网络安全的驱动因素通常包括以下四个:

1. 法律要求,例如《数据保护法》、《信息自由法》以及全球范围内的各国制订的法律要求。

2. 合规性要求,如ISO 27000、PCI-DSS、NIST-53b等等。

3. 诸如身份管理和业务连续性等业务需求。

4. 技术要求,例如修复漏洞、防范恶意软件、确保系统只能从受信任的系统访问等等。

每个类别的驱动因素可能重叠,但这种情况更多的是偶然而不是设计。我们以一个离职员工的账户依然可以登录前雇主的系统为例,具体了解一下这四个网络安全驱动因素:

  • 如果该帐户可以用于访问客户的个人信息而不留下任何记录,则属于法律问题
  • 如果帐户的存在不符合PCI-DSS,则会出现合规性问题
  • 如果内部政策规定应在24小时内删除离职者帐户,则存在业务(流程)问题。
  • 如果应该删除帐户的自动化过程不起作用,则属于技术问题。

对于不同的企业和机构,可能面临上述四个问题的任意组合。

循证网络安全管理方法遵循以下12个原则

1. 使用可交付成果作为工作单元。可交付成果是工单、电子邮件、报告、日志、会议记录等工作的产物,可以手动或自动生成。通过使用可交付成果作为证据(或工作)的单位,测量变得客观、独立于观察者且可重复。它们还很好地代表了网络安全的状态,因为为了保持安全,一些活动需要定期执行,并且可交付成果会跟踪该活动。

2. 尽可能使用通俗易懂的语言和简洁的理论结构,晦涩难懂不会使我们成为专家,只会让安全团队与利益相关者的沟通变得困难。使用可交付成果作为工作单元会有所帮助,可以相同的方式记录看起来不同的几件事(例如威胁、风险、漏洞、弱点、警报、事件、问题、错误)。避免使用没法客观衡量的概念。

3. 使用明确的模型来了解您所在组织的复杂性。你需要了解企业业务,需要了解IT架构以完成安全工作,你还需要了解哪些系统不在IT部门的视野或控制范围内。IT可以在许多不同的复杂级别上进行建模,从固件到集群等等,你也需要一个符合您企业情况和需要的模型。你还需要了解外部依赖关系,例如供应链或外包。为了便于改进,模型的选择应该是明确的落在纸面的,而不是隐含的。组织和系统不断发展,模型也需要保持最新。

4. 使用一种方法来汲取经验教训,实施政策。为了让团队在复杂的环境中始终如一地执行并应用所学的经验教训,相同类型的错误绝不应该发生两次。

5. 将该方法流程化。所有网络安全工作都在快速“过时中”,因此网络安全工作最好按照管理周期进行结构化。每个管理期都是反馈循环的一部分,这是了解什么有效、什么无效的新机会。

6. 内省:挑战你的假设,主动进行实验,寻找模型和方法中的缺陷,避免管理中的“反模式”。

7. 采用灵活的策略来修复缺陷或改进优化。由于资产信息不完整、网络安全资源有限或对组织的影响有限,我们的策略可能会受到限制。逐步和正交地实施修复和改进,以便您可以区分哪些改进和修复工作有效,哪些没有。

8. 修复或改进方案的选择必须可测量(成功指标),这将有助于确定修复或改进是否按预期工作,可以发现指标变得更好或更差。

9. 确认您的策略是否有效,测试修复和改进是否按预期工作,定期评估您是否符合成功标准。如果不满足成功标准,请返回并修改或放弃修复或改进。

10. 吸取别人的教训。关注和收集其他基于循证实践方法的良好信息来源,并在您的组织中吸取经验教训,然后测试它们是否适合您。

11. 分享经验教训。在您的组织中创建基于证据的结果报告,并在不泄露敏感信息的情况下共享它们。您可以报告您自己的原始问题、您找到的解决方案以及您的数据如何证明该解决方案是有效的。

12. 承担责任。基于实证的网络安全管理可能成功也可能失败。科学就是试错,网络安全从业者应该为错误承担责任,但同一种错误绝不能发生两次。

最后,所有网络安全管理从业人员都需要反思这个问题:网络安全管理到底能否取得类似医学或航空业那样的飞速进步?

如果我们开始尝试实践基于证据的网络安全管理,下面这个快速清单可以作为参考:

1. 具有可重复且独立于观察者的指标的可交付成果

2. 平白的语言

3. 一个模型

4. 一个方法

5. 管理周期

6. 改进和修复的创造力和灵活性

7. 使用成功标准验证假设、改进和缺陷修复

8. 如果成功标准显示假设、改进或缺陷修复未给出预期结果,则采取行动

9. 吸取教训

10. 培训

11. 承担责任

前一篇零事故的背后:一道关乎北京冬奥的网络纵深防线
后一篇昂楷科技完成新一轮战略融资|由奇安信独家投资