你瞭解網路安全欠下的“技術債”嗎?
安全債務常深藏在公司的IT架構、遺留程式碼、第三方庫,甚至某些商業模型仰賴的基本經濟原則中。
無論是DDoS攻擊沖垮公司網路,勒索軟體劫持重要檔案,還是員工無心之失導致敏感客戶資料洩露,IT安全團隊總是處在防禦一方。
過去兩年間,公司企業遭受的網路攻擊數量翻了一倍,未來兩年裡預期還能再翻番。
眼下這麼嚴峻的形勢,安全主管很難有機會盤點全域性並拿出解決問題的戰略方針,與公司高層和業務部門溝通更是難上加難。
但從金融領域借鑑經驗,將安全取捨視作需兌現的債券,卻可以更好地與業務部門溝通,進而恰當地保護公司免遭網路威脅侵害。
技術債
“技術債”這個詞是美國軟體先鋒 Ward Cunningham 提出的,他聲稱“程式碼中的某些問題就像金融債券。透支未來也未嘗不可,只要你能償還得起。”
基本上,選擇簡單快速的方式將不可避免地給企業造成未來的負擔,而一開始代價相對高昂的周全選項則會跑贏長期指標。
技術債的例子常見於想利用最新數字技術的公司企業,滿足於“還行”的IT安全規定,以至於隨後遭遇網路攻擊,致使損失慘重。
技術債欠下時間越久,解決原始投資短板的利息就越高。
Equifax、Uber、雅虎和TalkTalk等公司遭遇的重大資料洩露,不僅打擊了公司聲譽,也衝擊了它們的底線。事實上,最近的研究揭示,2017年資料洩露所致損失超 200億英鎊 ,而其中絕大部分本可以通過更好地理解並管理公司企業的安全債而規避掉。
驚人的相似性
現代安全債十分複雜。與其金融領域的對應物類似,安全債難以被發現,往往深藏在公司IT架構、遺留程式碼、第三方庫,甚至某些商業模型仰賴的基本經濟原則中。有時候,這種複雜性會達到普通公司企業無法完全確定其相互依賴關係的程度。
2008年金融危機就是由這種複雜性引發的,詳情可參考何謂次債危機。說白了也就是債務的重售、捆綁和再重售導致無人確知原始債務出處,債務風險不可知。最終,到美國房地產市場開始崩潰的時候,用以保護市場的經濟模型也失效了。
經年累積的安全債和粗陋的風險評估會不會導致IT安全領域的類似情況,或許值得仔細思考一番。
比如說,我們是不是在以無法清償的速度借貸安全債?安全債如今是否複雜到沒人能夠確定到底誰是誰的債主了?有沒有可能一場災難性網路攻擊就導致安全債市場崩潰,監管接入,公司破產?
雖然現在還不太可能崩潰,但仍值得思考金融行業與IT行業之間的相似性。
貨幣價值
理解和評估技術債很重要。安全專家 Dana Geer 和 Gunnar Peterson 的一篇論文就建議使用“安全邊際”演算法,將公司IT資產的“票面價值”與用以保護這些資產的安全控制及服務做比較,確定出公司的技術負債率/安全負債率。該比率可應用於其成本結構以獲得實際貨幣價值,利息也可以“標準”利率為基線用風險管理語言確定出來。
但最重要的是要認識到,安全債會隨時間累積利息,變成不可承受之重,所以最好早點償清。最壞情況下,潛在的安全債也能最終導致公司破產。與其面對強制償還,不如先弄清公司當前的安全債,制訂出償債路線圖,比如投資託管服務或購買安全保險。
技術債或安全債的概念可能很大程度上只是理論上的,但若加以適當考慮,也許會引起多個行業網路安全管理方式上的整體改變。透過金融視角觀察安全債,IT主管們將找出更有效的風險管理方法,在不斷進化的網路威脅態勢中砥礪前行。
Dan Geer 和 Gunnar Peterson 的論文:
ofollow,noindex">https://www.usenix.org/system/files/login/articles/12_geer.pdf