你了解網絡安全欠下的“技術債”嗎?
安全債務常深藏在公司的IT架構、遺留代碼、第三方庫,甚至某些商業模型仰賴的基本經濟原則中。
無論是DDoS攻擊沖垮公司網絡,勒索軟件劫持重要文件,還是員工無心之失導致敏感客戶數據泄露,IT安全團隊總是處在防御一方。
過去兩年間,公司企業遭受的網絡攻擊數量翻了一倍,未來兩年里預期還能再翻番。
眼下這么嚴峻的形勢,安全主管很難有機會盤點全局并拿出解決問題的戰略方針,與公司高層和業務部門溝通更是難上加難。
但從金融領域借鑒經驗,將安全取舍視作需兌現的債券,卻可以更好地與業務部門溝通,進而恰當地保護公司免遭網絡威脅侵害。
技術債
“技術債”這個詞是美國軟件先鋒 Ward Cunningham 提出的,他聲稱“代碼中的某些問題就像金融債券。透支未來也未嘗不可,只要你能償還得起。”
基本上,選擇簡單快速的方式將不可避免地給企業造成未來的負擔,而一開始代價相對高昂的周全選項則會跑贏長期指標。
技術債的例子常見于想利用最新數字技術的公司企業,滿足于“還行”的IT安全規定,以至于隨后遭遇網絡攻擊,致使損失慘重。
技術債欠下時間越久,解決原始投資短板的利息就越高。
Equifax、Uber、雅虎和TalkTalk等公司遭遇的重大數據泄露,不僅打擊了公司聲譽,也沖擊了它們的底線。事實上,最近的研究揭示,2017年數據泄露所致損失超200億英鎊,而其中絕大部分本可以通過更好地理解并管理公司企業的安全債而規避掉。
驚人的相似性
現代安全債十分復雜。與其金融領域的對應物類似,安全債難以被發現,往往深藏在公司IT架構、遺留代碼、第三方庫,甚至某些商業模型仰賴的基本經濟原則中。有時候,這種復雜性會達到普通公司企業無法完全確定其相互依賴關系的程度。
2008年金融危機就是由這種復雜性引發的,詳情可參考何謂次債危機。說白了也就是債務的重售、捆綁和再重售導致無人確知原始債務出處,債務風險不可知。最終,到美國房地產市場開始崩潰的時候,用以保護市場的經濟模型也失效了。
經年累積的安全債和粗陋的風險評估會不會導致IT安全領域的類似情況,或許值得仔細思考一番。
比如說,我們是不是在以無法清償的速度借貸安全債?安全債如今是否復雜到沒人能夠確定到底誰是誰的債主了?有沒有可能一場災難性網絡攻擊就導致安全債市場崩潰,監管接入,公司破產?
雖然現在還不太可能崩潰,但仍值得思考金融行業與IT行業之間的相似性。
貨幣價值
理解和評估技術債很重要。安全專家 Dana Geer 和 Gunnar Peterson 的一篇論文就建議使用“安全邊際”算法,將公司IT資產的“票面價值”與用以保護這些資產的安全控制及服務做比較,確定出公司的技術負債率/安全負債率。該比率可應用于其成本結構以獲得實際貨幣價值,利息也可以“標準”利率為基線用風險管理語言確定出來。
但最重要的是要認識到,安全債會隨時間累積利息,變成不可承受之重,所以最好早點償清。最壞情況下,潛在的安全債也能最終導致公司破產。與其面對強制償還,不如先弄清公司當前的安全債,制訂出償債路線圖,比如投資托管服務或購買安全保險。
技術債或安全債的概念可能很大程度上只是理論上的,但若加以適當考慮,也許會引起多個行業網絡安全管理方式上的整體改變。透過金融視角觀察安全債,IT主管們將找出更有效的風險管理方法,在不斷進化的網絡威脅態勢中砥礪前行。
Dan Geer 和 Gunnar Peterson 的論文:https://www.usenix.org/system/files/login/articles/12_geer.pdf
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
