未亡羊先补牢——风险管理防患于未然
安全风险源于漏洞。当漏洞被利用,同时影响到资产的时候,就产生了风险。
安外必先攘内是企业在规划网络安全体系时必须考虑的一个问题。事实证实,尽管在网络边界构筑了坚固的安全防线,部署了防火墙、防病毒软件和IDS,企业仍然会受到黑客的攻击。受到攻击的原因之一是企业网络中存在着众多的漏洞(Vulnerability,也译为弱点),这些漏洞包括提供商造成的漏洞、开发者造成的漏洞、错误的配置、策略的违反等。Gartner指出,漏洞是指在方法、治理或者技术中存在的缺点,而这个缺点可以导致影响、降低IT安全。
假如企业缺乏一套完整的漏洞评估治理机制,未能落实定期评估与漏洞修补的工作,就等于敞开了网络安全的门户,时刻有可能遭到黑客的攻击。一项调查显示,99%的黑客攻击事件都是利用未修补的漏洞与错误的设定进行的。
利用漏洞发动攻击的最典型案例莫过于“冲击波”病毒了。2003年8月11日“冲击波”病毒的发作,影响到了30万到50万台计算机,共造成了全球企业15-20亿美元的业务损失。实际上,近一个月以前,Windows RPC漏洞的补丁就已经发布,但是大多数企业并没有及时打上补丁,造成了业务上不可估量的损失。
风险治理与漏洞
既然漏洞的潜在危害如此巨大,那么企业该如何“攘内”呢?实施风险治理是行之有效的方法。风险治理就是在适当的成本范围内,对影响信息系统的安全风险进行识别、控制、降低、消除、转移等的一系列过程。风险治理的几个要素是资产价值、威胁、漏洞、威胁的潜在影响以及漏洞被利用的可能性。当漏洞被利用,同时影响到资产的时候,就产生了风险。随着资产价值、漏洞等级、被利用可能性的不同,产生的风险也会不同。
由此可以看出,安全风险的根本原因就在于漏洞,下面的这个等式表达了风险和漏洞之间的关系:风险=资产×漏洞×威胁。
掌控风险 有的放矢
随着IT部门所面对的威胁种类日益增多,网络安全治理人员天天都会接到有关系统漏洞、新软件漏洞或新恶意代码的警报,所有这些警报的安全级别很难一下判定出来。因此,安全治理员往往不由自主地被这类事务牵着鼻子走,采取既耗时又费力的行动,比如查漏洞、打补丁等。然而,这些行动不见得能够真正起到防护的作用。
与此相反,安全治理员可以建立明智的风险治理战略,使有限的资源可以集中于应对企业面临的最大威胁。识别风险并确定风险的等级,是采取合理有效措施的要害所在。风险治理专家George Kurtz认为,任何公司都不会有足够多的财力和人力用于完全消除其与IT相关的潜在风险。因此,将所面临的各种风险量化,然后据此确定安全投资的优先顺序就势所必然。
为了量化风险并确定补救措施的优先顺序,Kurtz提出了一个模型,该模型从三个方面测量风险—资产价值、资产易受攻击程度以及各种现实威胁。
资产价值:处理企业交易业务的服务器显然要比客户服务代表的桌面机更为重要。因此,制定降低风险的明智战略,需要清楚了解整个企业中各类IT资产所代表的企业价值。
资产易受攻击程度:除具有不同的企业价值外,IT资产存在其固有的不同程度的软肋。提供公共网页的系统与根本就不连接到Internet的系统相比,肯定更轻易受到攻击;锁在配线柜中的交换机要比远离公司数千公里远的笔记本电脑更安全。
现实威胁:安全治理员还必须清楚了解任何现有资产所面临的各种现实威胁。举例来说,流行的操作系统(例如Windows)比旧式操作系统所受到的攻击会更多。因此,虽然运行在旧操作系统上的旧应用程序可能对公司具有很高的价值,但它们受威胁的可能性会更小一些。
风险可以通过综合考虑资产的企业价值、其固有的易受攻击程度以及它实际面临的各种威胁的强度计算出来。安全治理员就能准确了解企业最大的威胁存在于何处,并据此确定降低风险行动的优先顺序。
从资产发现和资产相关风险的评估,到补救措施的验证,通过尽可能将风险治理过程自动化并达到所希望的效果,安全治理员可以进一步增强其措施的有效性。据Gartner提供的资料显示,实施正确的风险治理步骤和技术来发现漏洞、确定漏洞的严重等级并采取补救措施的组织,成为攻击受害者的可能性要降低90%。
Kurtz认为,设立防火墙确保企业的安全固然很重要,但企业所能达到的安全水平,很大程度上取决于理解和治理各种形式风险的水平,以及如何将有限的资源集中运用到能为企业带来最大好处的地方。
目前虽然有许多厂商提供网络安全漏洞的检测工具,而且它们能协助企业找出问题所在,然而使用者在缺乏正确认知的情况下,多半无法有效辨别最重要的问题或是应该优先解决的问题在哪里,也无暇去针对这些漏洞落实修补的工作。企业真正需要的是一个能提供持续性的网络安全弱点的评估治理系统,以仿真黑客攻击的手法来检测企业的网络是否有任何不当的设定与危险的漏洞,同时提供完整的治理机制,以方便治理者追踪、记录、验证漏洞评估治理成效,同时通过量化的报表来真实反映企业的网络安全问题。
四种风险治理战略
除了解具体的风险等级外,安全团队还可以拓宽解决IT相关风险的视角,以便显著增强其措施的有效性。Kurtz 提出了四种可能的风险治理战略:风险减轻、风险接受、风险转移和风险回避。
风险减轻:这通常是人们碰到风险时头脑中的第一反应。它包括安全团队针对威胁所采取的各种应对措施,如防火墙、IDS和防病毒软件。
风险接受:假如解决风险的成本大于风险本身,或者解决该风险将使资源无法用来解决更为严重的风险,合理的行动可能就是接受该风险。
风险转移:在某些情况下,当将风险转移给第三方(如保险公司)比将有限的资源用于可能并不能产生明显效果的风险减轻行动时,采取前一种方式是更为审慎的选择。
风险回避:有时还会碰到这样一些情况,不仅风险的等级很高,而且解决该风险的成本也达到了无法接受的地步。在这种情况下,最好的办法是完全回避风险,方式可以是撤掉会带来这样风险的系统,或者不将其部署在最重要的位置。
