安全债务常深藏在公司的IT架构、遗留代码、第三方库,甚至某些商业模型仰赖的基本经济原则中。
无论是DDoS攻击冲垮公司网络,勒索软件劫持重要文件,还是员工无心之失导致敏感客户数据泄露,IT安全团队总是处在防御一方。
过去两年间,公司企业遭受的网络攻击数量翻了一倍,未来两年里预期还能再翻番。
眼下这么严峻的形势,安全主管很难有机会盘点全局并拿出解决问题的战略方针,与公司高层和业务部门沟通更是难上加难。
但从金融领域借鉴经验,将安全取舍视作需兑现的债券,却可以更好地与业务部门沟通,进而恰当地保护公司免遭网络威胁侵害。
技术债
“技术债”这个词是美国软件先锋 Ward Cunningham 提出的,他声称“代码中的某些问题就像金融债券。透支未来也未尝不可,只要你能偿还得起。”
基本上,选择简单快速的方式将不可避免地给企业造成未来的负担,而一开始代价相对高昂的周全选项则会跑赢长期指标。
技术债的例子常见于想利用最新数字技术的公司企业,满足于“还行”的IT安全规定,以至于随后遭遇网络攻击,致使损失惨重。
技术债欠下时间越久,解决原始投资短板的利息就越高。
Equifax、Uber、雅虎和TalkTalk等公司遭遇的重大数据泄露,不仅打击了公司声誉,也冲击了它们的底线。事实上,最近的研究揭示,2017年数据泄露所致损失超200亿英镑,而其中绝大部分本可以通过更好地理解并管理公司企业的安全债而规避掉。
惊人的相似性
现代安全债十分复杂。与其金融领域的对应物类似,安全债难以被发现,往往深藏在公司IT架构、遗留代码、第三方库,甚至某些商业模型仰赖的基本经济原则中。有时候,这种复杂性会达到普通公司企业无法完全确定其相互依赖关系的程度。
2008年金融危机就是由这种复杂性引发的,详情可参考何谓次债危机。说白了也就是债务的重售、捆绑和再重售导致无人确知原始债务出处,债务风险不可知。最终,到美国房地产市场开始崩溃的时候,用以保护市场的经济模型也失效了。
经年累积的安全债和粗陋的风险评估会不会导致IT安全领域的类似情况,或许值得仔细思考一番。
比如说,我们是不是在以无法清偿的速度借贷安全债?安全债如今是否复杂到没人能够确定到底谁是谁的债主了?有没有可能一场灾难性网络攻击就导致安全债市场崩溃,监管接入,公司破产?
虽然现在还不太可能崩溃,但仍值得思考金融行业与IT行业之间的相似性。
货币价值
理解和评估技术债很重要。安全专家 Dana Geer 和 Gunnar Peterson 的一篇论文就建议使用“安全边际”算法,将公司IT资产的“票面价值”与用以保护这些资产的安全控制及服务做比较,确定出公司的技术负债率/安全负债率。该比率可应用于其成本结构以获得实际货币价值,利息也可以“标准”利率为基线用风险管理语言确定出来。
但最重要的是要认识到,安全债会随时间累积利息,变成不可承受之重,所以最好早点偿清。最坏情况下,潜在的安全债也能最终导致公司破产。与其面对强制偿还,不如先弄清公司当前的安全债,制订出偿债路线图,比如投资托管服务或购买安全保险。
技术债或安全债的概念可能很大程度上只是理论上的,但若加以适当考虑,也许会引起多个行业网络安全管理方式上的整体改变。透过金融视角观察安全债,IT主管们将找出更有效的风险管理方法,在不断进化的网络威胁态势中砥砺前行。
Dan Geer 和 Gunnar Peterson 的论文:https://www.usenix.org/system/files/login/articles/12_geer.pdf
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】