十个很少有人谈到的网络安全风险因素

这些风险因素可能不会出现在官方风险评估报告中，但是每个安全专家都应该考虑这些因素。

传统风险管理通常包括对潜在威胁和风险进行分类，评估其发生的可能性，以及在无法减轻的情况下估计可能的损失。潜在的缓解和控制成本通过潜在损失来衡量。如果缓解措施的成本比风险和威胁更低，实施效果更好，那么将采取相应的措施。

每个人都在担心计算事件的可能性及其潜在损失。这个过程更像是一个最好的猜测，而不是精算表。谁能估计在给定的一年内其组织中发生复杂勒索软件、DDoS或内部攻击的概率，或者能准确预测哪些资产将受到影响？有人能证明某一年的概率是20%还是60%吗？

我们都在为巨大的估计数而挣扎，但还有许多其他因素会影响风险管理。这里有10个很少公开讨论的问题。

1. 应对“可能发生”的风险

每一次风险评估都是在应对可能发生的事情和无所作为之间的斗争，尤其是在以前从未发生过的情况下。许多人认为什么都不做更经济，那些为某事奋斗的人可能被认为是在浪费钱。“为什么要浪费钱？那永远不会发生！”

很少有人因为保持现状和遵守规则而陷入困境。尤其是当涉及大笔资金时，采取积极行动比等待损失发生和解决问题要困难得多。

以911和航空旅行安全为例。这并不意味着航空安全专家在2001年9月11日之前不知道劫机者可以用多功能刀控制驾驶舱或将爆炸物走私到飞机上。这些风险已经为人所知几十年了。想象一下，如果要求乘客在9/11之前扔掉水瓶并接受全身扫描，公众会有多强烈的抗议。这可能会激怒公众，航空公司将自愿取消这些安全措施。

911之后，我们很高兴脱掉鞋子，扔掉水瓶，进行全身扫描。获得资金来应对可能的风险比在损失发生后获得资金要困难得多。每次风险评估员对从未发生的问题发出警告，都需要勇气。他们是无名英雄。

2. 政治风险

自愿冒险将导致一个相关的未知风险:政治风险。每当活跃的英雄试图处理从未发生过的事情时，他们就会失去一点政治资本。只有当他们积极处理的事情发生时，他们才能赢。如果他们能成功说服公司实施控制和缓解措施，那么坏事永远不会发生。这永远不会发生。

这是一个悖论。没有人知道他们什么时候赢了，因为他们成功地获得了控制权。因此，每当他们担心的事情从未发生时，他们就会被视为“狼来了”。他们失去了政治资本。

任何经历过这些风险管理斗争的人都可以告诉你，他们不想接受太多挑战。每次战斗都会给他们的声誉带来一点点损害(或很多)。因此，这些士兵将计划他们想打哪些战役。随着时间的推移，有经验的士兵会减少战斗次数。他们必须这样做。适者生存。他们中的许多人只会等一天。当真正糟糕的事情发生时，他们无法为组织的停止损失而斗争，成为替罪羊。

3. “我们说已经做完了，但并不一定”的风险

我们提到的许多控制和缓解措施尚未真正完成，至少没有达到100%。许多人在这个过程中明白事情并没有真正完成。最常见的例子是修补和备份。我认识的大多数公司都说他们已经打了99%到100%的补丁。在作者30多年的职业生涯中，他检查了数百万台设备的修补状态，但从未发现任何安装了所有修补程序的设备。然而，每一家被审计的公司都会说他们已经安装了所有的补丁或者即将完成。

备份也是如此。勒索软件目前的激增表明，大多数组织没有做好备份工作。尽管大多数组织及其审计人员多年来一直在检查关键备份是否已经完成，并定期对其进行测试，但只有一次重大的讹诈软件攻击能够表明真相有多么不同。

风险管理领域的每个人都知道这一点。没有时间和资源，负责备份的人怎么能测试一切？要测试备份和恢复是否可以工作，您必须测试许多不同的恢复系统，并将它们放在必须同时工作的独立环境中(即使所有资源都指向原始环境)。这需要大量的人力、时间和其他资源，大多数组织不会将这些承诺交给负责人。

4. 制度化的风险：“一直都是这么做的”

很难说“我们一直这样做”，尤其是在几十年没有攻击漏洞的情况下。例如，我经常遇到允许密码为6个字符并且从不修改的组织。有时是因为个人电脑网络的密码必须与公司所依赖的一些旧的“大家伙”系统的密码相同。每个人都知道一个6个字符不变的密码不是一个好主意，但是它永远不会引起任何问题。

如果你认为一切都需要升级来支持更长更复杂的密码(这可能要花费数百万美元)，制度化的“智慧”对你并不好，大多数人在组织中花的时间比你多得多。

5. 业务中断的风险

您实施的每项控制和缓解措施都可能导致操作问题。它甚至可能扰乱运营。你更有可能因为意外的运营中断而被解雇，而不是提前防范一些理论风险。对于您推广的每个控制和缓解措施，您应该考虑是否会导致操作的潜在中断。

控制越彻底，就越有可能降低它所抵御的威胁带来的风险，但你会更怀疑这是否能在不中断操作的情况下完成。如果在不中断运营的情况下降低风险很容易，每个人都会这么做。

6. 员工不满的风险

没有风险经理想让员工生气。如果您希望发生这种情况，请限制他们可以访问的互联网地址及其在计算机上的操作。70%到90%的恶意数据泄漏(通过网络钓鱼和社交工程)是由最终用户造成的。你不能相信最终用户可以凭直觉保护组织。

但是，大多数员工会反对只限制最终用户的操作，例如只允许预先批准的程序运行，或限制他们访问和操作互联网。劳动力市场供不应求。每个公司都在努力寻找优秀的员工。他们不想被告知他们不能在电脑上做任何他们想做的事情。你锁得太多了，他们可能会去别的地方工作。

7. 客户不满意的风险

没有人愿意实施令顾客失望的政策或程序。沮丧的顾客会变成其他公司的快乐顾客。例如，信用卡公司更关心意外拒绝合法客户的合法交易，而不是防止欺诈。他们担心欺诈，但他们认为这是一种长期行为。使信用卡交易更加准确的承包商和公司向信用卡公司出售他们的服务，解释他们如何减少拒绝合法交易的次数。一年两次交易被意外拒绝的客户将使用其他银行的信用卡。

这也是为什么在美国你不需要使用带个人识别码的芯片卡。世界其他地方需要芯片和个人识别码，这是迄今为止更安全的选择。美国是如何做到的？因为个人识别码和芯片卡进入美国相对较晚，商家和顾客才习惯刷。要求人们插入卡片来正确读取筹码会导致少量交易失败，并让一些客户不满意。

8. 前沿风险

站在前面的人很容易被用作炮灰。没有人想站在矛尖上。早期采用者很少因早期行动而获得奖励。它们往往会成为经验教训，有利于后代采取改进的战略。

两年前，美国国家标准与技术(NIST)表示，其长期以来对使用长而复杂的密码并定期更改密码的要求导致黑客攻击的数量超过了它所能阻止的数量。其新的《数字身份指南》《NIST特别出版物800-63-3》(NIST特别出版物800-63-3)指出，密码可以很短且不复杂，除非您知道密码已经泄露，否则您永远不会被迫更改密码。这与以前被认为是教条式的建议有180度的转变。

自那以后，没有任何合规准则或监管法律得到更新，表明采纳新建议是可取的或合法的，也没有任何公司看到或听说过采纳新战略。这可能是一件好事，因为如果你改变策略并因此受到攻击，即使NIST说这是正确的做法，人们也会指责你并问你为什么这样做。等待大型群组切换到新密码策略来判断它们是对还是错要安全得多。

9. 滞后风险

你总是与已经发生在别人(或你的组织)身上的风险作斗争。你等着看黑客们有什么把戏，然后制定缓解和控制措施来应对这些新的风险。有必要等待黑客先采取行动，这将导致发现新的恶意行为和评估新技术、考虑新的控制措施并实施它们之间的时间差。在观看时，你总是落在后面。

10. “不可能事事正确”的风险

去年公布了超过16555个新漏洞。已知超过1亿个独特的恶意软件程序。从民族国家黑客到金融窃贼再到脚本小子，他们都在试图入侵你的组织。你有太多的事情要担心。除非有人给你无限的金钱、时间和资源，否则你无法抗拒这一切。你所能做的就是猜测(见第1条)哪些是最重要的风险，并试图阻止它们。

这些都不是风险评估的新组成部分。他们一直在那里。它们是你评估风险和考虑控制时的想法。所有这些都表明，风险评估和风险管理比看起来要困难得多，尤其是与书本理论相比。当你考虑到普通计算机安全人员需要担心和考虑的所有事情时，你会惊讶地发现我们在大多数时候都能很好地处理它们。