正确认识网络安全的威胁和风险

正确认识网络安全的威胁和风险

提示：更为坦诚的交流将会逐步改善安全小组和用户群之间的关系。

在过去几年里，我曾经参加过一个精心策划的技术平衡项目：从安全威胁（感性）以及安全风险（分析技术）两个相互交织的概念出发，将其应用到企业IT部门和内部用户团体之间的关系上。当在其中一方面或在双方面中，由威胁产生的感性反应超过了对于风险的理性分析，这些团体之间的交流则开始分崩离析。

几年以前，我曾经处理过一个极端的二者交流中断的例子。当一位客户要求我对一份评估报告进行复审。这份报告是由另一家公司提供的对他所在安全小组进行的评估。他希望借助新的视角或许可以发现一些新的东西。

在仔细阅读报告以及所附的数据之后，我感觉到了一些问题。当我将来自他们安全小组以及用户调查的数据进行汇总编辑之后，我注意到我所得出的数据与报告中的数据并不一致。

为了解决这一矛盾，我请求能够直接联系调查参与者，这一请求也得到了批准。我给这些参与者们打了电话，遇到了一个让人感到棘手的问题。用户们总是使用诸如“绝顶麻烦”、“限制重重”、“疯狂”和“傲慢自大”等词语来描述安全措施。其中一个用户甚至说道：“狱警对待犯人的方式都要比你对我们的方式好些。”

问题描述：威胁和风险相互脱节
为了组织我的调查结果，我在白板上画出了一张两行两列的表格。横向标注为“安全”和“用户”，纵向标注为“威胁”和“风险”。第一列将填入关于对威胁的感受信息（这些威胁与用户反应有关），第二列则将填入关于风险的数据（这些风险将从危险发生的可能性和影响的严重性两方面考虑）。然后我使用了人类学中定性分析的技术将调查的结果分解为各个组成部分。这些部分最终转化为放在这个矩阵里面的数据。

安全小组的“威胁”格子里面的条目可以分为两类：内部威胁和外部威胁。第一类因素产生于这样一种核心观念：用户主动且怀有恶意的尝试破坏那些安全策略，而这些对于安全事件高度敏感的策略正是为了保护用户而设计的。第二类因素则产生于这样一种观点：未被发现的黑客将会侵入系统并且带来无法预计的损失。

相反，安全方面有限数量的条目则集中表述内部蓄意破坏的可能性。“蓄意破坏（sabotage）”这个词在每一份IT调查记录中都会出现。没有一个同IT部门相关的被调查者认为安全威胁是无意造成的。

用户的威胁条目集中在外部威胁以及同安全小组之间的敌对关系上。他们对于在企业堡垒区域以外的“黑客和计算机病毒”流露出恐惧。同时，他们又认为安全小组“为他们的恐惧而祈祷”，“没有做任何实质性的工作”，“像只秃鹫一样躲着直到我们犯了错然后跳出来把我们炒掉”。在其他的一些描述中，用户们感到来自安全小组的威胁同来自外部环境的威胁一样。

用户有限的风险条目则表现出了某种程度上诚实的自我评价。他们意识了到自己在“为什么”有安全小组以及当感到不满意时IT工具所给予他们新的富于创造性的办法来反抗公司等问题上所显示的无知。

在安全小组和用户两行数据中，威胁被提到的次数是实际风险所提到次数的五倍。明显可以看出，双方已经有很长时间没有进行过理性的讨论了。这时，我感觉到了愤怒、不信任，这些感性的讨论如同规则一样强加到了双方身上。

我们能对此做些什么？
处理这个问题需要的不仅仅是一项花哨的技术以及一些咨询费。双方已经很久没有和对方进行理性的交流了。我的客户需要一个计划来在事情无法挽回之前重建二者之间的联系和信任。我们决定解决两个明确的问题：双方所遭受的威胁，以及用户在知识上面的缺乏。

深入到第一个问题，我们发现它根源于一个合理并且普遍的因素。在涉及数据访问和使用方面，安全小组和内部用户各自的目标的确有不一致的地方。在这样的情况下，这种冲突将会逐步上升为高度的感性威胁反应。当这种威胁感逐渐从一面蔓延到另一面，安全小组就不会在安全处理过程中把他们的用户看作自己的盟友了，用户也会有同样的反应，这就使得错误的沟通和威胁感加剧。

对于第二个问题，即内部用户缺乏丰富的安全知识，为我们解决第一个问题提供了一个杠杆的支撑点。内部用户并不是无能的白痴。然而，他们的确缺乏在竞争中取胜所必须具备的要素的认识。每当安全小组小心翼翼工作而没有解释他们是如何为内部用户的最大利益考虑的时候，用户们反而会感到安全小组是在破坏他们的工作。

为了解决这些问题，我的客户实施了两种技术方面以及两种社会工程方面的解决方案。

建立并公布一条由IT安全专业人士管理的安全热线。这成为了日常电话处理职责的一部分。人们的确很少使用这条热线，但它的存在很大程度上“证明”了安全小组希望能够帮助用户而不是给他们添麻烦。

创建秘密的“安全咨询”服务。当管理人士不理解他们所在组织安全需求时可以通过它在工作完毕后获得帮助。知识就是力量，这样的方式给予了那些使用它的管理人士富有价值的日常工具，并且使他们可以在以后同其他管理人士的交流中获得更多的好处。

提升电子邮件监控深度以及返回邮件信息的可用性。公司已经使用了电子邮件过滤系统以阻止含有特定关键字的信息从公司服务器中泄漏出去。我们扩展了此项服务，并且出于对受良好培训的用户不大会经常出错的考虑，我们对系统增加了更多详细的错误提示信息。我们还扩展了监控系统的配置，以允许对安全事件的逐步跟踪。

增加对数据库安全记录的审查频率以及记录的可视性。用户们在找出由开发人员所实施的安全配置中的漏洞方面表现出了令人惊讶的熟练。不要为此责备他们，我们应当奖励那些在公司的实时报告中报告了这些问题的用户，并且让他们能够 “友好”的同开发人员进行有限的相互接触。这可以使用户在安全实施方面的地位有所改进。
这些解决方案的实施逐渐的改变了安全小组和用户群之间的相互关系。每一次积极的交流都降低了二者中任一方认为对方可能带来的威胁程度。随着安全小组成功的证明了自己的能力以及判断力，内部用户群给予了他们更多的信任。而随着安全小组更多的了解了雇员们的实际工作，他们也开始接受如下事实：绝大部分的安全事件的确是由于失误以及善意的误解，而不是蓄意犯错。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有