如果公司在安全事故中的损失不超过几千元,那么没有人会愿意在安全防护上投入数百万元。相反,如果数据泄露带来的潜在损失很高,那么想方设法节省区区一百元则听起来十分愚蠢。但是我们应该使用哪些信息来估算公司在安全事故中可能承受的损失以及安全事故发生的可能性呢?在今年的2020黑帽大会上,弗吉尼亚理工大学的Wade Baker教授和Cyentia研究所的高级研究员David Seversky展示了他们对风险评估的独到见解,我们想对此进一步深入讨论。
任何有价值的网络安全课程都会提到风险评估中的两个主要因素:事故发生的可能性和其潜在的损失。但是,评估所使用的数据从何而来呢?更重要的是,我们应该如何使用那些数据呢?如果没有正确地评估潜在损失,那么评估的结论也就是错误的,也就无法采用最佳防护策略。
算数平均数靠谱吗?
许多公司都在研究数据泄漏事件带来的经济损失,他们通常将相似规模公司数据的平均值作为自己的数据。计算结果从数学上看似合理,数字也在新闻报道中朗朗上口,可是我们真的可以依靠它来评估风险吗?
如果将这些数据图形化,以损失为横坐标,安全事件发生次数为纵坐标,很明显这一算数平均数并非正确指标。
如果我们讨论大多数企业在安全事件中受到的损失,那么其他指标可能更加靠谱一些,具体来说就是中位数和几何平均数。大多数公司受到的损失并不严重,算数平均数得到的结果可能因为少数损失很大的个例而造成较大偏差。
平均单个数据记录泄漏的损失
让我们来看另一个令人质疑的”平均值”:用泄漏数据的数量乘以单个数据记录的损失。实践表明,这种方法在小规模安全事件中低估了损失,同时严重高估了大型事件带来的损失。
这里举个例子:前一段时间在许多分析性网站都能看到一篇新闻报导,声称某配置不当的云服务给企业带来了将近5万亿美元的损失。如果你研究一下这个天文数字的计算方法,就会发现它来自泄漏数据数量和单个数据损失(150美元)的乘积,其中单个数据损失由波耐蒙研究所的2019数据泄漏研究报告提供。
然而,这个例子中存在一些问题。首先,该研究并没有考虑到所有安全事件;其次,即便我们只考虑研究中使用的样本,算数平均数也并非很好的选择,研究只考虑了事件中那些损失在1美分和1万美元之间的数据记录;除此之外,我们从研究所使用的方法中能明显看出这种平均值并不适用于泄漏数据超过10万条记录的安全事件。因此,将这次泄漏数据的数量乘以150作为事件的总损失从根本上就是不正确的。
如果想用这种方法得到更加靠谱的风险评估结果,我们还需要考虑另一个指标,即不同规模事件带来不同损失的可能性。大概如下所示:
连锁反应
在计算安全事件损失时,还有一个常被忽视的因素是现今的数据泄漏往往影响不止一个公司。在许多安全事件中,第三方公司(合作伙伴和供应商等)受到的总损失都超过原本公司的损失。
这种安全事件正逐年增加,当今时代的总体”数字化”趋势只会让不同公司在业务处理上更加互相依赖。RiskRecon和Cyentia机构联手合作完成了”风险表面连锁反应”(Ripples Across the Risk Surface)研究,其结果显示813次安全事件给5437个组织带来了损失。也就是说,平均每个发生数据泄漏的企业都会影响到超过四个公司。
实用建议
如果你是网络风险评估专家,那么请认真考虑以下建议:
- 不轻易相信浮夸的新闻头条。即便很多网站都存在相同的新闻,那也不代表该新闻的内容一定正确。你始终应自己查看源数据并分析研究人员所使用的评估方法。
- 在风险评估中只使用你可以透彻理解的研究结果。
- 请牢记,企业的安全事件可能会导致其他公司丢失数据。如果数据泄漏归咎于你的错误,那么其他公司可能会请求法律援助,从而增加你的损失。
- 同样地,也不要忘了你无法阻止合作伙伴在安全事件中泄漏你的数据。