安全性監看式 資訊安全性管理,第 1 部的挑戰
Jesper M. Johansson
內容
我們取得可以擺脫,技術的嗎?
我們真正保護
Defender 的兩難
主要的衝突
關閉保持在燈號
當您忽略了資訊安全性
在政府層級的責任
不適當的接受度的風險
一個藍圖
向上換行
時現在,我有已思考更大的挑戰,資訊安全性的 (InfoSec) 管理的組織。 看來我取得,舊版,在更離開我取得從技術 — 或而,多我知道技術基本上不會對是解決方案我們的問題。 技術,許多,會是的問題。 事實上,InfoSec 管理,是幾乎以獨佔方式有關防止我們進入與技術的問題的類型。
我原本以為很有趣,寫入此主題,活頁簿,不過我最後決定一系列的 essays 就會更適合。 並拖曳到這裏] 的居住這些 essays。 透過下年度或,我將使用安全性的監看式資料行,偶爾會造訪資訊安全性管理的主題。 此系列的第一個單元,我探討 InfoSec 管理的基本原則。
我們取得可以擺脫,技術的嗎?
現今良好和不良的技術無不可避免的。 技術可讓組織更快速且更有效率地將多個,執行。 也可讓執行相同的罪犯。 而許多技術欄位中我們要認為技術有技術的唯一儘它沒有。 存在以儲存、 處理,及傳輸資料的技術 — 資訊可以轉換的資料。 資料和,我們從它衍生的資訊會是我們真正有用的資源。
不應該我們,安全性專業人員,再呼叫自己 」 資料安全性專業人員嗎? 我們嗎不更準確地參與保護資料? 許多的方式請這是 true,但資料是只在原料]。 它在自己的有值的當然,但它會將資料一起,並從其建立資訊真正提供的值。 因此,我們處理的抽象資料稍微高於一個層級。 我將使用 「 資訊 」 一詞,(除了當我真正希望交談有關原料) 因為這是我們最後開啟至資料。
工作層級的抽象資料下方的許多技術專業人員 (位元)、 位元組及 electron 層。 我們喜歡技術本身唯一的技術。 非常通常是為什麼我們進入技術欄位的。 技術是更舒適的比,說的人。 不過,為資訊安全性專業人員,這是非常危險,因為我們必須具有一個最廣的範圍,只是技術比。 資訊安全性專業人員必須是在一或多個技術的網域中專家,我們必須看看技術、 資訊、 人和處理程序,整個系統,四個的支柱,資訊安全性。 我們必須的必要性,著重所有四個的支柱。 事實上是,但是,多人忽略一或多個。
幾年前 Microsoft embarked 高可信度電腦運算行銷活動上 proclaiming 安全性人]、 [處理程序和 [技術。 有許多都想說 Microsoft 已嘗試焦點從 [不佳的安全性技術無法控制的因素。 一個不公平的分析雖然,考慮在 Windows XP SP2] 及 [較新的作業系統中,尤其是 Microsoft 解決方案的安全性是相當良好的實際的。 Windows Vista 和 Windows Server 2008,特別是 Windows 7 和 Windows Server 2008 R2,是在大部分的方面 exemplary 安全性時,head 和 shoulders 上述任何競爭的解決方案。
另一個,kinder,取得時的人員、 處理程序和技術的名言只指出 InfoSec 專業人員需要考慮人員和程序以及)。
但是,人員處理技術的三角理論無法考慮我們所有的基本目的。 處理程序,是人如何使用技術資料變成資訊,讓它們可以讓明智的決策。
我們真正保護
然後,為何,我說這項資訊和它衍生自,資料是我們只寶貴資源? 更清楚地,technologically 進階公司更好的處理序是更可達成比沒有其目標。 我想我們可以採用,以在指定。 但從安全性觀點來看程序和技術問題。 將技術,定義,複雜性和加入複雜性 breeds insecurity。 系統的元件必須互動的],並以指數方式與互動的數目相關的元件數目。 每一個這些互動會建立新的途徑,傳輸處理它,和新的儲存位置的新機制的資料。 所有這些項目代表弱點,以及減少我們能夠視覺化方式檢視技術的弱式點和它可能會造成的問題的可能部分。 技術是較少的複雜性、 簡單是瞭解和安全。 事實上,無法輕易的視覺化方式檢視,並瞭解技術在組織中使用的範圍會是金鑰資訊的安全性問題的原因之一。 為 InfoSec 專業人員,我們應該考慮減少技術的使用,無法將它增加。
處理序是也複雜、 nebulous,和,在大部分的情況下,本身不敏感。 處理程序可能會提供競爭優勢,但無法 per se 複製處理程序]。 它是記錄可以複製之處理序資訊。 處理序是暫時 — 它就會消失。 只要將它轉換成資料可以將其中一個複製它。 這很類似音樂。 音樂的存在只 temporally,我們聆聽。 若要不斷地聆聽音樂人 Thomas Edison 發明了,phonograph (技術,允許我們記錄,讓人無法聆聽它再一次,為資料建立音樂的處理序的 ingenious 片段)。
現在,超過一百年後,彈性 morals 和可疑 virtue 的人員竊取資料表示的播放音樂程序的摘要。 音樂產業,在 thwarting 這的種趨勢在失敗的嘗試中開啟模糊化的重新建立音樂程序的安全性技術。 結果是主要是讓它更難其合法的客戶,享受自己的音樂。 這項技術已知為 Digital Rights Management (DRM),是抵抗偷竊,幾乎無用的雖然它是在對抗客戶滿意度很成功中。 查看這 rationally,您要瞭解問題真的是關於確保安全的未處理的資訊。 在某些情況下中的音樂,資料本質上無法保護,necessitating 只接受的事實,並在上移動其擁有者。
這會導致一些有趣的觀察值。 模糊例如,無法您只要化處理序嗎? 無法讓密碼從資料建立值的程序? 您無法就 were 建立一個密碼的演算法? 也,您可以時,但它通常會執行不正確。 Claude Shannon 將此為 「 敵人知道在的系統 」 非常 bluntly 通常稱為 Shannon 的 Maxim 一個 pronouncement。
這是什麼意思呢? 本身的演算法通常無法保持秘密。 處理序將會變成已知,並具競爭力的邊緣來自的處理程序的實作難度。 資訊安全性必須,再次,著重保護的核心有價值的資產資訊。 設定處理序的安全性只有趣的是 insofar,因為它會提供資訊的保護。
Defender 的兩難
這會我導致 「 Defender 的兩難 」。 您的工作就是保護所有資料,包括公開的所有假設壞人知道系統的您元件間的互動。 另一方面,壞人需要找出得以侵入您的系統只有一個方法。 它們不需要多份您的資料。 不論它們的取得一份複本就夠了。 只為一份的 MP3 檔案足以油料整個犯罪的生態系統,所以是足夠資料的單一複本,您的對手的。 此外,遭竊,使用任何一個方法無法復原。 在 cyberspace 沒有 [復原] 參數。
因此,的 Defender 必須保護所有可能的點。 您必須提供適當的保護所有的裝置上的資料在其餘部分和飛行,無論裝置的擁有者。 儲存、 處理,並傳輸,更難您的工作變得更多的位置資訊。 複雜性會是安全性的敵人 !
請注意使用的詞彙 「 儘可能。 在許多情況下,例如 DRM 技術,是無法提供保護技術原因。 在這種情況下,defenders,必須找出與失真 「 系統 Live 方法或防止所有存取資料。 一般來說,資料,散發給所謂的對手可以永遠不會受到保護。 如果需要受保護資料,唯一的方法執行這項操作是永遠不會散發它。
主要的衝突
因為的複雜我們自然 aversion,InfoSec 函式通常是在道路的區塊為察覺。 我們在 InfoSec 欄位的通常,大部分正確地檢視和我們的工作,以防止存取動作。
「 InfoSec 群組 」 是您哪裡如果您要刪除您的專案。 在邪惡的安全性的傢伙永遠會嘗試停止執行您要。 通常為 true,而且不幸,但不是因為邪惡的安全性傢伙不應該嘗試降低複雜性,並停止錯誤的想法。 這動作是不幸的因為它反白顯示資料的基本商務和安全性群組之間的中斷連線。
關閉保持在燈號
如果您曾經有 studied 的資訊安全性測驗,所一定學,CIA 三角理論 — 機密性、 完整性和可用性。 它可描述在保護資訊的目標。 我們必須提供對不應該對於那些需要存取資訊的人可以存取它、 完整性,以確保資訊正確和可用性的任何人資訊的機密性。 因此,一些安全性群組會考慮大部分的工作是關於確保指示燈會留在確定的可用性。 其他會假設完全相反的方法,並考慮其工作將燈號保持關閉,防止任何與存取資訊的合法需求包括。
我會認為,如果您的適當的合作關係與業務安全性群組可以忽略,三角理論的可用性部分。 企業會有其他人更專業可用性和服務層級合約。 如果安全性只與合作夥伴,並確定達到機密性 / 完整性和可用性之間的適當的取捨,安全性功能,可以考慮可用性的次要的重要性。 然後安全性會變成一些有關確保指示燈會關閉,並保持關閉,但佔用到帳戶的商務需求的範圍。 商務,從左到它自己的裝置,可確保指示燈會停留在。 安全性只是要協助企業確定正確的指示燈會停留在其他人保持關閉。 在的感應中的安全性就合理泛空白字元清單的函式。
這是一我在使用其他的安全性人員時找到最神奇的項目。 我們會介紹到商務的高階主管的會議。 高階主管說 「 我們需要您協助安全我們的產品 」。 在安全性的傢伙說 「 好,告訴我有關產品 」。 商務的人說 「 它為 Widget 」 ; 在的 [安全性傢伙立即啟動告訴他們如何保障安全的 Widget。
是遺失這裡? 確定,安全性的傢伙嘗試學習產品是。 但業務目標為何? 什麼企業嘗試達成這個 Widget 的? 如何寶貴是它對企業? 如何在策略性是它? 重要性是它? 有多大的風險是企業願意接受,讓它完成? 商務的人也要? 建置
安全性群組,因此很少知道業務。 安全性的人還假設瞭解讓他們可以告訴企業如何執行動作。 即為不我們告訴組織的其餘部分如何執行企業 InfoSec 專業人員。 它只是我們工作通知,商務為正確的燈號組開啟,並哪些必須保持關閉,根據使用商務的容錯性的風險和其需求。 我們支援和企業建議如何達成的目標,可接受的風險層級,但目標仍擁有的企業不會在 InfoSec 群組所。
當您忽略了資訊安全性
我有最後到達的風險。 InfoSec 實際上是資訊的風險管理。 我們在我們的資訊資產管理風險。 或者,至少我們應該要。 但在許多情況下,我們只是不允許以。 安全性是真正的硬碟賣,因此不清楚,不會因為。 內容,都是安全性的好處? 是什麼構成成功? 被入侵密只是 「 我們沒有無法取得碼今年嗎? 」 您可以永遠不會進行的該陳述式,並會確定是否正確,您可能已經被入侵密碼,但注意到失敗。 事實上,無法投入足夠的金錢及時間 InfoSec 是確保您不會注意到當被入侵密您的碼真正的好方法。
有許多潛在後果忽略 InfoSec 和,在某些情況下的 appalling 缺乏後果。 某些方面 neglect 可能導致遺失您的工作,或造成犯罪的費用。 無法保護隱私權的子系,例如,是犯罪在子系的 Online Privacy Protection Act (COPPA) 在美國和其他國家,例如加拿大和澳洲,國家 statutes 下。
會根據客戶信任,並在其中客戶發現它明顯是風險為企業安全性是成本做生意。 在的人已經 nervous,並且是微不足道的切換成本在世界有單一的漏洞可以 Doom 企業。 在 [世界的線上銀行,單一主要和非常公用破壞例如,會可能是足以設定線上金融交易回年。
這,但是,似乎不保留在其他的產業。 接受 [TJX 公司或 Heartland,信用卡處理器,例如。 即使 appalling 層級的安全性的 neglect 造成,遭竊的幾乎每個美國擁有這些卡片的其中一個,信用卡的之後,公司就仍然商務。 TJX 破壞已進行早期 2007 中的公用的。 該相同的年度公司的 CEO,.Bernard Cammarata,會喜歡在薪資 $911,539 加上關於 $ 1.6 百萬庫存和其他的補償。 在的公司 Carol Meyrowitz 的 「 總裁盈餘分析時 overseeing 組織啟用最大的信用卡盜用記錄中,然後無法注意它發生時的 posh $ 7.5 百萬 — pales 比較以她的客戶和信用卡公司損失的圖形。 在實際的成本,Heartland 破壞的是清楚的撰寫的。 不過,我有沒有 handsomely 報償 valiant 它是完全 avoidable 有它只是實最基本的資訊安全性措施的危機處理的方式使用其執行管理的疑問。 neglect] 和 [合理仍然是 virtues 遠太多的公司。 清楚地,我們會提供長到時責任 InfoSec 的方式。
在政府層級的責任
責任的主題,我建議您閱讀報表從中心的策略性 (& S) 的國際性研究 (CSIS) 標題為 「 保護 Cyberspace 44th 的 Presidency 的." 在 12 月 2008,已發佈報表撰寫的 U.S. 代表 James R。 Langevin 和 Michael 的 T. McCaul,一起的 「 高可信度電腦運算,Scott Charney,薛一般 Harry Raduege,USAF (ret) 的 Microsoft 副總裁。 目標是傳入的 Obama 管理 cybersecurity 周圍的配置策略。 更有趣但,是重要評估的方式 cybersecurity 已忽略先前的管理下,報告指出"cybersecurity 已現在為美國主要國家的安全性問題 」。
有趣的是,報表代言人群組長而不是與在 「 Forefront,對手的 Microsoft 軟體產業的位置: 採購規則磁碟機所要的方向,在資訊技術產品的使用 (特別是軟體。 詳細說明這重要時,報表無法不會 mince 文字。 它特別指出該 cybersecurity 是在 「 戰鬥我們會失去 」。 此外,它表示 「 弱式 cybersecurity dilutes 時 subsidizing 研究與開發工作,外部的競爭者的創新我們投資 」。 是,採用的相同陳述式,然後套用至幾乎任何組織 InfoSec 工作沒有自動縮放。
[圖 1 [您真的需要登入您的信用卡?
不適當的接受度的風險
失敗的許多來自的不適當的接受的風險。 人力星球傾向 underestimate 風險和 overestimate 優點。 特別是,我們 underestimate 我們發現難以瞭解例如 cyberspace 方面的風險。 我們可以很輕易地視覺化實體的風險。 即使 500 美元的保險 deductible 和正在 inconvenienced 幾天,是潛在的缺點,汽車的遭竊的大多數的人會鎖定其汽車。 我們在門鎖定我們房舍即使在 burglaries 的極少數的位置。 在但是,我們銀行陳述式中擲回的記憶體逐字將罪犯他們偷取我們所擁有的所有項目所需要的所有資訊。 我們會登入我們的信用卡的 「 回應,並儲存與我們 checkbooks。 將這些因素來放在一起且在罪犯他,清空您的支票帳戶所需要的所有項目。 它會為非常因此我的信用卡看起來像 [圖 1 ] 所示的智慧卡。
其中一個 InfoSec 管理的最重要的層面是有風險的精確的認知。 這是 InfoSec 群組的時候。 它是協助企業瞭解的風險,它會接受,確保企業瞭解風險,並正確值,這些摘要報告這個核心群組。 傳統上,我們已經太過簡化有關我們值風險的方式。 我可能 2008 期的安全性監看式資料行的標題為 「 配量的安全性的原則「 我會介紹的年度的損失預期 (ALE) 的方程式用來 asses 風險 (請參閱版本 [圖 2] ).
[圖 2 : 修改過的年度預期損失 (ALE) 方程式
不過,這不只是有關評估風險。 要在受信任警告超過的。 在未來的 InfoSec 管理此系列中的片段中,,我將討論最更深入的風險。
一個藍圖
這時候我們越來越接近 true InfoSec 的目的。 我認為有四個中央層面,所有覆寫的原則,應該指南 InfoSec 根目錄:
保留的可接受的層級的風險 在 InfoSec,專業人員的工作,是第一次是保留的可接受的層級的風險。 這包括我這裡所討論的內容 — 確定燈號停留在關閉,右邊的指示燈,而通常確保該資訊已提供所需要及不沒有任何人。 保持在可接受的層級的風險,核心問題建立指的 「 接受 」。 其實可接受會受到在以後的文章將討論的許多因素。
啟用企業 首先是,並 InfoSec 群組將會是企業的成員。 您的工作是啟用企業不來停止。 可以檢視他們的角色,以防止業務本身很少的 InfoSec 專業人員會遇到更長期的成功。 它們也不會非常忙碌大部分的企業只會避免和繼續進行,不需從 InfoSec,經常進行不適當的更多的風險管理的取捨的輸入。 再次,我們是以下保護企業中,並說明它達到其目標,時管理風險。
建議的風險 InfoSec 會有一個操作的角色管理網路裝置、 安全性軟體及程序 (例如,補充程式管理和意外事件回應)。 這項操作的面是 InfoSec 其中通常是最明顯。 部分能有,最大的影響,不過,是諮詢容量。 為的警告,InfoSec 應該當做的內部諮詢資源 lending 安全性專案最寬的觀點。 這可以是非常 fulfilling InfoSec 專業人員,享受建立直接的值為公司的使用者的角色。
建立風險管理原則和程序 最後,InfoSec 所管理的整體資訊風險狀況,透過原則和程序。 表示 InfoSec 群組必須評估風險對商務、 建立原則,並定義處理序。 評估風險的大部分所組成的組織會管理風險的方式,以及其慣用的狀況應該進行分析。 根據的原理,InfoSec 就會建立一組 codify 組織的風險狀況的安全性原則和的管理原則。 這些原則再實作於一組的程序,協助組織遵循。
向上換行
在這的篇文章我已探討 InfoSec 管理的基本的藍圖。 在機碼在於瞭解 InfoSec 企業核心部分,而且必須受信任的警告器,其餘的企業。 而不是要與業務衝突,InfoSec 群組必須與業務,以協助達到可接受的風險層級,其目標的整個企業的其他部分建立關係。 只能再 InfoSec 可以有效。
但這只是開始交談。 當我繼續這一系列資訊安全性管理,請參閱安全性監看式資料行的未來 installments。
Jesper Johansson 為已知的財富 200 公司使用風險為基礎的安全性的願景] 和 [安全性策略的主要安全性架構設計人員。 他也是 TechNet Magazine 在特約編輯。 他的工作包括確保世界中的最大、 最分散式系統的一些安全性。 他會保留在 Ph 管理資訊系統,在有超過 20 年發生在安全性,且企業安全性的 MVP。 他的最新著作都有 Windows Server 2008 Security Resource Kit (Microsoft Press 2008)。