來自霧幟智能K2實驗室的汪浩博士在XCon上做了《信息安全風險的量化》的報告后,后臺收到不少PPT的下載請求。但PPT內容精簡,本文是對報告的深入解讀。閱讀本文大概需要15分鐘。
報告的主要內容包括:
1.一種描述安全風險、衡量安全績效的方式
2.一種處理復雜、不確定問題的計算流程
兩個問題
要做的工作很多,優先級怎么定?
我的工作對公司/組織的貢獻有多大?
不管你當前是技術骨干,還是管理精英,一定在某個時刻考慮過以上兩個問題。不妨想一下你的答案會是什么。
汪浩采訪了幾位安全領域專家,匯總之后的結論如下:
優先級,可以有以下幾個考慮方向:個人經驗和積累;看行業最佳實踐;找業務了解安全需求;非常重要的合規等等。
貢獻則可以從這么幾個點來描述:合規沒有問題,安全事故減少了,外部發現的漏洞減少了多少,安全能力增加了多少,覆蓋了多少風險場景等等。
這說明當前的規劃和匯報策略是可行的。那為什么還要討論別的方式呢?
用錢衡量安全工作
接受采訪的幾位專家同時提到,安全的上級主管,比如CEO,是認可甚至鼓勵現有的規劃方式的:就是通過看齊行業最佳實踐、滿足合規要求等確定優先級;他們也接受現有的安全成績的匯報方式。安全預算申請時,被以投資回報率這種量化指標來挑戰這種事,基本不會發生。這說明當前的規劃和匯報策略是可行的。
那為什么還要討論新的方式呢?因為用錢討論問題,在易于理解這一點上,有不言自明的優勢:其他團隊能理解,領導也能看懂。此外,就像我們將要看到的,以錢量化安全成績,有望解決安全工作“做不好會減分,做好不加分”,這個我們一直認為是安全職業屬性的難題。
但很可能你也曾或多或少琢磨過,甚至是親身實踐過化安全風險的量化。事實上,學界相關的研究一直就沒有斷過——攻擊圖(attackgraph)有至少20年的歷史;新一些的如貝葉斯攻擊圖、博弈論討論內鬼作案可能性等等,不可謂不先進。但似乎并沒聽說過基于這些技術的風險量化方案落地案例。為什么?
業務部門用錢描述成績,是因為它的KPI是實際發生的,簡單匯總即可,用到的技術主要有:加、減、乘——可能都用不到除法!但安全面對的是不確定性,是不斷變化的攻擊面,這些簡單工具顯然不夠用。但太復雜而玄妙的,做出來可能自己也難以相信,也就很難持續。
閃電實驗室發布用于人工智能開發的新比特幣工具:金色財經報道,構建比特幣閃電網絡的公司Lightning Labs推出了一套專為人工智能開發而設計的新工具。該套件包括 LLM Agent BitcoinTools,它允許開發人員創建可以保存比特幣余額、在閃電網絡上發送/接收比特幣以及與閃電網絡守護進程節點交互的人工智能代理。此外,該版本還包括 Aperture 反向代理服務器,它支持 Lightning Node Connect 并提供動態 API 端點定價。[2023/7/7 22:22:47]
概括來說,把安全風險和成績換成錢,有以下三個困難:
1.不確定:會不會被攻擊?攻擊會不會成功?攻擊成功會不會造成實際損失?
2.太復雜:最典型的——數據泄露被媒體報道,聲譽損失要怎么算?
3.數據少:重大事件原本就少,被攻擊的公司又通常不會公開
他山之石
要想把安全風險就換成錢,而且讓別人認可,我們必須能夠克服以上這三個困難。逐個看下來,我們會發現在其他領域已經有成熟的,或者行之有效的解決方案了:
1.用概率工具和風險管理語言,解決不確定性困難。金融行業,比如保險,會面對很多不確定的問題。像地震、奧運會舉辦延期,都非常罕見。但客戶出險,保險公司作出賠償,不會因此就認為精算師工作做的不好。因為風險經過了量化,這樣的結果在預測之內。企業風險治理是另一個處理不確定的領域。在這類包含不確定性的領域,人們使用概率、數值模擬來描述這些不確定性。除了錢之外,CEO們也精通企業風險治理,這意味著用類似的語言跟他們溝通,效果更有保障。
2.分類分解,解決復雜性困難。這方面,像麥肯錫這類咨詢公司比較有經驗。把問題或者主題,按照統一的方式,分解成幾個小問題。每個小問題比較容易解決。金字塔原則,零秒思考之類名詞,都是在講怎樣高效率地把復雜、沒有頭緒的事情系統地拆解為可解決的問題。
3.提取專家經驗,解決數據少的困難。把領域專家經驗作為數值給挖掘、提取出來,可能是質量很高的數據。人們平時很少用數字去思考,但能安全的在馬路上穿行,說明了大腦中各種信息的有效性。這涉及認知科學,得從相關文獻里找工具。但也有咨詢公司做過不少嘗試,效果可能超出你我預期。
如果你碰巧對以上幾個方面都有研究,可以嘗試把它們組合起來,應用到安全領域,設計一個安全風險量化方案出來。但現在有一個現成的——已經有人組合了這么一套框架出來,對自己搭框架也會有借鑒意義。
某鯨魚地址將56.9萬枚RNDR轉入幣安,隨后幣價下跌:金色財經報道,據鏈上分析師余燼監測,有一個每次轉幣到Binance后都會市價直接砸掉的鯨魚地址,其操作方式是:Binance買入→提到地址存放→轉入Binance →市價出售。最近的幾次轉入情況如下:
5月2日07:57,轉入Binance 569,000 RNDR (122萬美元),隨后RNDR價格2.2美元→2.17美元;
4月14日08:37,轉入Binance 748,307 RNDR(123萬美元),隨后RNDR價格1.65美元→1.61美元;
4月9日00:23,轉入Binance 2618萬ACH (103萬美元),隨后ACH價格0.0389美元→0.0383美元;
3月23日00:36,轉入Binance 36,358 SSV (139萬美元),隨后SSV價格37美元→35.1美元。[2023/5/2 14:38:25]
FAIR
這個框架叫做“信息風險因子分析”,簡稱FAIR。
目前在美國,FAIR可能是應用最廣的信息安全風險量化框架:
FAIR學院的成員遍布Netflix,惠普等超過45%的美國財富1000企業;NASA、美國能源部等政府部門使用FAIR量化風險;IBM有一個知名的年度數據泄露損失報告,2021年版使用FAIR來量化數據泄露的損失;NIST2021年報告《將安全與企業風險管理整合》建議以FAIR作為量化安全風險的手段;FAIR被TheOpenGroup收錄,是目前安全風險量化唯一的國際標準。
Figure1IBM數據泄露報告2021以FAIR量化風險
可以看到,FAIR至少是在部分組織里被接受、并實際使用的。雖然FAIR執行起來需要費些腦筋,但能夠被眾多公司和機構接受,來替代簡單易行的最佳實踐、風險矩陣,應該是因為FAIR做了某些雖然麻煩、但是正確的事情。
案例:一個有問題的分析
勒索攻擊最近兩年已經成為最受關注的信息安全威脅。一個電商公司想要知道自己遭受勒索攻擊的風險。
先看一下一個過于簡單的量化是怎么做的:
1.提出問題:公司被勒索攻擊的風險?
2.風險分析:安全專家判斷:損失頻率0.01-0.1次/年,最可能是0.01次/年;經過內部討論,認為損失大小100萬-1000萬,最可能是在200萬上下
Aave:Yearn Finance被盜事件對Aave v2、v3沒有影響:4月13日消息,Aave 在其社交平臺表示,Yearn Finance 被盜事件對 Aave v2、v3 沒有影響。而對于 Aave v1 的影響正在確認,該協議的最原始版本已被凍結。Aave 正在密切監視情況,以確保沒有進一步的問題。
此前有社區反饋,此次 Yearn Finance 被盜事件是黑客通過 Aave v1 發起閃電貸攻擊引發,派盾表示該事件的根本原因或是 yUSDT 的相關設置錯誤被黑客攻擊。[2023/4/13 14:01:30]
3.匯報結果:1萬-100萬/年,最可能是20萬。
從問題到求解,因為在如下幾個細節處沒有合理進行處理,使得它實際上沒法用。
問題模糊——
今天要想執行一次成功的勒索攻擊可能是要費些功夫的,如果目標有備份,那么連同備份服務器一起加密才能勒索成功。根據自己公司的情況,對手是小黑客,還是有組織的、用到了“勒索即服務”(RaaS)的團伙?兩者造成的損失發生率不同,單次損失差別可能也比較大。混在一起分析,不會有可信的結果。所以,把一個受關注的風險,拆分成幾個明確的場景是關鍵的第一步。比方說,簡單分析之后,結合自己公司的實際,你發現小黑客的風險可以忽略,把這個結論記下來;然后進一步把勒索團伙作案的勒索攻擊方法,拆分為“通過釣魚郵件入侵內網”,“通過遠程桌面暴力破解管理員密碼入侵內網”兩種場景;這兩種的發生頻率可能不同,但單次造成的損失應該是一樣的。
問題模糊是困難2里的一個原因,FAIR這個框架的第一步是明確場景,降低復雜度。
數值由來不清楚——
這個量化方案中,把損失拆解為損失頻率和發生次數,這是沒問題的。但損失頻率是怎么定出來的?單次損失大小是怎么定出來的?有什么道理嗎?要想對一類事件發生之后涉及的損失大小有全面了解,需要多個部門的信息。安全部自己定的損失,很難經得住推敲。
FAIR對這個問題的解決方法是因子分解和引入領域專家。因素分解體現為如下一棵樹形數據結構。我們大概描述一下,風險=損失發生率*單次損失大小——這個很自然吧?如果損失發生頻率不好估計,可以進一步拆分為威脅發生率和脆弱程度,如此細分下去——圖里的每一個節點的定義,都是FAIR這個框架的一部分。但在計算一個風險時,我們通常只會到第二、三層。以筆者的理解,層數越少越好,如果能直接估計損失發生率,就不要繼續拆分——因為越向下細分,離真實、可驗證的數據越遠。
Yuga Labs:將全力配合SEC相關調查:10月12日消息,Yuga Labs 就遭 SEC調查消息回應表示:作為該領域的領導者,Yuga Labs 將全力配合 SEC 的相關調查。政策制定者和監管機構試圖更多地了解 Web3 世界,我們希望與其他行業和監管機構合作,定義和塑造蓬勃發展的加密生態系統。
金色財經此前報道,美國證券交易委員會(SEC)正針對Yuga Labs發布的部分NFT是否更類似股票,以及Ape Coin是否違反聯邦法律的問題展開調查。[2022/10/12 10:31:29]
Figure2FAIR因素分解示意圖
對于用到的節點,如果數據充分,我們可以直接用,這是理想狀態。但前面提到的困難3,僅有的還可能不準確。比如勒索,同行業有很多公司,但實際中了勒索可能很少;選擇公開的會更少。這時候專家經驗就會發揮作用,但需要把準確的信息提取出來。
另外,上述提到損失會有多種。在對已知事件的歸納總結基礎上,FAIR把損失類型分為六種,從而任何事件,按照這六種逐個分析就可以。
(1)生產力:典型的像可用性受到破壞,業務中斷或降級,都會影響營收
(2)響應:發生安全事件,安全團隊,業務、HR、客服、公關部門都可能要出人手應對。在此期間,這些人無法進行日常工作,構成響應費用
(3)替換:員工因惡意泄露信息被開除,需要新招聘員工
(4)競爭優勢:核心數據泄露,并購信息泄露等,造成競爭中的被動
(5)法律處罰:比如數據泄露被罰款
(6)聲譽:股價下跌;融資成本上升;員工留存或招聘的成本上升等
現在你只需要相信,任何損失都可以不重也不漏地分解為這六種形式就好了。換句話說,按照這六個方向思考,可以把可能出現的損失都算進來。
把損失分解開之后,就可以進行數據采集了。如果有公司自身的歷史數據最好,否則就需要借助專家經驗,這是為什么需要安全同HR、法務、業務各領域專家充分溝通。比如HR專家幾乎一定聽說甚至參與過員工違規事件的處理,對這方面的損失有更合理的預期。FAIR將專家估計等同于數據,因此如何將專家的估計提取為數字顯得至關重要,稍后我們會詳細介紹方法。
總結一下,這里涉及的困難是損失分析起來涉及方面太多,以及數據太少,而FAIR的對策是因素分解,以及引入相關領域專家。另外需要注意關鍵一點,在每一個估計結果處做好記錄,即為什么這么估計?比如,為什么忽略小黑客們勒索的威脅?
域名服務商BNS將支持BAB持有者免費注冊域名:9月11日消息,BNB Chain域名服務商BNS將對BAB持有者提供免費注冊域名的權利。據悉,BAB是Binance為KYC用戶發行的靈魂綁定代幣,BNS通過這一活動已經獲得接近10% BAB持有者的支持。[2022/9/11 13:22:53]
這樣,因為有明確的場景,每個分解都對應著確切的概念,數據采集過程有詳細記錄,同時估計結果由利益相關方的專家給出,結果就能經得住挑戰和復盤。
然后我們繼續分析前述過于簡單量化方案中的第三個問題。
Figure3一個過于簡單、問題多多的量化流程
結果匯總——
這里并沒有明顯的問題。實際計算中,因為每個場景對應多類可能損失,各損失對應的風險值也都以一定的形式彌散在某個范圍內。將隨機變量整合起來,沒有簡單的解析辦法。
Figure4FAIR的量化流程
FAIR使用數值模擬來進行結果匯總。這是一個在金融和科研中常用的手段,也應該是惟一的辦法。除了能夠解決多個風險相加的問題,它得到的是一個完整的風險分布,基于它可以很方便地得到以不同方式呈現的風險。比如損失曲線(lossexceedancecurve;圖5);風險矩陣,甚至是散點圖等。這一步有開源工具可以直接使用,只需要輸入各個范圍,就可以自動算出風險,甚至自動生成風險報告。
Figure5損失曲線
Figure6風險矩陣
Figure7模擬結果
以上通過一個反面案例,把FAIR的流程梳理了一遍。雖然看似復雜,但當分析的風險增多,你會發現有很多數據可以復用。客服的人時費用、工程師開會的人時費用、替換工程師的損失等數據,短時間內可以認為是常數;一次獲取后,可以用在很多有場景內。另外,每個場景的FAIR風險分析,半年或者一年做一次就可以。
專家知識的挖掘
報告把FAIR流程中的一個重要但人們接受起來有困難的問題,單獨做了講解。
前面提到,提取專家知識,是為了解決量化困難3。FAIR在計算中將專家估計與數據同等對待。也因此專家估計的準確性,決定了最后結果的準確性;如果專家估計不可信,那么前面這一切從一開始就不用做了。
壞消息,是我們的主觀估計通常來說是不準的。好消息,是它可以被“校準”。為此,報告中設計了一個互動環節,結果堪稱完美:參與答題的觀眾中,100%改進了估計準確度;其中更有超過40%可以認為校準至準確——通常人的估計能力是需要經過多輪校準才能達到準確的。讀者不妨也試一下。
第一次估計
寫出以下問題的答案。它們并不容易;但不知道準確答案沒關系,只需要給一個范圍即可。要求是你有90%的把握,正確答案在你給的范圍里。這些問題乍看起來和安全沒關系,反倒像是個無聊游戲。但只要花幾分鐘試一下,你會發現這種能力是可以應用到包括安全在內的所有認知領域的。現在開始。
1.天安門城樓最高處有多高?
2.北京到上海的空中距離?
3.朱自清先生《背影》的寫作時間?
4.第五套人民幣100塊錢的長邊長度?
5.第五套人民幣100塊錢的短邊長度?
6.XCON會場的經度是多少?
7.XCON會場的緯度是多少?
8.中國有多少地級市?
9.乒乓球臺有多寬?
10.諸葛亮哪一年去世?
強調一下,只要你有90%的把握,正確答案在你給的范圍里就好,比方說10m-20m。這里面可能有的問題你不清楚,甚至感覺完全沒概念。不要擔心。我們練習的目標之一,正是從“沒概念、不知道”,到能夠給出答案,并且是準確的答案。為了見證這個變化,對每一個問題,你務必要給一個范圍,不確定的話,范圍可以取大一些。最關鍵的是有勇氣,不放棄!
Figure8一個90%中獎率的轉盤抽獎
校準及第二次估計
現在我們一起對大腦的“估計系統”進行一次校準。有耐心讀到這里各位讀者,一定都是業界精英,對玄學和忽悠也會比較敏感。但你要相信,接下來的內容有理論依據,且經過了實踐的驗證。請暫時忽略頭腦中嘀嘀作響的告警信號。
首先,剛才題意是說,你有90%把握,正確答案落在你給出的范圍以內。這意味著,對于每一道題有90%的可能性你答對了。現在我們給答題加上一個贏錢的設定如果你答對了這道題,就會贏一萬塊錢。因此對于每一道題,你應該有90%的概率贏1萬塊錢,否則就沒錢。
Ok,沒有問題的話,先把這個游戲放一邊。
來想象另一個游戲,轉盤抽獎。這是一個餅狀圖,小的這個部分占10%,其余的占90%,注意,這里的刻度是準確的。12點位置有一個固定的指針。主持人撥一下轉盤讓它轉起來,如果指針最終指向綠色區域,就是大的區域,你就會贏得1萬塊錢,如果指針停在這塊小的藍色區域,就沒有錢。那么你贏的概率有多大?
——這不是腦筋急轉彎,概率也是90%。
現在,對于每一個問題,請你在“回答問題贏獎金”和“轉盤抽獎”之間選擇一個游戲。兩個游戲的贏錢概率理論上都是90%,你會選擇玩哪個?
如果是更傾向于玩轉盤游戲,那意味著你現在認為,自己所給的范圍并沒有90%的正確把握,就請調整下你的答案范圍。直到你覺得這倆游戲的勝率差不多,隨便選哪個玩都行。然后寫在第二列。如果更傾向于玩第一個游戲,也是一樣;你的大腦認為,自己所給的范圍太大了,那就縮小一下范圍。直到你覺得玩哪個游戲都一樣。
在公眾號留言“答案”即可獲取十個問題的正確答案。然后統計下兩次估計的結果。你分別答對了幾道題?也可以在文后留言告訴我們。
對原理的討論
我們完全沒有概念的東西可能非常少。至少比我們所認為的少——我們只是從來沒有用明確的數字去描述一個東西,但相關信息大腦已經編碼好。要提取這個編碼,我們需要用到一些認知科學的結論。人類的大腦有如下兩個特點:
(1)過度自信。所以才會發生“大多數司機認為自己駕駛水平高于中間水平”的事情;
(2)損失厭惡。一個“可能贏100,也可能虧100”的游戲,大部分人不會去玩。因為雖然平均來看不贏不輸,但損失100塊錢的痛苦大于贏得100塊錢的快樂,即情緒的平均值是負的;
第一次答案,我們給的范圍往往偏小;這其中部分原因是過度自信。另一個原因,則是我們更習慣給一個確切的數,即不自覺地追求“精確”(accurate)。但對于決策,準確很重要——你可以給一個對但模糊的范圍,這樣結果可能也會模糊,但最多也就是對決策用處不大而已;但給一個精確到小數點后三位的錯誤數值,一定會誤導決策。我們需要有意識地在精確和準確之間做平衡。
第二次答案中,我們加入了贏錢設定。雖然我們知道是假設,但大腦的損失厭惡能力已經激活。即便不用轉盤做輔助,準確率也會提高——我們得以用大腦的一個缺陷去對抗另一個缺陷,完成對大腦中信息的準確提取。最后,轉盤圖像可以調動視覺功能來糾正大腦對90%認知的可能的偏差。
參考資料:
1.Hubbard,D.W.,&Seiersen,R.(2016).Howtomeasureanythingincybersecurityrisk.
2.Freund,J.,&Jones,J.(2015).Measuringandmanaginginformationrisk.
3.張威等(2021).CISO進階之路:從安全工程師到首席安全官
4.NIST.(2021).IdentifyingandEstimatingCybersecurityRiskforEnterpriseRiskManagement.NationalInstituteofStandardsandTechnology,8286A,55.
5.IBMCorporation.(2021).CostofaDataBreachReport2021.IBMSecurity,1–73.
備注:
如果你對嚴謹性要求比較高,認為專家估計不能用于計算。下面是一個論證,說明專家估計和測量在表現上沒有本質區別。比如,我們所有人都是估計別人身高的專家。所以你看到我的時候,可能會估計我在1.65-1.85米之間,而且最可能是在1.75上下之類。或者是一個更小的范圍。寫出來就是1.75m+-10cm。注意,這跟拿一個尺子量在形式上是不能區分的:我們從初中物理學過,每次測量都有誤差,所以需要多次測量,最后的測量結果類似1.76m+-2cm。因此經過校準的專家估計也是一個測量系統,只是有可能精度不高。
在霧幟智能公眾號留言“答案”即可獲取文中問題的正確答案
560億元 從去年開始,我國就在深圳等地率先開啟了數字人民幣試點工作。截至今年10月22日,我國數字人民幣試點場景已超過350萬個,累計開立試點場景1.4億個,交易金額約560億元.
1900/1/1 0:00:00近日,我們通過相關渠道獲悉,路虎在海外正式推出路虎發現的Metropolitan版本和R-Dynamic的商用車型.
1900/1/1 0:00:00Kabosu是一只小柴犬,雖然你可能不知道它的名字,但是Kabosu的確是一個互聯網網紅,因為正是它的一張照片,最終產生了多個著名的加密貨幣,其中包括大名鼎鼎的當紅明星狗狗幣和柴犬幣.
1900/1/1 0:00:00原標題:當心!一些“元宇宙游戲”“云挖礦”APP成詐騙陷阱新華社上海12月15日電題:當心!一些“元宇宙游戲”“云挖礦”APP成詐騙陷阱新華社記者蘭天鳴、胡拿云近期.
1900/1/1 0:00:002021年11月15日,阿維塔科技在上海進行了品牌全球首發,這個世界上又多了一個高端新能源汽車品牌。和品牌Logo同時亮相的,還有阿維塔科技旗下首款智能電動車——阿維塔11.
1900/1/1 0:00:00新冠疫情已經兩年有余,也在無聲重塑著許多行業,尤以第三方獨立醫學實驗室為甚,為其帶來巨大增量市場空間,推動行業景氣度上行.
1900/1/1 0:00:00