适应性动态风险
风险是安全的界面
安全是一个非常宽泛和抽象的词汇,在日常工作中有时候很难被具象化。组织讲安全,几乎都是围绕着风险展开。
风险是可以具象化和可感知的对象,成为安全的一种衡量标准,也就是安全的界面。简单说,风险就是发生安全事件的可能性或者概率,而非预期发生的坏事件则表述为安全事件。
风险管理的困难之处在于同一个类型的事件,预期发生就是正常事件,非预期发生就是安全事件,而事件发生在未来。显然,当组织脱离上下文来管理风险,风险管理变得脱离实际。当考虑上下文来管理风险,风险管理会变得无所适从。
数据安全是小概率事件
数据安全是小概率事件,特别是在经过网络安全第一道边界防御的安全事件。小概率事件意味着脱离常规,意味着数据安全事件是各种机缘巧合的结果,同样的操作和行为不一定会导致同样的结果,最后一根稻草是很多小概率事件的写照。数据安全是小概率事件,我们把这个论断作为整个风险管理的基础。
结构化风险衡量体系
小概率事件是在概率空间的前提下完成的,依据标准事件的结构构建概率空间。基于经验的风险体系很难面向未来的,而基于结构化的风险体系则可以很好的面向未来:
-
基于单事件的概率空间模型
-
基于时间和空间窗口的概率空间模型
-
基于依赖事件的概率空间模型
-
基于有向拓扑网络的概率空间模型
基于全生命周期的风险衡量
在不同的身份生命周期和资产生命周期中会表现出不同的概率统计表现,特定的行为衡量要在相应阶段的生命周期中进行。
适应性进化
随着时间的推移,资产的构成、行为集、活跃度和连接度都在不断发生,身份的行为模式和活跃度、连接度都在不断发生变化。这种持续性的变化具有复杂网络的适应性进化特点,可以通过适应性进化来持续不断的衡量新发生时间的风险。
模式和突变
在适用性进化过程中,偶尔会发生突变,关于行为模式的突变。对于一个期望均衡运行的网络,几乎任何突变都是高风险,大部分突变都会带来来实质性伤害,少部分突变可能是预期的、正面的。在基于重大威胁防御的数据安全体系中,突变检测是风险衡量的核心内容。
特定风险的进化
绝大部分安全涉及行为和结果都会给正常运行带来干扰。运行保障安全通过对错误、资源、队列等各方面的运行态的观察,发现运行干扰,并通过可观察性快速进行干预,让运行状态回顾。这种运行态的快速检测和干预可以让系统的韧性有效得到提升。
威胁情报
威胁情报表现为已知的特定风险威胁,让我们在无需其他更多知识和积累的情况下可以识别出特定风险。威胁情报加上特定风险的进化演绎可以让威胁情报的价值窗口放大。
风险治理
风险是基于未来的,在未来发生。任何基于未来的判断都具有高度的不确定性,即使是一个过去发生的高风险事件期望他在未来再次发生的时候可以被识别并且响应,也是充满不确定性的。虽然历史总是会重复,但是从来不会百分百重复,而是换一种方式重复。我们不能臆想未来,我们只能依赖过去和已知,风险治理是让组织认识过去和已知的最好方式。
适应性动态风险和韧性
当风险可以基于历史和关系做出动态衡量,可以基于已知对未来做适应性演化,组织网络和数据生态自然就具备了很好的韧性,适应性就是韧性。