2017伊始,朋友圈就被一个词刷屏了,那就是“黑天鹅”,到底什么是“黑天鹅”?
这里所说的“黑天鹅”是指“黑天鹅”事件。著名商业思想家纳西姆·尼古拉斯·塔勒布在其著作《黑天鹅:如何应对不可预知的未来》中将“黑天鹅”描述为出乎意料的并会带来巨大影响力的事件。
如果缺乏网络态势感知,“黑天鹅事件”可能只有借助事后的智慧被合理化。
当谈及网络安全,“黑天鹅理论”尤为重要。随着网络空间的规模和行动不断扩大,网络空间与日常生活日益交织。考虑到一体化日益明显,“黑天鹅事件”能以指数效应产生重大后果。
态势感知防止 “黑天鹅”网络事件? -E安全
事后诸葛亮
“黑天鹅事件”无法预测,只有通过事后的智慧将其合理化。然而,组织机构仍能模拟或概念化某些影响严重的低概率场景,制定事件响应计划。
雅虎、Target和索尼遭遇的数据泄露事件并不是典型的“黑天鹅事件”,因为在这些事件中,受害者本能预测并做好准备。
2013年,美国零售商巨头Target遭遇数据泄露,4000万张借记卡和信用卡数据被窃取,之所以遭遇如此重创,是因为第三方HVAC供应商安全性差。
同样,索尼影业遭遇入侵是因为访问控制政策过于宽松。
2013年,美国纽约水坝遭遇网络攻击,其原因在于蜂窝调制调解器不安全,才让威胁攻击者乘机控制关键基础设施。
如果将非常规的安全漏洞考虑在内,组织机构本能避免这些影响严重、发生概率较低的事件。有效的事件响应计划必须考虑不太可能发生,但具有潜在破坏力的情况。
安全形势不容乐观
2013年,波尼蒙研究所(Ponemon Institute)发布了题为“新兴网络安全技术的效力”的报告。这份报告表明,全球大多数专家认为,威胁格局不断变化,并且越来越复杂。因此,大多数组织机构,尤其银行、金融、保健、制造公司为了防止网络入侵事件,正在部署最新的安全解决方案。
有趣的是,一些调查对象报告称,安全解决方案带来了积极的成效,但他们还表示所组织机构容易遭遇网络犯罪。这种情形表明许多组织机构对可能促成“黑天鹅网络事件”的非传统、未知威胁毫无准备,安全形势不容乐观,。
组织机构部署的解决方案可以有效检测威胁,但只包含已知威胁。诸如防火墙在内的解决方案只能根据定义的访问控制政策防止入侵,并且入侵防御系统(简称IPS)仅能防止符合已知威胁特征的威胁,而无法解决动态的新兴威胁,也就是说这些解决方案并不能覆盖整个威胁格局,因为这些解决方案无法对未知威胁进行防御。所有攻击路径与安全路障隔离之前,网络犯罪分子将会继续渗透网络,影响巨大的高风险情况将会继续存在。
理解网络态势感知
特别的威胁需要特殊的解决方案。虽然无法预测“黑天鹅事件”,但组织机构可以构建安全架构(随威胁格局不断发展)预测威胁发生的可能性和潜在影响力。组织机构必须超越传统的防御模式,以实现动态的安全态势,而非静态的态势。这就需要网络态势感知和信息共享。
根据美国空军前首席科学家Mica Endsley的定义,态势感知是对环境中元素的感知,理解其中的深层含义,并在不久的将来预测状态。
网络态势感知中的感知、理解和预测元素能有效追踪、分析并提供有关新兴威胁、威胁攻击者、漏洞和恶意软件有关的可操作情报。由此,组织机构便可以充分了解自身的安全准备情况,主动采取措施缓解与新兴威胁相关的风险。
提升网络安全防范意识
组织机构内部所有层级必须掌握态势感知,包括董事会成员、高管、IT专业人员、安全分析师、人力资源、财务、销售、营销和第三方厂商和客户。如果所有人在感知方面出现差距(即人们缺乏信息安全保护意识),就可能被诈骗分子利用。
如果这些漏洞被实时修复,网络犯罪分子将难以提高复杂程度。就像指数图一样,网络犯罪分子的创新技术会达到顶峰,也会遇到瓶颈,停滞不前,这样一来,机构就有时间将感知水平拉回正常化。
此外,组织机构需要将态势感知带来的可操作信息与同行和客户共享,以保护整个行业的安全框架。
结合“蝴蝶效应”与“黑天鹅理论”
通过“蝴蝶效应”理解组织机构的安全态势也很重要。根据“蝴蝶效应”,本地化行动每日每刻都可能给复杂系统的其它地方带来重大影响。如果员工的网络安全意识差,每天都在执行不安全的网络操作,这些失误最终可能会导致大规模的“黑天鹅事件”。
由于大多数公司资产与所属组织机构存在关联,本地化行动可能会允许恶意攻击者在网络内、甚至整个网络空间引发灾难性事件。
因此,要防止“黑天鹅事件”,个人的网络使用习惯至关重要。如同软件一样,用户教育需要定期修补更新,而只有通过网络态势感知才能加以实现。
本文转自d1net(转载)