20%的投入换来80%的回报：网络安全的二八法则

安全团队怎样用20%的努力换来80%的回报？

信息风险由多个部分组成。有太多的威胁需要单独评估，太多的漏洞需要立即修补，控制措施选择又如此之多，安全主管应该从何处入手？事务的轻重缓急该如何排序？我们怎么用20%的努力换来80%的回报？意大利经济学家维弗雷多·帕累托（Vilfredo Pareto）提出的“帕累托法则”断言，诸多事件中，80%的影响源自20%的原因。

我们能否确定网络安全帕累托法则？只要安全团队能够专注以下六个重要事项，我们就可以在网络安全领域应用帕累托法则达成效率提升目标：

法则1：发展和治理健康的安全文化

曾担任首席信息安全官多年的CISOSHARE总裁兼首席执行官Mike Gentile认为，截至2020年，安全领域发生了很多变化，但有两点保持不变：

1. 高层管理人员对网络安全的重视程度不足以使安全项目充分发挥作用。

2. 第1点的原因并不是高管不在乎网络安全，他们很在乎，而且他们不想让自己的名字出现在事发后的头条新闻中，但他们确实缺乏对安全的明确定义。

每家公司对安全的独特定义都应在安全章程中加以阐明，安全章程规定了安全项目的任务和要求，以及治理结构和明确的角色或职责。具体讲，该章程规定了安全部门报告和回答某些问题的地点和方式，比如公司是否应该设置CISO职位，这个职位该向IT还是CEO报告？

通常，顾问的答案会是“这得看情况”。但是，对这个问题的探讨不应就此终结：任何一家公司在这个问题上都存在一个正确答案。比较合理的看法是：一旦公司达到一定规模或承受一定程度的安全压力，就应该赋予其最高安全主管CISO的头衔。具有CISO头衔的主管应能直面高管和董事会。

公司企业还应通过有效的沟通和安全意识项目来巩固企业安全文化。采用用户意识和培训计划改善安全行为，并在目标受众中创建网络安全倡导者（或拥护者）网络。

法则2：从业务角度管理风险

为了使业务风险所有者对信息风险负责，并100％支持正确的安全措施，需要从业务角度阐述和管理风险，例如上市时间、金钱损失、机会成本和品牌。为此，公司企业可以采用ISO 31000风险管理框架中的信息风险因素分析（FAIR）模型。该模型支持定量风险分析，能以安全主管和业务主管都能理解的语言，提供一整套风险管理流程。

为什么要采用FAIR模型？因为The Open Group已经将FAIR作为风险分析的分类标准。为什么要采用定量方法？因为不定量就难以确定安全活动或开支的优先级。正如FAIR协会主席杰克•琼斯（JackJones）常说的："对大多数公司而言，安全开支就像广告预算一样。你知道自己要浪费掉一半；只是不知道浪费的是哪一半。”

法则3：确立控制基线

为了降低风险，公司企业必须确立基线控制。每项业务都存在一些基本的控制措施，这些控制措施之于安全防御的意义，就好像你家门锁是自家安全的第一道防线一样基础。但是，应该是什么样的门锁呢？钥匙谁拿？谁来检查？需要监控摄像头和警报器吗？要知道，NIST 800-53这样的行业控制框架，包含成百上千种控制和子控制。

最好制定出20个遵循NIST网络安全框架的简化版主要控制类别。举个例子：

• 根据风险确定各类别中细粒度控制的优先次序

• 使用共享责任模型为第三方（如云安全提供商）指定控制要求

• 根据业务的逻辑或物理足迹，及其文化、运营和合规性要求，调整或扩展控制部署风格。

法则4：简化并合理化IT和安全

无法管理就无法保护。混乱的IT环境中无法统一实现控制基线。由于没能合理化数量过多的基础设施平台和企业应用，很多IT团队已经背上了沉重的技术债务，而混合云的加入往往进一步恶化了这个问题。大公司甚至会有多个业务部门分别运营多个IT技术栈的一部分。构建堪比IT基础设施一样复杂的安全基础设施，不过是在浪费安全预算。

若想起到建设性作用，安全主管可以：

• 参与IT策略讨论，聆听并提出建议

• 利用安全的跨职能角色，帮助改进IT架构，使安全控制贴合IT

• 将安全人员或专业技能融入负责第三方管理、云安全和DevSecOps的业务或IT部门。

法则5：访问控制尽量避免影响业务

欧盟《通用数据保护条例》等隐私法规的实施，令身份与访问管理和数据治理变得更加重要。每项业务都有信息资产应如何访问、共享或使用的相关要求。通常，业务经理和员工须自行管理访问权限或定义访问控制规则。这些规则应在客户隐私或信息机密性与员工工作效率需求之间取得平衡。但应通过用于角色管理或访问权限分配的安全工具和过程来实现这些规则。

法则6：建立弹性检测、响应和恢复

威胁持续存在，监管压力越来越大，公司企业需要较好的网络弹性来抵御威胁，应对监管。网络弹性就是快速检测、响应网络攻击和中断，并从中快速恢复的能力。其中最为关键的几项功能包括事件响应、安全监控和业务连续性/灾难恢复计划。这些计划必须贴合IT、法务、人力资源、设施管理和公共关系等业务职能。前期应急规划也可以使公司企业获益。

掌握所有网络安全帕累托优先事项是一项长期工作。首先执行哪一项，按什么顺序进行，要关注哪些细粒度控制，以及要进行到何种程度等问题，都取决于业务类型和成熟度水平。不过，对大多数公司企业而言，这些优先事项都应该是考虑的重点。因为这些事项相辅相成，应尽量并行开展。探寻协同效果和业务一致性。规划适合自身的合理网络安全方法。

NIST网络安全框架：（点击阅读原文可直接打开链接）

https://www.nist.gov/cyberframework

关键词：二八法则；

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。