當前位置:
首頁 > 最新 > 滄海桑田,看風險評估在這十五年間的變化與演進

滄海桑田,看風險評估在這十五年間的變化與演進

北京 中關村軟體園便利店一角。2018年4月3日。

15年前,如果你懂風險評估,那你是安全行業的大牛;10年前,如果你懂風險評估,那你在安全行業可以找個不錯的工作;15年後的今天,你說你懂風險評估,大部分可能會說「什麼年代了,聊這個太Low了吧」。

風險評估應該算是安全服務、安全諮詢,最為重要的一個組成部分,相信大部分人對它都有著難以割捨的情感。所以,今天就來聊一聊風險評估,那個曾經在安全行業里大紅大紫,現在卻沒多少人太Care的風險評估。

本文以時間順序,來總結一下風險評估發展的各個階段,以及它在各時期所發揮的作用。由於各階段時間上重疊,精確時間沒辦法一一考證,所以,時間只是作為一個階段發展大致參考。

階段一:安全服務中的「風險評估」

在03、04年前後,很多單位正處在安全建設的高峰期,基本上會一股腦兒的將主流的安全產品部署個遍。所以,當時風險評估的作用就是檢測安全建設中存在的問題,並根據評估結果提出合理的安全加固建議。

此時風險評估的內容,以技術漏洞評估為主,融合了一些安全管理的內容;評估方法多採用基於專家評價法的定性分析評價,即在綜合分析資產、威脅和弱點的基礎上,利用影響與可能性來計算風險。

此時期的風險評估,正處在剛剛興起的階段,是安全行業中的藍海。所以,此時的風險評估專業性、規範性好,評估內容全面、實用性強;缺點是比較依賴專業安服人員,沒多少人可以看懂安全評估方法論和報告。

階段二:等保測評中的「風險評估」

在07、08年前後,等級保護工作開始被提上日程,在信息系統定級工作完成後,按照等保要求需要進行安全測評。信息系統等保測評,在很大程度上影響了風險評估市場,畢竟信息系統已經在測評中做過評估了,為什麼還要重複再做一次呢?

等保測評中的風險評估,以等級保護要求合規評估為主,額外增加了安全掃描、配置檢查、滲透測試等內容。評估方法採用基於合規要求的定性分析評價,即在綜合現狀、風險、影響的基礎上,對每項評估條款給出滿足、不滿足、基本滿足的評價結果。

等保測評中風險評估,其形式和內容與安服過程中的評估並沒有太大差別,而且等保合規的壓力對安全問題的整改也起到一個很好的促進作用。但等保測評畢竟是針對三級及以上信息系統,對於大量存在的二級系統以及信息系統之外的企業治理與管理方面,就存在明顯的短板與不足。

階段三:信息安全管理體系建設中的「風險評估」

信息安全管理體系建設在時間上,基本與等級保護測評處在同一時期。信息安全管理體系建設中一個重要工作,就是實施資產識別與風險評估,而且整個體系的建設、運行、改進,也都是圍繞著風險評估進行的。

信息安全管理體系中的風險評估,強調以信息資產識別為出發點,分別評估資產、威脅、脆弱性後,對資產所面臨的風險進行系統的分析與評價。評估方法也從定性評估,過渡到了較為科學的半定量評估,即通過對資產、威脅、脆弱性分別賦值,然後根據綜合計算風險值的大小來評價風險。

信息安全管理體系建設中的風險評估,從評估方法論上來看無疑是非常嚴謹的,對風險評估在整體安全建設的生命周期中的定位也是非常準確的。但是,由於以信息資產為出發點的評估方法論(新版標準進行了改進),存在著實施工作量大、風險存在大量重合、體系偏重安全管理過程等問題,導致風險評估慢慢的流於形式。

階段五:互聯網眾測形式的「風險評估」

大約在13、14年前後,正是傳統安全服務、風險評估開始慢慢變的寡淡無味的時候,基於互聯網服務形式的安全眾測開始爆發,一時間眾測平台如雨後春筍般出現,很多安全白帽子感覺到屬於自己的顛覆傳統的時代終於來臨了。

安全眾測依託於互聯網平台,將安全評估項目分解為一個個具體任務,每個任務設置一定的獎勵金額,最終依據提交漏洞的時間以及發現漏洞的嚴重程度進行評估,來決定白帽子獲得的獎金數量。眾測一般在晚上實施,具有某種技術擂台的味道,而且單人獲得的獎金數量也是非常可觀的,這些對於愛好安全技術的年輕人具有很大的吸引力。

安全眾測天然具有實施成本低、實施效率高的優勢,而且評估系統安全漏洞的效果也很不錯。但這種模式存在的問題也是顯而易見的,最核心的問題便是無法對參與人員的背景、身份、行為等方面進行有效管理與約束。雖然一些比較開放的機構願意嘗試這種服務模式,但出於安全顧問職業審慎的態度,對這種具有鮮明特點、優缺點都無比明顯的服務形式,我並不是特別願意推薦給客戶。

階段六:下一代防禦體系中的「風險評估」

烏雲停擺標誌著安全眾測落下帷幕,這種服務模式短暫的絢爛奪目,似乎更像是風險評估服務的最後迴光返照。最終,曾經無比輝煌的風險評估,在完成自己全部使命後,光榮的退出了歷史舞台。

當然,風險評估的這種「退出」,並不是真正意義上的「消失」。它只是變得更加基礎,成為了安全體系的組成部分;它只是變成了一種思想,更需要融入安全的方方面面。就像電視劇「士兵突擊」中的鋼七連一樣,他的職能並沒有消失,只是不再需要單獨存在,變成了一種基礎必備的素質,融入進每個戰鬥單元。

在下一代安全防禦體系中,風險評估思想還是會得到比較廣泛的應用,但具體的方法肯定會有很大的變化與創新。比如,風險評估思想將會融入到下一代安全系統中,像下一代防火牆、威脅分析檢測、態勢感知系統將會融入風險分析能力;再比如,風險評估將會利用量化數據,利用大數據技術對各風險要素,分別進行實時評估分析,像大數據安全分析平台、安全運營平台等。

以上提到的創新已經不再是遙遠的未來,而是切切實實正在發生的改變。未來,隨著將來人工智慧的發展,風險分析也會變得更加具有場景化、人機交互也會更加方便,讓我們拭目以待!

最後打個廣告:

對企業安全運營體系建設整體解決方案,或對具體安全場景風險分析及檢測方面,有經驗、有興趣的小夥伴請在公共號後台給我留言,我們需要你!


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 微言小偏見 的精彩文章:

TAG:微言小偏見 |