風(fēng)險管理的一切都在于數(shù)據(jù)；安全也應(yīng)如此

Roger+A.Grimes+Charles

Bay Dynamics采用數(shù)據(jù)驅(qū)動的方法，幫助企業(yè)根據(jù)資產(chǎn)價值來確定并處理真正的安全威脅。

我一直以來都是計算機(jī)安全領(lǐng)域數(shù)據(jù)分析的忠實(shí)粉絲，過去12年里，CSO Online和InfoWorld上的數(shù)十個專欄充分說明了這一點(diǎn)。用粉絲這個詞來形容我還不足夠強(qiáng)，跟蹤狂可能比較接近。

作為一名從業(yè)30年的計算機(jī)安全顧問，我看到我工作過的每一家公司幾乎都無視他們眼前的數(shù)據(jù)，而是尋求那些永遠(yuǎn)不可能阻止惡意軟件和黑客攻擊的防御方法。例如，我會告訴他們，他們應(yīng)該給經(jīng)常使用的軟件打上補(bǔ)丁，以防止被用來向公司發(fā)起攻擊，而他們給我的回答是，要求我給硬盤加密。或者，我會給他們提供一些數(shù)據(jù)，說明他們的員工正在被高級持續(xù)性威脅（APT）進(jìn)行社會工程攻擊，他們應(yīng)該很好的對最終用戶進(jìn)行教育，而他們的回應(yīng)則是購買更昂貴的主機(jī)入侵防護(hù)設(shè)備。

不論我告訴他們應(yīng)該做什么，即使給了他們最好的數(shù)據(jù)來支持我的研究結(jié)果，即使他們當(dāng)面同意我的觀點(diǎn)，他們還是做了別的事情。每當(dāng)我再回到這些公司，發(fā)現(xiàn)他們很少做應(yīng)該做的最重要的工作——增強(qiáng)他們的計算機(jī)安全防御能力。

為什么所有理性的公司都忽略了他們應(yīng)該做的工作，即使我們雙方都同意他們應(yīng)該做哪些工作？當(dāng)您拿出證據(jù)時，一個理性的人不會主動選擇忽略它，對吧？但他們的確這樣做了，即使他們已經(jīng)被徹底攻破了，損失了（或者被罰款）數(shù)百萬美元，即使如果被再次攻破他們將面臨數(shù)百萬美元的罰款。

這使我非常困擾，我想知道為什么這么多的企業(yè)會做出錯誤的決定。我觀察了一百多家各種規(guī)模的公司，并聽取了他們的意見，并詢問每個級別的員工，為什么他們不去做應(yīng)該做的事情，以便最有效地保護(hù)他們的公司。我把我的早期研究成果匯編成了一本白皮書。

從那時起，我的職業(yè)生涯基本上就是把更多的數(shù)據(jù)分析技術(shù)應(yīng)用到計算機(jī)安全領(lǐng)域。這是我生活的動力，至少是我職業(yè)生涯的動力。上星期出版的我的第十本書匯集了我的所學(xué)——《數(shù)據(jù)驅(qū)動的計算機(jī)安全防御：您應(yīng)該使用的計算機(jī)安全防御舉措》。如果您不想買這本書，那下載免費(fèi)的白皮書。我更關(guān)心的是傳播理念和解決方案，而不是怎么最賺錢。

發(fā)現(xiàn)Bay Dynamics

我很擅長從我每天收到的很多安全廠商的推銷中快速找出有趣的想法，而且我也一直在尋找那些與我的數(shù)據(jù)驅(qū)動想法不謀而合的企業(yè)。所以，想象一下當(dāng)我知道了Bay Dynamics時，我是何等的驚訝，它是我欣賞的數(shù)據(jù)驅(qū)動計算機(jī)安全防御企業(yè)的一個縮影。

Bay Dynamics正在做著我過去五年來一直贊揚(yáng)的、企業(yè)應(yīng)做的事情——使用自己的數(shù)據(jù)來推動實(shí)現(xiàn)自己的最佳防御。如果我早在兩周前就知道了這家企業(yè)，那在我的書里肯定是濃墨重彩。盡管如此，我還是很高興去了解他們的信念和所作所為。

Feris Rifai和Ryan Stolte于2001年聯(lián)合創(chuàng)立了Bay Dynamics。起初，它甚至不是一家網(wǎng)絡(luò)安全公司。他們從一開始就進(jìn)行數(shù)據(jù)分析，但更多的是分析網(wǎng)站上的工作以及各種業(yè)務(wù)決策，以達(dá)到最佳結(jié)果。它不是一家產(chǎn)品或者服務(wù)公司。他們只是咨詢。在發(fā)展過程中，他們認(rèn)識到提出咨詢需求的公司需要的不僅僅是建議。他們想要一種產(chǎn)品，使其咨詢結(jié)果能在服務(wù)中體現(xiàn)出來。這類產(chǎn)品迅速演變成一種計算機(jī)安全產(chǎn)品，如今被稱為Risk Fabric。我還沒有使用過Risk Fabric產(chǎn)品，但從演示以及與首席技術(shù)官的交談中，我了解到，它似乎能收集并顯示有助于改進(jìn)風(fēng)險決策的數(shù)據(jù)。

發(fā)現(xiàn)資產(chǎn)價值

我向Bay Dynamics的聯(lián)合創(chuàng)始人兼首席技術(shù)官Stolte提出了一個問題，他們的數(shù)據(jù)分析能帶來什么：“我們應(yīng)該把網(wǎng)絡(luò)安全作為一個風(fēng)險管理的問題。人們聽到了太多的威脅方面的討論，以至于不知所措。但是如果把討論轉(zhuǎn)到風(fēng)險管理上，我們可以談?wù)摽赡苄院蜐撛诘挠绊?。風(fēng)險等于‘影響乘以‘漏洞或者‘威脅概率。很多公司都這樣做。而我們把另一個因子‘資產(chǎn)價值放到這一等式中。這是風(fēng)險中的一個重要的因素。”

Stolte舉了一個例子，某家企業(yè)最有價值的計算機(jī)中有一個“中等風(fēng)險”的漏洞。很多漏洞管理系統(tǒng)會發(fā)出一份報告，稱此類系統(tǒng)存在中等風(fēng)險的漏洞。每個人都知道實(shí)際情況并非如此，不是最有價值的那臺電腦。

Bay Dynamics所做的是讓某種威脅或者漏洞去攻擊有價值的數(shù)據(jù)和系統(tǒng)，從而推動風(fēng)險管理。例如，對于一個不含有公司數(shù)據(jù)甚至與公司網(wǎng)絡(luò)沒有聯(lián)網(wǎng)但卻存在高風(fēng)險漏洞的系統(tǒng)，這種系統(tǒng)比前面提到的高風(fēng)險實(shí)例風(fēng)險要低一些。這只是常識。Bay Dynamics把常見的功能在儀表板、工作隊列和應(yīng)用程序中自動實(shí)現(xiàn)。

世界上沒有哪家企業(yè)有足夠的資源來一次性解決所有問題。每家企業(yè)都必須決定先做什么，后做什么。Bay Dynamics幫助企業(yè)使用自己的數(shù)據(jù)，更好地確定合理的風(fēng)險優(yōu)先事項。Stolte說：“我們決定推出產(chǎn)品并建立模型來幫助人們更好地管理他們的業(yè)務(wù)。我們可以幫助他們確定真正的漏洞有哪些，從而有助于采取行動?！?/p>

計算機(jī)安全公司通常給不出令人高興的解釋原因。大部分公司只是針對具體問題給出“打地鼠式”的解決方案，往往很容易繞過這些問題，或者全是誤報。Bay Dynamics解決了這些問題。他們知道怎樣使用數(shù)據(jù)來高效地解決重點(diǎn)安全問題。其他規(guī)模較大的公司也開始注意到這一點(diǎn)。

Bay Dynamics去年七月開始與賽門鐵克合作，該公司稱其“信息中心分析”這款產(chǎn)品是由Bay Dynamics提供的支持。Comcast公司是Bay Dynamics的客戶，該公司最近因其Risk Fabric支持的Risk項目Cyber Value而獲得了三項大獎（CSO50和兩項ISE獎）。

簡而言之，Bay Dynamics通過更好、更常見的風(fēng)險模型收集并分析數(shù)據(jù)，幫助客戶更好地決定首先應(yīng)關(guān)注什么。我在最近的一本書中用了十個章節(jié)的篇幅介紹了他們在幾分鐘內(nèi)便能夠讓您學(xué)會的一些關(guān)鍵內(nèi)容。

很高興看到數(shù)據(jù)分析應(yīng)用得如此之好。我所喜歡的計算機(jī)安全供應(yīng)商是那種能夠幫助其他公司更好地收集和使用他們自己的數(shù)據(jù)來加強(qiáng)防御的供應(yīng)商。沒有一家公司是完美的，也沒有哪家公司擁有萬能的解決方案，但Bay Dynamics應(yīng)該是您的候選。endprint