洋葱式信息安全观察:数字风险保护

数字风险是企业(或组织)在数字化进程中产生的衍生风险,数字化伴随着企业链接进入网络进行信息交互的过程中产生,涉及的保护对象主要包括商标、商密、著作权等,具体表?#20013;?#24335;包括文字、图片、音像、代码等。

数字风险的来由

数字风险的产生根本是利益驱动,是现实世界的在数字世界的?#25104;洹?#25968;字化进程并不能降低少数非法分子对利益的角逐。因此研究数字风险的产生、防护和应对措施可以帮助企业?#34892;?#30340;降低风险损失。

数字风险的主要形态

钓鱼网站:“钓鱼?#20445;≒hishing)攻击是通过伪装成电子通信中值得信赖的实体来获取敏感信息(如用户名,密码和信用卡详细信息)的欺诈性尝试。由于使用诱饵试图捕捉受害者的相似性,这个词本身就是作为捕鱼同音词而创建的新词。

信息泄漏:企业的信息被泄漏?#20132;?#32852;网可能会为企业带来损失,这些内容包括企业的客户信息、财务信息、代码、配方等各种知识产权与著作权等。

资产滥用:资产滥用包括不恰当的使用受害企业的商标以及其他形式的数字资产。

威胁误报:企业用于正常经营活动的数字资产被其他威胁保护措施?#31181;疲?#20174;而无法被用户正常使用,功能局部或整体受限制,从而带来客户流失或其他经济损失。

数字风险的趋势

链条专业:专业的攻击者、营销人员和信息携带者形成了数据泄漏等数字风险的专业供应链,造成发现的难度更大。

分布广泛:攻击者分布在全球,尤其是分布在法律监管的薄弱地区,使得监管难度提高。

发布快速?#21644;?#36807;互联网,攻击者可以在极短的时间内将数据传送到全球的任何角落,损害发生的更快,对数字风险的管控提出了更高的要求。

推送精准:攻击者利用手?#38505;?#25569;的信息,对间接受害者进行精准推送(例如:“钓鲸”攻击),而非广而告之,使得攻击更加难以发现,直到受害者意识到遭受攻击并有进一步的响应活动。

攻击隐形:攻击者通过暗网或深网进行活动,利用?#20284;?#38544;藏身份的能力,使得针对攻击的执法或响应难度加大。

数字风险的计算方法

针对数字风险的计算,我们可以引入经典的风险计算公式:

风险值=损失值*发生概率

在进行风险值计算?#20445;?#21487;以采用定性与定量相结合的原则。对损失值进行分级,并对发生概?#24335;?#34892;阶段划分,可以得到风险管理矩阵,如下图示例:

针对高风险事项,还可以进一步进行定量分析,例如:采用?#21830;?#21345;洛分析(详情略)。

图片来源:https://en.wikipedia.org/wiki/Monte_Carlo_method

数字风险应对策略

从风险计算公式中我们可以看到,数字风险值由两个部分组成,一是风险成为事实后的损失值,二是风险发生的概率。因此针对风险应对的策略应当从两个层面触发:

  • 降低数字风险发生的损失值,而数字风险的损失值可以从数字资产价值、暴露时间两个方面来衡量,进而计算为年化损失价值。数字资产的价?#20302;?#24120;是保持恒定不变,因此,降低数字风险的损失值的重点可以放到降低数字风险暴露时间这一指标。
  • 降低数字风险发生的概率,即通过实施数字资产保护措施,使得对数字资产侵权的难度或成本增大,从而降低其风险发生概率。典型示例:对受保护的代码进行加密,并部署?#32454;?#30340;访问授权管理机制;动态网页,增大仿冒难?#21462;?/li>

数字风险应对方法

?#20013;?#39118;险监测:

针对全网进?#20449;?#21462;和分析,以获取用于侵权分析的原始资料;

通过广泛的注册机构合作,快速获取最新注册信息,用于和抓取的全网信息进行比对;

广泛的和AppStrore、安全软件厂商合作,监测受保护数字资产(例如:APP被保护软件禁用或部分功能禁用);

监控深网与暗网的能力,因为很多数据泄漏是在非法平台上进行交易的。

数字风险处置:

关停和下架,关停和下架可以通过向监管机构申诉或者委托专业的机构代为处置。数字风险处置所需要关注的SLA包括:关停时间、关停率等。结合数字风险应对策略中对数字风险损失值所分析的结果,对SLA的衡量指标应重点关注处置时间,例如对关停服务SLA进行细化后的示例:最长关停时间、最快关停时间、平均关停时间、中位数关停时间等。

数字资产保护:

通过对数字资产实施保护措施,降低数字风险发生的概率,数字资产的保护应当针对数字资产自身的属性进行?#23454;?#30340;选择,例如对代码?#33905;?#21152;密并分隔存放等措施。需要注意的是数字资产保护是一个?#20302;?#21270;工程,并需要?#20013;?#36816;营才能取得实际效果。

结语

数字风险虽然是无法避免的现实,但我们总可以采取主动风险管控的态度,利用主动监测、快速处置来降低风险发生时的损失。

发表评论