15年前,如果你懂风险评估,那你是安全行业的大牛;10年前,如果你懂风险评估,那你在安全行业可以找个不错的工作;15年后的今天,你说你懂风险评估,大部分可能会说「什么年代了,聊这个太Low了吧」。
风险评估应该算是安全服务、安全咨询,最为重要的一个组成部分,相信大部分人对它都有着难以割舍的情感。所以,今天就来聊一聊风险评估,那个曾经在安全行业里大红大紫,现在却没多少人太Care的风险评估。
本文以时间顺序,来总结一下风险评估发展的各个阶段,以及它在各时期所发挥的作用。由于各阶段时间上重叠,精确时间没办法一一考证,所以,时间只是作为一个阶段发展大致参考。
阶段一:安全服务中的「风险评估」
在03、04年前后,很多单位正处在安全建设的高峰期,基本上会一股脑儿的将主流的安全产品部署个遍。所以,当时风险评估的作用就是检测安全建设中存在的问题,并根据评估结果提出合理的安全加固建议。
此时风险评估的内容,以技术漏洞评估为主,融合了一些安全管理的内容;评估方法多采用基于专家评价法的定性分析评价,即在综合分析资产、威胁和弱点的基础上,利用影响与可能性来计算风险。
此时期的风险评估,正处在刚刚兴起的阶段,是安全行业中的蓝海。所以,此时的风险评估专业性、规范性好,评估内容全面、实用性强;缺点是比较依赖专业安服人员,没多少人可以看懂安全评估方法论和报告。
阶段二:等保测评中的「风险评估」
在07、08年前后,等级保护工作开始被提上日程,在信息系统定级工作完成后,按照等保要求需要进行安全测评。信息系统等保测评,在很大程度上影响了风险评估市场,毕竟信息系统已经在测评中做过评估了,为什么还要重复再做一次呢?
等保测评中的风险评估,以等级保护要求合规评估为主,额外增加了安全扫描、配置检查、渗透测试等内容。评估方法采用基于合规要求的定性分析评价,即在综合现状、风险、影响的基础上,对每项评估条款给出满足、不满足、基本满足的评价结果。
等保测评中风险评估,其形式和内容与安服过程中的评估并没有太大差别,而且等保合规的压力对安全问题的整改也起到一个很好的促进作用。但等保测评毕竟是针对三级及以上信息系统,对于大量存在的二级系统以及信息系统之外的企业治理与管理方面,就存在明显的短板与不足。
阶段三:信息安全管理体系建设中的「风险评估」
信息安全管理体系建设在时间上,基本与等级保护测评处在同一时期。信息安全管理体系建设中一个重要工作,就是实施资产识别与风险评估,而且整个体系的建设、运行、改进,也都是围绕着风险评估进行的。
信息安全管理体系中的风险评估,强调以信息资产识别为出发点,分别评估资产、威胁、脆弱性后,对资产所面临的风险进行系统的分析与评价。评估方法也从定性评估,过渡到了较为科学的半定量评估,即通过对资产、威胁、脆弱性分别赋值,然后根据综合计算风险值的大小来评价风险。
信息安全管理体系建设中的风险评估,从评估方法论上来看无疑是非常严谨的,对风险评估在整体安全建设的生命周期中的定位也是非常准确的。但是,由于以信息资产为出发点的评估方法论(新版标准进行了改进),存在着实施工作量大、风险存在大量重合、体系偏重安全管理过程等问题,导致风险评估慢慢的流于形式。
阶段四:互联网众测形式的「风险评估」
大约在13、14年前后,正是传统安全服务、风险评估开始慢慢变的寡淡无味的时候,基于互联网服务形式的安全众测开始爆发,一时间众测平台如雨后春笋般出现,很多安全白帽子感觉到属于自己的颠覆传统的时代终于来临了。
安全众测依托于互联网平台,将安全评估项目分解为一个个具体任务,每个任务设置一定的奖励金额,最终依据提交漏洞的时间以及发现漏洞的严重程度进行评估,来决定白帽子获得的奖金数量。众测一般在晚上实施,具有某种技术擂台的味道,而且单人获得的奖金数量也是非常可观的,这些对于爱好安全技术的年轻人具有很大的吸引力。
安全众测天然具有实施成本低、实施效率高的优势,而且评估系统安全漏洞的效果也很不错。但这种模式存在的问题也是显而易见的,最核心的问题便是无法对参与人员的背景、身份、行为等方面进行有效管理与约束。虽然一些比较开放的机构愿意尝试这种服务模式,但出于安全顾问职业审慎的态度,对这种具有鲜明特点、优缺点都无比明显的服务形式,我并不是特别愿意推荐给客户。
阶段五:下一代防御体系中的「风险评估」
乌云停摆标志着安全众测落下帷幕,这种服务模式短暂的绚烂夺目,似乎更像是风险评估服务的最后回光返照。最终,曾经无比辉煌的风险评估,在完成自己全部使命后,光荣的退出了历史舞台。
当然,风险评估的这种「退出」,并不是真正意义上的「消失」。它只是变得更加基础,成为了安全体系的组成部分;它只是变成了一种思想,更需要融入安全的方方面面。就像电视剧「士兵突击」中的钢七连一样,他的职能并没有消失,只是不再需要单独存在,变成了一种基础必备的素质,融入进每个战斗单元。
在下一代安全防御体系中,风险评估思想还是会得到比较广泛的应用,但具体的方法肯定会有很大的变化与创新。比如,风险评估思想将会融入到下一代安全系统中,像下一代防火墙、威胁分析检测、态势感知系统将会融入风险分析能力;再比如,风险评估将会利用量化数据,利用大数据技术对各风险要素,分别进行实时评估分析,像大数据安全分析平台、安全运营平台等。
以上提到的创新已经不再是遥远的未来,而是切切实实正在发生的改变。未来,随着将来人工智能的发展,风险分析也会变得更加具有场景化、人机交互也会更加方便,让我们拭目以待!