“Hôm nay tôi có ra khỏi giường không?”, “Tôi sẽ mua sushi ở trạm xăng dọc đường cao tốc chứ?” hoặc “Bạn có thể giữ đồ uống của tôi một giây được không?”. Mọi việc chúng ta làm đều tiềm ẩn một mức độ rủi ro nhất định. Điều này cũng được áp dụng trong lĩnh vực CNTT. Christopher Robinson, Giám đốc Chương trình Bảo mật Sản phẩm tại Red Hat, nói về cách quản lý rủi ro CNTT và đưa ra quyết định sáng suốt với dữ liệu.
Trong thế giới bảo mật thông tin, có những công cụ giúp chúng ta đưa ra quyết định sáng suốt. Khi chúng tôi xem xét những rủi ro tiềm ẩn, chúng tôi nghĩ về những vấn đề có thể xảy ra. có thể và do đó có ảnh hưởng đến hoạt động kinh doanh của chúng tôi. Đầu tiên và quan trọng nhất, chúng ta cần hiểu điều gì có thể xảy ra bằng cách xem xét tác động của mối nguy hiểm tiềm ẩn. Ví dụ, nếu tôi không có đá viên vào ngày hè nóng nực, tôi không thể giữ mát đồ uống của mình. Nhưng việc thiếu băng không phải là nguy cơ duy nhất ở nhiệt độ ấm áp. Tôi có sẵn kem chống nắng hoặc mũ không? Và nếu trời mưa thì sao? Đó là một ý tưởng tốt để giải quyết những vấn đề này (rủi ro) và những kết quả xấu có thể xảy ra (sự va chạm) viết ra (đăng ký rủi ro).
Khi tất cả các rủi ro có thể xảy ra đã được liệt kê, bạn sẽ nhận thấy rằng một số rủi ro nhất định còn tồi tệ hơn những rủi ro khác. Ví dụ, say nắng còn tệ hơn việc thiếu đá viên chẳng hạn. Một số vấn đề có thể đo lường được (có thể định lượng được), trong khi những người khác quan tâm nhiều hơn đến cảm nhận của bạn về nó (đủ điều kiện). Cả hai cách tiếp cận đều hợp lệ, tùy thuộc vào dữ liệu và quyết định bạn muốn đưa ra. Nhưng bạn phải đảm bảo rằng sử dụng cùng một biện pháp để phân tích được nhất quán.
Nếu bạn muốn biết một số thứ tệ hại đến mức nào, hãy nghĩ về chúng theo ba chiều sau đây.
- Bí mật: Vấn đề này có cho phép ai đó nhìn thấy thứ gì đó không nên nhìn thấy không?
- Tính khả dụng: Sự cố này có ngăn cản những người có khả năng truy cập dữ liệu không?
- Tính toàn vẹn: Sự cố này có khiến dữ liệu bị thay đổi theo cách không nên làm không?
Một yếu tố khác cần xem xét là xác suất rằng vấn đề thực sự xảy ra. Ví dụ, khả năng bạn gặp phải cá mập khi bơi ở Biển Bắc là khá nhỏ. Những trường hợp này cũng có thể được vẽ trên sổ đăng ký rủi ro.
Một bản đăng ký rủi ro đã hoàn thiện, với xác suất và tác động của việc có đá viên, say nắng và cá mập ghé thăm.]
Tôi đang thêm một con vật khác để vẽ nên một bức tranh đẹp hơn sự nguy hiểm Và tính dễ bị tổn thươngvà cái gì sự va chạm về điều đó. Giả sử một con gấu nâu tìm thấy điểm cắm trại của bạn (sự nguy hiểm) và ăn một khẩu súng lục (rủi ro) sau khi anh ta khoét một lỗ trên hàng rào xung quanh lều của bạn (tính dễ bị tổn thương).
Rủi ro = nguy hiểm x tính dễ bị tổn thương
Bây giờ chúng ta đến điểm đó khoa học và toán giúp đỡ với quyết định của bạn, cụ thể là với ‘SLE’ (kỳ vọng mất một lần): chi phí sẽ là bao nhiêu nếu điều này xảy ra một lần?
Quay lại với con gấu đói của chúng ta. Chúng ta nghèo hơn một khẩu súng, điều đó không tệ lắm. Nhưng nếu nó xảy ra hàng ngày thì sao? Sau đó, bạn xem xét rủi ro về mặt tỷ lệ xuất hiện hàng năm (ARO). Hằng ngày có xác suất cao (100%). Với hai thông tin này, chúng ta có thể dự kiến tổn thất hàng năm (ALE) tính toán.
ALE = SLE x ARO
Trong ví dụ của chúng tôi, đó là một khẩu súng lục (có thể được bổ sung bình xịt chống gấu và hàng rào mới) trong 365 ngày. Sau đó, tất nhiên, nó ngay lập tức trở thành một đống các loại bánh và lớp phủ bên trên.
Vì vậy, tốt nhất nên đầu tư vào các biện pháp: phun thuốc diệt gấu, làm hàng rào chắc chắn và hộp đựng bánh mì để cất súng. Nói một cách đại khái, điều đó sẽ khiến bạn tốn một ít hàng chục euro mỗi năm. Sau đó là lúc đánh giá để chúng ta đầu tư số tiền phù hợp – so với lợi nhuận.
COST_of_the_Số đo = ALE_ORIGINAL – ALE_NOW
Lý tưởng nhất là bạn không tiêu nhiều tiền hơn mức bạn nghĩ (tất nhiên, tất cả sự an toàn và không vi phạm pháp luật đều là vô giá). Do đó, có thể việc dừng hoạt động (rủi ro) của bạn sẽ có lợi hơn.
Có một số kỹ thuật để ghi nhận tất cả các rủi ro tiềm ẩn và chúng có thể được tiếp cận theo bốn cách:
- Bạn có thể thử vấn đề để giải quyếtnhưng điều đó có thể tốn kém (một hàng rào điện mà gấu không thể vượt qua).
- Bạn có thể giải quyết vấn đề làm nhỏ hơn (sửa cái lỗ trên hàng rào khiến con gấu cố gắng vượt qua hơn).
- di chuyển vấn đề cho người khác (trao đổi ý kiến).
- Đã được chấp nhận vấn đề và học cách sống chung với rủi ro (làm bạn với bánh hạnh nhân).
Không thể loại bỏ mọi rủi ro. Ngay cả khi bạn cố gắng giải quyết chúng, những yếu tố khác có thể xuất hiện mà bạn không biết. Hoặc bạn không có đủ ngân sách/thời gian để giải quyết triệt để vấn đề.
Trong thực tế
Gấu và đá viên, tất cả đều ổn. Nhưng bây giờ bạn đang làm thế nào? Với Red Hat Product Security, chúng tôi cung cấp cho bạn dữ liệu thực tế, rõ ràng. Bằng cách này, bạn biết những con gấu lớn như thế nào, cá mập bơi nhanh như thế nào và nhiệt độ ra sao. Bằng cách này, bạn được trang bị kiến thức để biết, chẳng hạn như bạn cần bao nhiêu đá cho đồ uống mát. Red Hat giúp bạn hiểu lỗ hổng là gì và cung cấp cho bạn các tùy chọn để giải quyết chúng. Nhưng cuối cùng bạn mới là người biết khẩu vị của mình sẽ như thế nào. Hàng xóm của bạn có thể thích nhiều sốt mayonnaise hơn trong khi bạn luôn chọn loại nhẹ.
Sau khi tất cả các lệnh cấm vận được dỡ bỏ, Red Hat sẽ công khai dữ liệu và số liệu thống kê bảo mật của mình. Mỗi lỗ hổng được xác định rõ ràng thông qua các công cụ và số liệu được tiêu chuẩn hóa, chẳng hạn như Lỗ hổng và mức độ phơi nhiễm phổ biến (CVE), Bảng liệt kê điểm yếu chung (CWE) và Hệ thống tính điểm lỗ hổng chung (CVSS). Chúng tôi công bố dữ liệu đó trong con người có thể đọc được như trong máy có thể đọc được định dạng: Ngôn ngữ đánh giá và lỗ hổng mở (OVAL) và Khung báo cáo lỗ hổng bảo mật chung (CVRF).
Chúng tôi mô tả một vấn đề và đưa ra đánh giá về mức độ nghiêm trọng của nó bằng cách đính kèm điểm tác động bổ sung – ví dụ: điểm CVSS. Mỗi lỗi được xem xét từ quan điểm sản phẩm của chúng tôi dựa trên các thành phần cũng như cách sử dụng và định cấu hình các gói đó. Chúng tôi biết khi nào một sai lầm là điều gì đó nhỏ nhặt nhưng cũng có khi nó trở nên thực sự kỳ cục và làm hỏng cả một ngày của bạn. Ngoài ra, chương trình Nhận thức về Bảo mật Khách hàng nội bộ còn cung cấp thêm dữ liệu, bối cảnh và công cụ để các công ty có thể đưa ra quyết định và phản hồi nhanh chóng. Nếu con gấu lại đến hoặc bạn hết đá viên, bạn biết phải làm gì.
Christopher Robinson là Giám đốc Chương trình Bảo mật Sản phẩm tại Red Hat, nhà cung cấp giải pháp phần mềm nguồn mở hàng đầu thế giới.
