https://twcert2024.informationsecurity.com.tw/
https://www.informationsecurity.com.tw/seminar/2024_HighTech/

觀點

資安風險動態變化 管理策略需定期檢討

2012 / 06 / 11
鍾慶豐
資安風險動態變化  管理策略需定期檢討

臉書創辦人Mark Zuckerberg最近因股價大跌不止導致身價縮水,緊接著還要面對股東提起的相關訴訟,但其上市後面臨的挑戰恐怕不只是股價波動、股東訴訟等問題而已,面對廣大使用者的資訊安全,其資安風險管理可謂是重頭戲,但要對廣大用戶做到有效之資安風險管理其實不是件容易的事。

 

簡單來說,資安風險的管理與監控之所以難以具體達成百分之百成效,主要原因在於這些資安因子具有不確定性與不可預期性,即是所謂的「風險動態文化問題」。為解決不確定性、不可預期性及其他各種因子所造成風險複雜度升高,進而影響資安成效,許多資安系統會採用混合策略方法,以降低此類因子的威脅。許多方案在特殊領域擁有不錯的運作成效,但想要進一步模型化這些風險因子,恐怕不是想像中那樣容易,更別說要應用在Facebook此種廣泛基於網路社群的應用領域了。

 

風險具有動態文化  管理不能類推適用

 

風險是否相同有其可供評估的參考,其中不同事件的風險類似性,通常與風險因子的組成順序有關,因此在資安防禦策略上,分析風險類似性的喪失程度,在某些方面即意味著系統防禦能力的升級。對消費者而言,許多人對資安風險的存在並沒有深刻感受,原因在於資安風險大多是難以明顯舉證的事實狀態,其侵害具有持續性與擴大性,但不見得具有即時性,故一般人多會忽略自身資安風險的存在。

 

對許多專家而言,風險並沒有統一與明確的定義,不同領域專家對其所謂的風險有其自身領域之詮釋範圍。依據2002ISO/IEC風險管理指導手冊來看,風險指的是「一群可能會造成負面影響的事件集合」,任何嘗試予以定性、管理的行為,都被認為是將風險轉為不可預期與不確定性的涉入因素。事實上,要評估風險都有其考量之必要因素,尤其是資訊安全風險,其涉入的複雜度更高。

 

在資訊安全領域,風險依據其威脅與弱點的不同被分成數種等級,但令人困擾的是這種弱點與威脅乃與時俱進,具有人因演化的趨勢,因此不會有一套行之久遠、恆久不變的應對策略,每一種安全策略都應該定期被檢討,並具備隨時應對應變的策略制定能力。換句話說,縱使風險具有類似性,管理策略也不見得可以類推適用,其主要的關鍵因素在於風險具有動態文化,其會隨著社會、文化、政經環境等因素,而出現不同的不確定性因子,導致相似的管理策略未必都能奏效。

 

為樽節資安風險管理成本,不少學者嘗試將風險模組化,有的施以專家系統概念(例如:L.S.A. GordenI. Belik等人)、有的利用fuzzy推論方式等,雖然每一種方法在特定領域裡面都表現得不錯,但事實是,每一種方法都有其文化背景與評估的方式,無法適用於其他種類的評估領域。正如前述,風險模組化的最大困難在於「風險動態文化(dynamic culture of risk)」的問題,此正呼應前述的風險具有人因演化的趨勢。....《未完》

 

 

 

本文刊登於《資安人》雜誌87期,如欲閱讀完整內容請訂閱《資安人》雜誌。