網絡安全管理如何“走近科學”？

強調頂層設計的，“形而上”的網絡安全管理至今也沒有發展出類似醫療和航空業那樣的科學安全管理方法。

在過去的一百年里，人類在兩個領域的安全性和性能同時得到了顯著改善：航空和醫學。

自90年代以來，醫學取得巨大進步的一個重要原因是采用了循證實踐（EBP，基于證據的實踐。編者：屬于邏輯實證范疇）的科學化方法。航空業則發展出一套成熟的相對獨立的安全調查系統和方法，對航空事故（例如CVR和FDR等黑匣子數據）和緊急呼叫、空管記錄進行徹底調查，并且在整個航空業中吸取經驗教訓，很少考慮政治或其他利益干擾因素。

醫學和航空業的安全管理工作都與網絡安全一樣復雜，甚至更復雜，例如航空業向我們展示了如何使用類似機組資源管理（Crew Resource Management）這樣的技術來解決看似棘手的復雜問題（編者：摻雜人、技術、流程和外界因素的復雜問題）。

“機組資源管理”（駕駛艙資源管理）一詞是1979年由美國宇航局心理學家約翰勞伯創造的，包括一組培訓程序，用于在人為錯誤可能產生破壞性影響的環境中使用，側重于飛行駕駛艙中的人際溝通、領導力和決策制訂。機組資源管理在保留指揮層級的同時，旨在培養一種更扁平化的駕駛艙文化，鼓勵副駕駛在發現機長犯錯時向機長提問。

并不是說醫學和航空業發展出的管理科學完全沒有問題，也有大量批評者（編者：例如基于統計學和概率論的科學方法往往不能很好地預測黑天鵝事件，這個問題需要全新的模型，不能僅僅通過優化舊的風險治理模型來解決），但循證實踐的本質在于它們是自我糾正的。如果某人/企業做了錯事遲早會暴露出來，從而使錯誤得到被糾正的機會。而對于那些沒有實證依據的實踐做法，例如當今網絡安全管理理論、規范中的大量內容，情況并非如此。

安全管理專家Vicente Aceituno Canal指出：安全人士最常討論的主題有一些共同點，那就是網絡安全的現實與傳統之間存在脫節。Canal花了20年時間試圖找到可用且不太“燒腦”的方案。最后他意識到，在談論安全管理模式、基于運營概念的安全指標，或者指責某些流行的安全概念如何脫離現實（證據）基礎時，人們已經開始不自覺地在應用基于實證的科學方法，只是沒有清晰地表達出來而已。

在列舉基于循證實踐的網絡安全管理原則之前，我們先簡要回顧一下我們為什么要做網絡安全：

網絡安全的驅動力

網絡安全的驅動因素通常包括以下四個：

1. 法律要求，例如《數據保護法》、《信息自由法》以及全球范圍內的各國制訂的法律要求。

2. 合規性要求，如ISO 27000、PCI-DSS、NIST-53b等等。

3. 諸如身份管理和業務連續性等業務需求。

4. 技術要求，例如修復漏洞、防范惡意軟件、確保系統只能從受信任的系統訪問等等。

每個類別的驅動因素可能重疊，但這種情況更多的是偶然而不是設計。我們以一個離職員工的賬戶依然可以登錄前雇主的系統為例，具體了解一下這四個網絡安全驅動因素：

• 如果該帳戶可以用于訪問客戶的個人信息而不留下任何記錄，則屬于法律問題。
• 如果帳戶的存在不符合PCI-DSS，則會出現合規性問題。
• 如果內部政策規定應在24小時內刪除離職者帳戶，則存在業務（流程）問題。
• 如果應該刪除帳戶的自動化過程不起作用，則屬于技術問題。

對于不同的企業和機構，可能面臨上述四個問題的任意組合。

循證網絡安全管理方法遵循以下12個原則

1. 使用可交付成果作為工作單元。可交付成果是工單、電子郵件、報告、日志、會議記錄等工作的產物，可以手動或自動生成。通過使用可交付成果作為證據（或工作）的單位，測量變得客觀、獨立于觀察者且可重復。它們還很好地代表了網絡安全的狀態，因為為了保持安全，一些活動需要定期執行，并且可交付成果會跟蹤該活動。

2. 盡可能使用通俗易懂的語言和簡潔的理論結構，晦澀難懂不會使我們成為專家，只會讓安全團隊與利益相關者的溝通變得困難。使用可交付成果作為工作單元會有所幫助，可以相同的方式記錄看起來不同的幾件事（例如威脅、風險、漏洞、弱點、警報、事件、問題、錯誤）。避免使用沒法客觀衡量的概念。

3. 使用明確的模型來了解您所在組織的復雜性。你需要了解企業業務，需要了解IT架構以完成安全工作，你還需要了解哪些系統不在IT部門的視野或控制范圍內。IT可以在許多不同的復雜級別上進行建模，從固件到集群等等，你也需要一個符合您企業情況和需要的模型。你還需要了解外部依賴關系，例如供應鏈或外包。為了便于改進，模型的選擇應該是明確的落在紙面的，而不是隱含的。組織和系統不斷發展，模型也需要保持最新。

4. 使用一種方法來汲取經驗教訓，實施政策。為了讓團隊在復雜的環境中始終如一地執行并應用所學的經驗教訓，相同類型的錯誤絕不應該發生兩次。

5. 將該方法流程化。所有網絡安全工作都在快速“過時中”，因此網絡安全工作最好按照管理周期進行結構化。每個管理期都是反饋循環的一部分，這是了解什么有效、什么無效的新機會。

6. 內省：挑戰你的假設，主動進行實驗，尋找模型和方法中的缺陷，避免管理中的“反模式”。

7. 采用靈活的策略來修復缺陷或改進優化。由于資產信息不完整、網絡安全資源有限或對組織的影響有限，我們的策略可能會受到限制。逐步和正交地實施修復和改進，以便您可以區分哪些改進和修復工作有效，哪些沒有。

8. 修復或改進方案的選擇必須可測量（成功指標），這將有助于確定修復或改進是否按預期工作，可以發現指標變得更好或更差。

9. 確認您的策略是否有效，測試修復和改進是否按預期工作，定期評估您是否符合成功標準。如果不滿足成功標準，請返回并修改或放棄修復或改進。

10. 吸取別人的教訓。關注和收集其他基于循證實踐方法的良好信息來源，并在您的組織中吸取經驗教訓，然后測試它們是否適合您。

11. 分享經驗教訓。在您的組織中創建基于證據的結果報告，并在不泄露敏感信息的情況下共享它們。您可以報告您自己的原始問題、您找到的解決方案以及您的數據如何證明該解決方案是有效的。

12. 承擔責任。基于實證的網絡安全管理可能成功也可能失敗。科學就是試錯，網絡安全從業者應該為錯誤承擔責任，但同一種錯誤絕不能發生兩次。

最后，所有網絡安全管理從業人員都需要反思這個問題：網絡安全管理到底能否取得類似醫學或航空業那樣的飛速進步？

如果我們開始嘗試實踐基于證據的網絡安全管理，下面這個快速清單可以作為參考：

1. 具有可重復且獨立于觀察者的指標的可交付成果

2. 平白的語言

3. 一個模型

4. 一個方法

5. 管理周期

6. 改進和修復的創造力和靈活性

7. 使用成功標準驗證假設、改進和缺陷修復

8. 如果成功標準顯示假設、改進或缺陷修復未給出預期結果，則采取行動

9. 吸取教訓

10. 培訓

11. 承擔責任

（來源：@GoUpSec）