搜尋此網誌

2013年4月26日 星期五

[個人意見] ALE 了沒 - The Ugly Truth about ALE

3040508093_a66a92cc59_o對資安從業人員來說,一個揮之不去的困擾就是如何評估一個計畫或產品的必要性。必要性除了從功能面著手,更重要的是財務面的考量。把錢花在刀口上是所有員工的責任,更何況當我們要向 CEO 爭取支持時,如果提不出相關的證明,就算 CEO 可以接受"威脅"形式的溝通,到 CFO 那關也往往只能等著被打槍。所以諸如 ROI  (Return on Investment)、TCO (Total Cost of Ownership) 等指標,就變成我們用來將相關需求與財務做整合的可用工具。
除了 ROI 與 TCO,還有一種更常見的評量工具,我們稱之為 Annualized Loss Expectancy,簡稱 ALE。ALE 不但在實務上很常見,更是許多資安認證的必考題。首先,我們來看 ALE 的計算公式:
ALE = SLE * ARO
Annualized Loss Expectancy = Signle Loss Expectancy * Annualized Rate of Occurrence

每年損失的期望值 = 單一事件損失期望值 * 每年發生的機率
舉例來說,假設我們公司平均每五年發生一次中毒事件,每次造成的損失 (人力成本、業務損失) 為 100000 元,那麼病毒這個威脅來源的 ALE 就是
100000 元 * 1/5 = 20000 元
ALE  的觀念與計算都相當簡單。此外,通常安全計畫或產品的導入並不會增加受益,所以 ROI 不容易套用。而 TCO 則因為沒有辦法與"成效"做關連,所以說服力也往往不足。這些因素的加總,使得 ALE 很受到資安從業人士的歡迎。但是當我們認真思考後,就會發現 ALE 的計算往往只是落入無意義的數字遊戲,對事情的判斷並沒有任何幫助。
ALE 本身就是一種根據統計而來的計算。面對統計數據,我們必須先釐清的是何謂有效的數據來源?不管是 SLE 或 ARO,是要參考全世界的企業?還是國內的企業?是要參考所有產業的企業?還是只要參考與企業本身相同產業的企業?甚至只要考慮自己企業本身的歷史數據
當我們選定一個數據來源時,就會發現下一個問題,那就是樣本數不夠多,甚至是無法取得任何實際的樣本數據通常特定種類資安事件的發生次數都不會很頻繁,一個企業可能一年發生個一兩次就很可怕了。高於此發生頻率的問題,我相信不需要採用 ALE 的方式,光用威脅就可以讓 CEO/CFO 屈服了。樣本不夠多,統計數據的參考價值就很低,這就是統計的天性。就算我們拿全世界企業的數據來參考,就真的拿的到真實的數據嗎?有多少企業願意誠實公布這樣的數據?又有多少企業能夠在資安事件發生時都確實掌握了?ARO 如此、SLE 更是如此。別忘了 SLE 可是損失的期望值,必須知道損失的機率分布才能算的出。好吧,就算我們把 SLE 簡化成損失的平均值,問題也沒有變得比較好回答。
所以,SLE 與 ARO 變成了自由心證的數字。而不幸的是,因為 ALE 的計算就是這麼簡單,只要把 SLE 乘上 ARO 就成了。所以一旦"不小心"將 SLE 高估了兩倍,ALE 也就變成兩倍,對於財務可行性的判斷結果可能也因此有了翻盤的影響。
當然,我們也別看輕 ALE。畢竟 ALE 除了在某些場合確實能夠幫助我們分析財務面的可行性,甚至在更多時機能夠成為我們用來說服 CEO/CFO 的溝通工具。只是,在這些數字背後所代表的意義,其實只是我們內心主觀的偏見。而這,正是 ALE 的 Ugly Truth

相關連結:

2013年4月23日 星期二

[從電影看資安] 確實做好 NAC,電腦亂插免驚係 - 空降危機

作為 007 電影系列的第 23 部作品,空降危機中充滿了各種"老"的感覺。007 老了,MI6 也老了。不過老歸老,不放棄的精神卻是未曾減少。M 夫人為了 MI6 的未來,勇敢面對政客的質疑。而 007 也為了維持國家安全,必須面對自己因為受傷與年紀漸長所帶來的技巧生疏。除了無形的老,連片中的道具與武器,也都極力配合著"老"這個觀念。古董車、老式無線電發射器、獵槍、取代被炸毀的 MI6 總部的地下碉堡、007 的老家、甚至是史上年紀最大的 007 女郎,都充滿了濃濃的復古意味。當然,薑是老的辣,007 就利用這群老東西,成功的剷除了他的前輩,也就是曾經最受 M 夫人所器重的前情報員-西法。

電影一開始,007 在進行一項任務時發現一個受傷的情報員。 vlcsnap-2013-04-22-19h35m54s14
更糟的是,內含情報員名單的硬碟被搶了。
vlcsnap-2013-04-22-19h36m16s40
M 夫人指示 007 以追回硬碟為優先任務,情報員就放給他死。不管在哪個產業,人人都是可以被犧牲的棋子。
vlcsnap-2013-04-22-19h36m46s111
尚未從超級老爸破壞中復原的伊斯坦堡,這次 007 只是小意思來點摩托車特技。
vlcsnap-2013-04-22-19h38m40s20
市區還是留給超級老爸來破壞,007 負責破壞火車。
vlcsnap-2013-04-22-21h02m05s90
火車即將進入隧道,再抓不到壞人就等著名單外洩了,但是偽 007 女郎顯然對自己的槍法不是很有信心。 vlcsnap-2013-04-22-19h39m02s245
有1就有2,連無名小卒都可以放棄了,007 算什麼?(呃,好像說反了) vlcsnap-2013-04-22-19h39m37s89
果然打中 007 了!James Bond, KIA!
vlcsnap-2013-04-22-19h41m28s193
M 夫人真是衰到家,不但名單外洩,連總部也在自己眼前被炸了。
vlcsnap-2013-04-22-19h45m38s115
007 不虧是 007,大難不死後第一件事就是幹他最拿手的事。
vlcsnap-2013-04-22-19h46m08s73
出門在外的好夥伴-CNN 頻道。
vlcsnap-2013-04-22-19h46m19s19
007 回到 MI6,工作人員帶他到"新"的 MI6 總部。
vlcsnap-2013-04-22-19h49m59s174
新總部是一個外表低調到不行的古老碉堡。
vlcsnap-2013-04-22-19h50m12s51
你不需要說抱歉,只要…你知道的。 vlcsnap-2013-04-22-19h51m17s168
空降危機中少數真正"新"的東西之一-軍需官 Q。
vlcsnap-2013-04-22-19h52m13s205
007 憑著有限的線索來到了一個賭場,沒想到後續"線索"得來全不費工夫。 vlcsnap-2013-04-22-19h53m40s110
既然是線索,當然要好好"探索"一番。
vlcsnap-2013-04-22-19h54m11s84
007 就是這麼真男人,即使知道是陷阱也要上。
vlcsnap-2013-04-22-19h56m28s198
原來是老前輩啊,對他來說,007 只代表一個字-菜。
vlcsnap-2013-04-22-19h57m59s95
只是老前輩做夢也想不到,菜鳥就靠著一個超復古的無線電發射器,引來了一堆救兵。
vlcsnap-2013-04-22-20h00m09s117
英國的直升機就這麼忽然出現在不知名的小島上。 vlcsnap-2013-04-22-20h00m20s243
M 夫人終於知道自己的老巢是被誰炸掉了。
vlcsnap-2013-04-22-20h01m54s149
原來正是她自己的兒子。 vlcsnap-2013-04-22-20h01m38s230
除了逮人,當然也順道接受了壞蛋的電腦設備。 vlcsnap-2013-04-22-20h03m49s28
嗯,連記憶體內的資料都不爽給你看。 vlcsnap-2013-04-22-20h04m02s158
Q 表示,我有離線恐懼症。
vlcsnap-2013-04-22-20h06m04s77
Q 確實是電腦高手。 vlcsnap-2013-04-22-20h06m21s3
Q 表示,我真的好想破解密碼喔。 vlcsnap-2013-04-22-20h03m15s186
007表示,我才是主角,猜密碼這種功勞還是交給我。
vlcsnap-2013-04-22-21h26m13s39
雖然 007 猜對了密碼,但是沒多久 MI6 的系統就發出警告。vlcsnap-2013-04-22-20h06m43s232
Q 還在一頭霧水中。
vlcsnap-2013-04-22-20h06m50s40
Q:… vlcsnap-2013-04-22-20h06m59s124
就算是天才,也一樣會成為資安防護中的那顆老鼠屎。
vlcsnap-2013-04-22-20h07m09s242
不是他駭入你們,是你放他進來的,傻B。 vlcsnap-2013-04-22-20h07m53s167
經過一連串的追蹤後,007 選擇回到老家 (空降莊園?) 當做最後決戰的地點。
vlcsnap-2013-04-22-20h08m51s236
小鬼當家老灰啊版。
vlcsnap-2013-04-22-20h09m20s7
密密麻麻的壞蛋,但是他們不知道要分散跟尋找掩護嗎?
vlcsnap-2013-04-22-20h09m29s100
一陣熱情如火的纏綿。 vlcsnap-2013-04-22-20h27m03s136
愛你愛到殺死你。
vlcsnap-2013-04-22-21h40m20s13
再冷酷的人,臨死前也難免會感傷。
vlcsnap-2013-04-22-20h10m39s23
果然 M 夫人才是 007 最愛的 007 女郎。(無誤)
vlcsnap-2013-04-22-20h12m01s81
第24、25部 007 作品已經在籌劃中囉,你演不演?
vlcsnap-2013-04-22-20h14m07s62
007表示,有錢賺當然演啊。哈利波特系列已經結束了,你也一起來這邊賺吧。
vlcsnap-2013-04-22-20h14m25s244
在電影中,聰明如軍需官Q也犯下了一個不可原諒的大錯,那就是隨意將壞人的電腦接上內部網路。我們都知道,路邊撿來的隨身碟不可亂插,路邊撿來的電腦 (如果你撿得到的話) 當然也不可以隨意接上內部網路,更何況還是壞人的電腦。除了路邊撿來的電腦,員工、協力廠商、訪客的智慧型手機、平板電腦、筆電,都可能因為防護力不足而成為內部資安威脅的來源。更遑論還有所謂的商業間諜,隨時對藏於企業內部網路當中的珍貴資訊虎視眈眈。
因應這些行動裝置所帶來的方便性與危險性,每個企業都應該訂定完善的 BYOD 政策,以有效管理因這些裝置所帶來的風險。但是政策再好,如果只限於管理上的政策 (如規定不能隨意將個人手機接入公司的網路),終究只能防君子 (而且還是腦袋清楚的君子),而無法防堵小人。所以搭配必要的技術性政策,如導入NAC,將可以大幅提高管理性政策的有效性,達到更即時且全面的效果。正所謂樹多有枯枝,人多有白痴,光依靠管理性政策來保護內部網路的安全,只要一個白痴就可以讓企業產生莫大的資安威脅。如果 MI6 有確實導入 NAC 機制,那麼壞人的電腦根本就無法對 MI6 內部網路進行任何的存取動作,更別說要入侵 MI6 的重要伺服器了。如此一來,後續故事應該會有完全不同的發展,或許 M 先生也只能先回去繼續當他的佛地魔了。

2013年4月22日 星期一

[從電影看資安] 資安也要背後靈,跟前顧後保安寧 - 12生肖

12生肖 (CZ12) 是由華人電影圈中極富盛名的犯錯動作男星-成龍-所自導自演的一部冒險電影,也號稱是他最後一部動作片。姑且先不論"最後"兩字的可信度是不是比"天下的男人都會犯同樣的錯"來得高,成龍在這部片中賣力依舊,讓人不得不佩服。
12生肖故事內容講述英法聯軍在與清朝政府的戰爭期間,搶奪了許多中國的寶物,其中原本放置於圓明園的12獸首,日後身價水漲船高,在拍賣市場中屢創價格的新高。也因為利益驅使,所以俠盜 (?) 集團首腦 JC (成龍飾演) 受到好友的委託,希望能夠代為尋找其他尚未被發現的獸首。而在這些失落的獸首中,象徵中國人的龍首,更是寶物中的寶物。有了目標,當然必須先收集足夠的情資,因此 JC 假冒成國家地理頻道的攝影師,前往拜訪專門研究12獸首的關教授,並趁機取得部分獸首的完整資訊。除了取得獸首的資訊,JC 更經由關教授的介紹,認識了女主角 Coco - 一個致力於促進各國國寶"回家"的小女生。就在一連串的胡鬧劇情陰錯陽差後,JC 一行人順利用假的雞首"換"到一個真品,但是 Coco 的弟弟也在過程中遭受奸商,也是 JC 的委託人所綁架。在面對利益與人命的衝突時,JC 想當然爾一定是選擇正妹人命優先。最後,JC 不但順利救出 Coco 的弟弟,還"順便"搶回了原本就一直在委託人手上的龍首,為亞洲飛鷹 JC 的冒險故事,畫下一個完美的句點 (還是逗點?)。
這個馬首的價格是6千9百萬美元,富豪的錢果然都不是錢。vlcsnap-2013-04-15-20h12m54s208
到別人家搶東西就算了,還拍照留戀咧。vlcsnap-2013-04-15-20h15m12s52
這個偷偷摸摸的人就是俠盜 (?) JC。vlcsnap-2013-04-15-20h17m04s186
JC 這次玩的是極限滑輪 (Extreme Rollerblading)。vlcsnap-2013-04-15-20h20m52s148
隨便說說自己是國家地理頻道的攝影師也騙得了人。vlcsnap-2013-04-15-20h22m53s73
教授也懂得拍馬屁。
vlcsnap-2013-04-15-20h23m06s206
關教授,算你還有點警覺。vlcsnap-2013-04-15-20h23m23s110
雖然 JC 的手勢跟關教授的表情充滿無限的想像空間,但是別想歪了,JC 想要摸摸獸首。vlcsnap-2013-04-15-20h25m01s92
反正都是假貨,隨便你摸吧!vlcsnap-2013-04-15-20h25m31s142
關教授還以為 JC 是怕弄髒獸首才戴上手套,真是一個傻B老實人。vlcsnap-2013-04-15-20h25m49s50
這可是高科技的3D立體顯影手套,西德最新產品,11萬美金一副。vlcsnap-2013-04-15-20h51m00s28
數據馬上就送到後端的仿冒工廠。vlcsnap-2013-04-15-20h26m15s76
再加上 3D 列印!?
vlcsnap-2013-04-15-20h27m11s131
馬上就變一個鼠首給你。
vlcsnap-2013-04-15-20h28m16s252
陰錯陽差間認識了一個古堡的女繼承人。
vlcsnap-2013-04-15-20h38m32s16
古堡女主人邀一行人前往參觀。
vlcsnap-2013-04-15-20h38m50s186
竟然把國寶雞首隨便擺放,果然太容易得來的東西都不會受到重視。
vlcsnap-2013-04-15-20h30m13s132
JC 當然不想放過眼前的肥羊,沒想到連正氣凜然的 Coco 都支持。
vlcsnap-2013-04-15-20h31m26s100
這次連手套都不用戴了,Coco 自願當內奸。
vlcsnap-2013-04-15-20h47m50s207
三兩下雞首就被掉包了,家裡太大果然不是一件好事,這麼多人瞎搞也沒被發現。
vlcsnap-2013-04-15-20h34m08s187
這個雞頭裡面藏的可是國寶雞首啊,但是鑄銅為什麼可以飄在空中?
vlcsnap-2013-04-15-20h39m42s201
在電影12生肖中,關教授因為對 JC 所冒充的攝影師掉以輕心,所以導致 JC 可以輕鬆取得獸首的資訊,並進而做出山寨版的獸首。在組織日常的運作中,也常常會面臨到招待外來訪客的情況。外來訪客不一定真是所謂的客人,也可能是協力廠商的維護人員。身為 IT/IS 人員,如果沒有確實遵守必要的作業規範 (如限制可攜帶的物品),並在需要時陪同在側,那就可能產生很嚴重的資安問題。舉例來說,協力廠商可能因為作業需要,所以必須使用系統管理者的權限,或是對重要的網路設備或伺服器進行操作。如果沒有 IT/IS 人員在一旁確認其所進行的動作,那麼機密資料不小心被訪客看到、甚至洩漏出去,也不會是什麼值得大驚小怪的事情。
不可否認,除非訪客是迷死人不償命的帥哥或美女,否則陪同作業不但很無聊,而且還可能嚴重影響原本的工作時間安排。對此,我只能說這就是 IT/IS 人員無法逃避的責任。陪同作業不是陪對方聊天,而是隨時隨地確認對方是否進行了非經許可的動作,並在發生前 (時) 予以阻止。再加上對方來訪本就有原本的任務,因此往往也沒辦法一直閒聊。所以進行陪同作業時更像是把自己當做訪客的背後靈,不能干擾他進行作業的同時,也不能讓對方對組織的資訊安全產生危害。倒是對於 IT/IS 的主管們來說,當部屬告訴你他今天跟了協力廠商支援人員一整天時,可千萬別以為他是偷懶只顧聊天。當然,我相信 IT/IS 的主管,也早就把當訪客背後靈這件乏味但又重要的工作內容,列在 IT/IS 的工作規範當中了。

About