身為資安人員,或者也許是IT人員與開發人員,都有可能執行過安全相關的預防措施。在不少的情況下,我們都會在官方文件或是網路文章找到所謂的最佳安全實踐(Best Security Practices)。我第一次接觸到是是因為AWS雲端,但除了此類針對特定廠商服務以外,也是有針對Linux或是特定產品譬如MySQL、OpenSS,甚至是給開發人員與IT人員的Best Security Practices。剛好有次看書有看到提到關於風險分析與最佳實踐的關係因果,就乾脆紀錄一下。
先從維基百科的摘要介紹來看風險分析(Risk Analysis)與最佳實踐(Best Practices)
風險分析
風險分析是一種用於識別和評估可能危及項目成功或實現目標的因素的技術。這項技術還有助於定義預防措施,以降低這些因素發生的可能性,並確定在製定避免對公司競爭力可能產生的負面影響時成功處理這些約束的對策。在計算機領域中執行風險分析的一種更流行的方法稱為簡化風險分析過程。
最佳實踐
最佳實踐是一個管理學概念,認為存在某種技術、方法、過程、活動或機制可以使生產或管理實踐的結果達到最優,並減少出錯的可能性。 最佳實踐還常常被諮詢公司、研究機構、政府機構和行業協會定義為:為持續有效地達到企業目標而採取的最成功的解決方案或解決問題的方法。
風險分析和最佳實踐
(下列內容為原文翻譯與刪減)
「安全性」通常被視為旨在防止某些事情發生。因此,人們通常會去思考可能面臨的風險,然後製定相對應的策略來最小化或減輕這些風險問題。解決此問題的一種傳統方法是【風險分析】 。透過風險分析來衡量每種風險的可能性,評估每種風險帶來的潛在損害,接著系統性的順序處理這些風險。
風險分析在公共安全和土木工程領域有著悠久而成功的歷史。考慮建造一座吊橋。確定橋樑上的汽車、卡車和天氣會對橋樑的施加多少壓力是一件相對簡單的事情。知道了預期的應力,工程師可以計算出在特定設計和施工選擇的情況下橋樑在其生命週期內倒塌的可能性。考慮到橋樑的寬度、長度、高度、預期交通和其他因素,工程師可以計算出橋樑故障可能對生命、財產和通勤模式造成的問題。
不幸的是,風險分析在資訊安全領域的應用不太成功。風險分析依賴於衡量每個風險的可能性、識別導致這些風險的因素以及各種選擇的潛在影響的能力——然而這些都難以量化評估。如何計算攻擊者能夠在你的 Web 賜福器上獲得系統管理員權限的風險?隨著新的安全漏洞的發現,這種風險會隨著時間的推移而增加,還是會隨著時間的推移而降低?隨著漏洞的公開和修補,維護好的系統會變得不那麼安全還是更安全?較少有關於這些問題的統計和研究。許多人認為他們知道這些問題的答案,但研究表明,人們根據個人經驗錯誤地估計了風險。
由於風險分析存在固有的困難,近年來出現了另一種保護計算機系統的方法,稱為【最佳實踐】。這種方法包括一系列在業界與社區中普遍接受的安全建議、流程和策略,以合理的成本為組織提供整體安全和風險緩解。最佳實踐可以被認為是實施健全安全措施的『經驗法則』。
當然最佳實踐方法並非沒有問題。最大的問題是,沒有一套適用於所有網站和網路使用者的"最佳實踐"。金融相關網站與通訊相關網站的最佳做法可能有相似之處,但金融網站可能又會有額外的安全措施。
遵循最佳實踐並不能完全確保你的系統不會遭受與安全事件。大多數最佳實踐要求組織的持續關注最新攻擊的消息,並在供應商提供補丁時下載更新。但即使你都遵循此方案,攻擊者仍可能使用一種更新穎的、未發表的攻擊來入侵破壞你的系統。
建議結合風險分析和最佳實踐。從一系列最佳實踐開始,受過教育的資安人員應該評估風險和權衡,並為特定的配置和管理選擇合理的解決方案。Web 服務器應該託管在隔離的機器上,並配置有提供最低要求功能的操作系統和軟體。操作員應該對變化保持警惕,及時更新補丁,並為意外做好準備。做好這件事需要對 Web 的工作原理以及當它不工作時會發生什麼有深刻的理解。
參考的原文書籍內容連結:
Web Security, Privacy & Commerce, 2nd Edition-Risk Analysis and Best Practices
https://www.oreilly.com/library/view/web-security-privacy/0596000456/ch01s02.html
