平安金融安全研究院专利(提案)列表

吕毅:宋徽宗pk梵高,浅谈信息安全价值及落地

2018年10月11日 13:30 来源:安在 公众号

吕毅:中国人民银行金融信息中心信息安全部副主任,分别在人行科技司、香港金管局交流工作,高级工程师, CISSP、CISP、信息系统项目管理师(高级),多次获得银行科技发展进步奖,在读博士。具备16年信息系统管理及安全建设运维实践经验,长期开展安全管理及一线运维,目前从事信息安全运营、应急响应及互联网攻防。

我们经常遇到一个悖论:没出事儿的时候你没什么用,出了事儿证明你真没什么用。信息安全本身是负面黑天鹅行业,就像在压路机前捡硬币的交易员一样,风险与收益不成正比。做完工作不被人认可,安全团队没有资源投入;出事以后又要有担当,因为职责所在,最后价值再体现不出来,就像是炮兵炊事班一样委屈。今天我就试着用一些社会学、经济学、心理学的思维来探讨一下信息安全的价值

一、 信息安全价值体现

首先我要提出两个问题:

1.宋徽宗的画和梵高的画哪个更有价值?

1.jpg


严格意义上,伟大的艺术不分好坏,属于第一人称知识,他们两个人的画没有办法直接比较,一个是欧洲割了半个耳朵的艺术大师,一个是中国皇帝里面除了做皇帝不行,书画达到顶峰的。那就比价格吧,宋徽宗的《写生珍禽图》在2002年嘉德春拍拍出了2500多万人民币,这是当时中国书画界的记录,但是十五年前梵高的画在伦敦佳士得拍出了3900多万美金。

为什么呢?因为当时世界大部分财富都在英语系国家,那些认为梵高的画值钱的人,手里比较有钱。同理,我们的工作也是这样的道理,你的工作能不能被你的主要领导认可,你的主要领导能不能拿到主要资源,这是一种信任,也是一种价值。具体怎么做,下面再说。

2.为什么同样是国足的教练,高教练和里皮的年薪不同?

2.jpg

其实这是一个比喻。为什么资产值钱?高教练在国家队执导期间工资是年薪一百万人民币,里皮来到国家队以后是1.49亿,为什么?实际上是因为大家对国足风险大到了不能承受的程度,期待请一个洋教练解决所有风险。

那么,真正的风险在于什么?真正的风险在你的预计和未来不一样。其实这从俄罗斯心理学家巴甫洛夫反射效应当中可以体现出来,看到一个东西之后马上可以想到后面带来的东西,就像只要摇铃小狗就会觉得有吃的。人类习惯的是用A到B建立起自己的反射,我们不去想在这当中为什么可以把风险规避掉,这是本能,因为人类进化的过程告诉我们,如果想得太多就要被狮子吃掉了。但是,风险的预期往往会明显偏大或明显偏小,而且经常发生不确定性而非钟形曲线。

回答以上两个问题,信息安全价值在于:掌握资源的人信任不信任你、组织对风险能够接受到什么程度。

说到价值,就从经济学里面看看价值的体现。

3.jpg

尤金·法玛提出了有效市场假说,市场里面资产的价值到底怎么来定?这里要分弱有效市场、半弱有效市场和强有效市场。

有效市场假说前提是所有的信息都是公开的,所有的人都是理性的,所有的能力都是相等的,那么这个市场当中从过去拿到的信息不能预测未来的物价,过去的价格就是过去,和未来没有任何关系,只要人都是理性的,昨天的事情不能代表未来。罗伯特·席勒认为尤金法玛说的都是扯,市场无效,人都是非理性的,一定会受到外界因素的干扰,也会按照自己的想法行动,包括贪婪和冲动,人的本质就是这样,所以经济会非理性繁荣和衰退。

虽然他们说的完全相反,但这两位同学都获得了2013的诺贝尔经济学奖,第三位同学叫彼得·汉森,他仔细认真研究了尤金法玛的有效市场假说,也把席勒的非理性繁荣假说研究了一遍,并用统计学公式进行证明,当然,其中某几个变量的改变会导致完全不同的结果,蝴蝶效应也是如此。

彼得·汉森同学发现两个人说得都对,但这个事情我也不知道谁对,那就是广义矩方法不确定。诺贝尔为了奖励这三个人,就说你们说得都好,你们都是今年的诺贝尔经济学奖,这就是2013年诺贝尔经济学奖的来由。价值到底怎么体现,每个人都有每个人的心中的哈姆雷特。上面这三个人都是研究价值的,结论也是如此。

二、 信息安全的价值落地

那我们这帮学工科的搞网络安全的价值要怎么体现呢?回到我们自己行业内就是CIA三位一体:

4.jpg

这是信息安全的价值体现,也就是CIA标准的三性。保密性就像我们在攻打锦州的时候搞的掩护和设计工作就是为了最终达到辽沈战役的目的做了有效铺垫,或者盟军当时拿到英格玛机器破掉了德军的密码体系,或者山西票号里面墙上贴着的密码表。完整性实际上就是传位十四阿哥中的多一字少一字,多一笔少一笔。可用性也很简单,“9.11”事件发生以后很多公司的数据都没有了,就真的是倒掉了。

信息安全也就是这样,其价值可以参考所保护信息的可损失价值,实际上这种价值可以理解为这个信息如果没有了,最后会有多大的遭遇,到底损失多少钱。比如今天被别人薅了羊毛,这个东西具体可以省多少钱,其实这也是一种算法,至少可以量化出来你的价值是什么,上海的赵锐同学对此做过研究。

除此之外,还有两个维度,一个是托宾Q,一个是净现值。

5.jpg

托宾Q,1981年诺比尔经济学获得者,这个价值可以比对出来到底是要继续自研往里面投钱,还是直接从市场上买就可以,是要自研还是要外购,通过这种比率可以对应过来。 

净现值。实际上资金成本由资金用途决定,也就是现在投入放到三年五年以后,整体能够给单位带来的效益和价值进行回溯。这个R值是资金使用价值,可以想像成为信息发展的速度和安全,信息安全在信息业务系统都要上云和互联以后占到信息系统的重要程度。

现在可能不够,但后期知道可以值多少钱然后再回推。2015年淡马锡对国外的五百强做了统计数据,正常的信息安全投入比例是在百分之三到百分之八之间,医疗行业、金融行业投入的相对更高一点,中位数5%左右,证券行业更高一点,要求是百分之十五。但现在国内信息安全整体行业资金和人投入甚至不到信息化资金和信息科技团队人数的5%,这百分之五到底是什么?应该是信息安全总体的投入水平,不然的话人和枪都保证不了,最后肯定没有办法把这个事情做好。

最终谈到落地,我们可以尝试用两种方法来计算信息安全价值:

6.jpg

一种是我的建设成本(沉没成本),就是我花掉的钱,包括做这些信息系统的建设、投入病毒、补丁、堡垒等等,加上资产的预计损失(ALE),这些都是安全价值。另一种是安全重置成本,就是把现在的安全团队和安全设施全部撤掉,重新做回来到底值多少钱。有一点要注意,成本应该考虑我们已经养了一个团队,这种能力是靠不断的填坑和风险处置,用安全事件喂起来的,体系化建设的能力非常重要。安全成本一定要包括团队已经有的价值,我们往往低估自己填过的坑而成长的价值,所以要对我们的人充分信任,对我们的团队充分信任。

安全的品牌是什么?就是单位用到你的时候知道你是安全的,愿意为你付钱。就和国外宣称安全线路的电信公司一样,给你提供一条安全线路,这个线路上面走的就是安全的,还是会有人愿意使用这个东西的。再就是用户信任和安全能力输出预期,BAT都在做这种能力输出。用大众对于预算分配和利润分配的心里预期参考,如果你的预算只有一百万,给你分三十万的时候领导心里会觉得你找我要钱我不爽,但你要给领导一个预期,通过安全的建设可以给你带来一百万的增值,分我五十万是不是OK?人的心理就是这样,切蛋糕的时候考虑利益多一些,蛋糕做大时候考虑贡献多一些,所以我们要输出这种预期。

关于信息安全和信息系统的关系,套用林肯在葛底斯堡的一段话,

7.jpg

a government of the people,by the people,for the people。价值其实源自信息系统,运行在系统当中,然后为业务保值和增值。信息安全说起来重要,做起来次要,忙起来不要,很正常,因为没有被人们认识到它的价值。价值体现,向内求就是增强防御能力,这就和一个保镖一样,或者可以理解为国防建设,只有能力增强了人家才会放心地请你来做。向外求就是一种信任感,信任感更大于你的能力体现,就是在你的能力体现的基础上形成一种意识上的东西。其实这是非常重要的,就像阴阳两极一样,我们要把它滚动起来。

防御能力的关键在于自身提升,建立纵深弹性自适应的防御架构和持续运营能力。信任的关键在于汇报沟通,项目管理中70%以上时间在于沟通,按季,半年,年为单位,面向用户,开发运维单位和CTO,CEO汇报,形成可控预期。 

这样一来,信息安全的价值落地,也和前面可以对应。

8.jpg

我们自身是把抗风险的能力往上提,外在需要增加企业的信任感。这是持续适应的风险和信任的评估,提高对风险抵抗能力的时候信任感也在增强。

随着信息化的保护,我们的安全也在逐步发展,包括通信安全、计算机安全、网络和系统安全,最后到了信息安全技术保障,就是从IATF的架构到运维和情报来走。

9.jpg

因为有了人,有了系统需求,根据信息系统发展,安全才体现出来,但这个过程当中我们的形态不是固定的,一定是跟着信息系统的发展变化,所以有的时候我们还守着老式的一个一个盒子来做运维,守着原来固有的方向不动,世界已经变了,我们也要跟着变。

信息安全能力的提升应该怎么做呢?我们用能力成熟度模型类比。

10.jpg


我们说到风险抵御的能力要提升,个人比较认同的是赵彦提出的模型,是把安全分成五个阶段:

第一层:通过一些较为基础的安全措施,做到了基础的访问控制,交付的系统不含有明显的高危漏洞。但对于复杂的安全事件,自身没有独立处理的能力,必须依赖于外部厂商。

第二层:有专职的安全团队,有攻防技术能力,能做到有火必救,不依赖于外部厂商。但在安全建设上缺乏思路,大多依赖商业产品或照搬已有的安全模式。

第三层:安全建设呈现初步的系统化,覆盖全生命周期,开发和运维环节有必要的控制流程,主要的系统在架构上都会考虑安全方案,检测和防护手段能因地制宜。

第四层:除了基础架构,应用,数据等技术层面安全能做到全生命周期系统化建设,业务层面安全问题得到系统化解决方案。安全此时不止关注技术层面的攻防对抗,也关注业务形式的安全及黑产的对抗。

第五层:安全建设进入最佳实践阶段,不依赖现有安全机制,也不依赖于厂商的安全产品,自身建设安全。严重的安全事件几乎很少发生,大多数精力用于优化现有系统的检测和拦截率这种模型和CMMI的成熟度模型可以对应,和人的生理模型也可以对应,就是从猴子变成人,最后会变成什么不知道,但这个过程是不可逆的。

另外,参照SANS模型来说明安全阶段和投入的关系

11.jpg

这是罗伯特李做的安全滑动象限模型,实际上也分为几个架构:基础阶段是被动防御,建立一些东西,到了主动阶段的时候架构已经起来了,知道我要的是什么。就和田忌赛马一样,基于对信息的掌握出牌。

后面就是情报建设阶段,包括我们的威胁情报、对内对外的感知能够跟上。其实从下往上走的时候投入是越来越大的,但它的效应看起来有可能会越来越低,这个也是对的。底层的事情是性价比最高的,我的感觉是千万不要搞一些看着很高大上的系统,比如台积电是一个很大的企业,安全本来做得非常好,就是病毒攻击没有防好,十多亿人民币就没了,底层的东西一定要跟上。

信息安全的信任感怎么产生?信息安全就像国防,要的是能打仗和绝对的忠诚,忠诚是信任,打仗是能力的延伸,是对风险的规避

12.jpg

我的信任基于我对风险的处置和我对事件的保障能力,不同阶段风险是不一样的,套用方兴先生对于数据安全的观点,就好像买一辆小汽车,刚开始只是要上一个交强险的标,保证能够在路上行驶,要是有了一个车队,其实它的运输货物需要达到目标,就又要做很多事情。可以把货物理解成为信息,在做这件事情的时候你更关心的是这个信息是不是安全,这个货物能不能抵达,路上是不是还要交些保护费,所以阶段不一样,保障的内容不一样,投入和思维的想法和方向也不一样。

持续演进是说这个社会原本看起来已经不可能有改进的余地(帕累托最优,投入产出相等),但实际上还是有的,但随着信息化的进步可以改进,就是找到一些增值点放进去。再就是比较优势和范围优势,通过信息和能力交换实现增值,通过多样化组合实现长尾效益,在自己人不够的时候一定要靠外部的服务,这个时候不要再向闭门造车。博弈论是从零和扩展为合作,这也是从中国经济得到的启发。

我们再往前走,安全的价值提升就在于DEVSECOPS,也就是往前走SDL,其实Gartner一直在推行。

13.jpg

把标准研究规范做好,这个时候少量的投入可以获得比较大的收入。我们自己要做好自己的持续运营,通过持续运营把信息安全团队发挥起来。再就是安全意识的服务,原来总是说教育,但我们觉得教育不合适,我们的用户和我们的领导都比我们聪明,我们没有把这个事情做好,或者认识不到价值的责任在我们,所以我们要给领导做好培训,也要给员工做好培训,包括向我们提供服务的安全厂商,要把安全内容给他们宣讲过去,否则最后我们发现我们以为自己做得很好,可是你以为的就真的是你以为的吗,搞不好产品链、信任体系整个系统都瘫痪掉了,自嗨没有意义。安全意识服务是花钱少、收效高的事情,有的时候我们容易忽略,后续需要加强去做。

信息安全还有一个增值方向,也是我们正在努力的方向,我称为信息安全登月工程。BAT可能都已经做到了,我理解是这样几个方面:

14.jpg

基于统一的认证平台,把对系统和对人的管控做起来,这是对网络层和对系统层的模型,通过统一认证把上百万台的服务器用系统管理起来,底层做好以后云安全层面的网络就可以做好,也把我们的防护设施做到云的上面,最后再做大数据的安全平台。如果能够把这三步走做好,其实增值就可以体现。

甲方、乙方和互联网应该怎么做安全?

15.jpg

甲方要做的是信息安全的运营,要把我们的业务所能看到的东西理解透,我们的优势是人少,但我们理解业务,距离战场和用户需求最近,乙方厂商的服务水平和内容摸透,然后我们做中间的小流程。实际上这是现在我们自己的优势所在,因为对业务的理解是甲方优势,厂家过来也不知道,中间把这个点运转起来就是非常好的,通过范围经济对抗复杂性,就是各种各样的需求和各种各样的服务能力由你来做匹配,这样的话关键点就在于运营起来这个体系,我们不要把精力投入到运维当中,要做最中间那个轴承。 

乙方安全服务是要专而精,进而形成平台的服务也是这样,要做自己专业化的东西,越专业越好,越小越好,第一步是专业化服务,第二步是平台,按照这个平台来做服务,这种优势就在于熊彼特提出的创新优势,利用产业的资源把这件事情做起来,一定要找到自己的定位。现在一般安全平台存在的问题大部分是服务没有跟上,一线现场的人跟不上,这样严重拖累整体的服务水平。近期我们也在提这件事情,就和战场一样,华为把他们的战场放在非洲,进行开疆拓土,这样的人最值得尊重。

大型互联网企业安全建设基本属于自建自营,各种各样的方法,通过高水平的团队堆积,如果能够产品化也是一个福音,现在是在快速迭代。所以信息安全分为甲方、乙方和互联网。 

信息安全工作怎么做、生态圈应该怎么建,本质是交换+资本+生态

16.jpg

第一要做交换,第二要做生态。

亚当斯密的理论讲绝对优势,一个国家必须要让所有生产效率禀赋处于最优才有交换价值。李嘉图提出但就算不是最优,通过信息的共享和交换也可以拿到三角模型。这就是说我们为什么要交换信息,要做威胁情报交换共享的意义。

熊彼特的创新学说进一步提出了创新是不光要做交换,创新的时候还要和资本结合起来,这是大众创业万众创新理论依据,包括它的钻石模型。凯文凯利和现在的互联网经济是做生态圈,只有把生态圈做起来,这个圈子当中所有的大鱼小鱼都可以找到自己的定位,包括供应链的安全我们要想到,甲方乙方产业和开源生态,这也是我们需要加强的,也包括企业自身的建设和创新。 

信息安全目前国内产值和市值都很低,不光落后于信息产业本身,甚至远落后于咨询公司市场规模,如何做好,生态很重要,容错试错,市场充分发挥竞争机制,创新机制,做大市场。

回头来说,要做一个类似于信息安全的供给侧改革。

17.jpg

用户需求是有很多,但随着安全的发展,要把供给侧做起来。劳动力、土地资本和创新是需要去引导的,就和之前我们讲的科技引领业务,怎样把安全进行引导,要做一些这方面的改革,是不是在整个体系当中把价值体现出来。然后是线上线下的融合,建立起平台以后,平台怎么才能把这个东西落到用户现场、落到本地服务。因为很多平台建立起来以后纯做线上、线下不做,所以后来就死掉了,线上线下融合起来应该是一个比较好的方向。

三、情报对信息安全的价值

18.jpg

讲一讲情报对信息安全的价值,情报的意义在于什么?这是1858年,德国数学家莫比乌斯和约翰·李斯丁发现莫比尤斯环,它的好玩之处在于,把纸条翻过来一百八十度折到一起,一只小蚂蚁可以从一面直接走到另一面,把一个平面变成了一个立体,它的维度增加了,就像二维世界的贪吃蛇永远走不出迷宫一样,维度和信息情报增加以后就增加了我们对这个事物的理解,其实就是赋能的概念。信息安全情报是从底层对数据的分析成为信息,然后对信息的整理和加工形成情报,这个时候情报就是可以用的了,最终再形成一个决策,这种决策对我们来说其实是有价值的。

威胁情报的应用要知己知彼,知己就是对自己的资产梳理清楚,要从外部和内部来看自己的东西,知彼就是要知道别人是怎么做的,一个是向外求,一个是向内求,最终还是要审视自己到底想要做什么样的体系,经常反思自己。这里引用李宗洋老师的七言绝句:态势感知是基础,异常行为是线索,分析能力是关键,应急处置是保障。威胁情报可以赋能,如果国内API接口做得足够开放,我们能够把情报推过去,很多事情就比较简单。我们自己把边界防御层的设备和内部的监测设备构建出来一个信任体系,看到问题就处理掉,这就是威胁情报的价值。

怎样理解信息安全情报价值?

19.jpg

这里有一个资本资产的定价模型CAPM,他给出了一个非常简单的结论:只有一种原因会使投资者得到更高回报,那就是投资高风险的股票。里面β值,β值越高说明风险越高,风险越高价值越高,这是标准自主的定价模型。

现在我们要反思一个事情,事实真的是这样吗?风险越高收益越高吗?实际上不是这样,情报的价值就是要知道更多的信息。一个布满雷的屋子里面有很多的钱,第一个人进去以后拿了一袋子钱出来,第二个人不知道应不应该进去,第一个人进去了我也进去吗?第二个人进去以后也拿出来一袋子钱,第三个人应不应该进去?我们总是从概念和可能性来想问题,其实主要是几点:是不是真的穷没钱了,如果真的没钱不用想,直接进去,不存在选择成本。

第一个人说那是一个定时炸弹,五分钟就爆,我进去没问题,这是无风险收益。第二个人说我知道里面的情况,知道的信息足够多这就是无风险收益。好多时候,我们要努力寻找无风险收益,而非操着白粉的心,赚着白菜的钱。情报,是重点。

最后,总结一下:

20.jpg

信任是基石,价值的认可;

风险会处置,是能力的认可。虽然我们是专业的背锅选手,但锅要背的讲究,要找准自己的定位,一定要做那个最专业的。欧阳昕老师曾经跟我提过,非洲的大草原上有一种动物叫做蜜獾,又叫平头哥,只有十几公斤的体重,但什么都不怕,生死看淡不服就干,被毒蛇咬了一口两个小时就醒过来了,我们就要有这种精神,不用想,往前突吧。周其仁教授引用犹太谚语,难的事情才应该做,因为竞争少一些,容易做成。

返回