Home / Resources / News and Trends / Newsletters / AtIsaca / 2023 / Volume 2 / Learning From Other Peoples Mistakes

Learning From Other People’s Mistakes

Jack Freund
Author: Jack Freund, Ph.D.CISA, CISM, CRISC, CGEIT, CDPSE是Kovrr的首席风险官
Date Published: 11 January 2023

Tips of the Trade

几十年来,父母一直恳求他们的孩子不要做他们朋友正在做的事情. 这是一句格言的前身,“如果你所有的朋友都从桥上跳下去,你会吗??同样的理念也是全球集体智慧的源泉,也是风险管理的关键组成部分. 最近,我和一位朋友拿电力和能源安全标准开玩笑, 说那些文件的每一行背后都有一个人犯错的故事.

这种智慧整合的一个先决条件是信息共享的需要. 在帮助防止某些事件发生两次的环境中,需要关于什么有效、什么无效的信息. This can be accomplished in several ways.

Using organizations such as ISACA® 与在其他澳门赌场官方下载工作的同事保持联系有助于专业人士谈论相关话题. 但是信息共享不仅仅是讨论你在澳门赌场官方软件以及你如何解决控制问题. There is also a need to discuss what went wrong. 这意味着分享失败和原因的信息. This is hard for several reasons, 其中最重要的是,承认失败是令人尴尬的. However, 承认出了问题也可能会产生法律影响,从而导致服务中断, people’s data, or even their lives were endangered. However, 如果有关事件的公开声明掩盖了根本原因,那么网络安全领域将永远无法达到下一个成熟水平, belittle cyberexperts' work to prevent it, 并且高估了防止此类事件发生的能力. In short, 并非所有网络事件都可以归因于老练的国家黑客利用高级持续威胁(apt), 尽管有“我们正在认真对待”这样的措辞.

I am not the first nor will I be the last to call for mandatory event disclosure; however, 我需要对哪里出了问题进行更好的分类. 如果这种强制性披露要求能够利用事件记录和事件共享词汇表(VERIS)标准,并使用MITRE ATT@CK等框架识别失败的控制,那将是一件很棒的事情. 那么,在更新这些报告要求以满足期望之前,可以做些什么呢? 网络专业人员有必要继续在我们之间非正式地分享信息, 例如信息共享和分析中心(ISACs), 但我们也需要更好地利用“侥幸分析”.

因为它们不一定是事故,所以侥幸脱险很少得到应有的关注. 当事情发生的时候,理解是有价值的信息, fortunately, 难道没有造成它本可以造成的失败吗. This can be considered the best of both worlds. First, 该组织有效地获得了其系统的免费渗透测试, and second, 在任何真正糟糕的事情发生之前,事件就停止了. Analyzing such events and classifying them is helpful; it can improve discipline in organizations and help prevent such incidents from happening in the future.

重要的是要指出,侥幸分析与常规的内部审计或风险评估结果有很大不同. 可能会有一个维恩图,说明什么时候差一点的失误包含了一个已知的发现, however, “侥幸脱险”要求威胁代理对系统(外部或内部)施加一些力,并发现它们不足. When this happens, 威胁特工已经有效地发现了一些新东西而这三道防线中的任何一道都没有注意到. In such cases, 差之毫发说明了组织存在弱点的地方, and as such, 一旦更好地理解是什么控制弱点导致了攻击的发生,这种“侥幸”应该导致某种文档化的发现.

有强有力的理由支持分享“侥幸情报”. First, 因为几乎没有什么影响, the barriers to sharing, such as regulatory disclosures, reputation damage, and embarrassment, are lower. Second, 一个组织可能会招致比实际事件更多的“侥幸脱险”, 哪一种方法能提供有价值的信息. Some commercial, 金融服务澳门赌场官方下载的操作风险数据共享服务有一个特定的“差点失败”标志——这就是它们的价值所在.

Jack Freund, Ph.D., CISA, CISM, CRISC, CGEIT, CDPSE, NACD.DC他是BitSight的副总裁兼网络风险方法论负责人,也是《 Measuring and Managing Information Risk, 2016 inductee into the Cybersecurity Canon, ISSA Distinguished Fellow, FAIR Institute Fellow, IAPP Fellow of Information Privacy, (ISC)2 2020年全球成就奖获得者和ISACA的获得者® 2018 John W. Lainhart IV Common Body of Knowledge Award.