下载本文的PDF版本 PDF

机会成本与网络安全优化的失机

当选择一个替代方案时,从其他替代方案中失去的潜在收益

Kelly Shortridge 和 Josiah Dykstra

网络安全涉及日常决策,需要在影响防御结果的成本之间取得平衡:资源应集中在哪里,哪些威胁构成最关键的影响,以及哪些缓解措施必须优先部署。在这项工作中,问题层出不穷。成本不仅仅是金钱;资源是有限且稀缺的。因此,网络安全决策可能导致次优结果和错失机会。

理论上,决策应根据每个选项的预期回报做出。例如,备份是否能防范勒索软件造成的预期损失?其他替代方案必然不会被采用。投资回报率(ROI)的计算决定了特定选择的价值,但忽略了可能存在的价值。

这就是机会成本的定义:当选择一个替代方案时,从其他替代方案中失去的潜在收益。6 用于数据备份的资金不能同时用于端点保护,以防御勒索软件。

通过将机会成本纳入决策制定过程,网络安全可以获得很多好处,从最大限度地减少外部威胁的影响到最大限度地提高公司生产力。如果资源被用于防御供应链攻击,而社交工程却导致更大或更频繁的损失,企业就会遭受损失。在公司内部,将时间和其它成本分配给安全甚至可能对盈亏底线不利。

本文探讨了在实践中机会成本如何经常被忽视,并讨论了将其纳入日常决策过程的方法;一个案例研究说明了将机会成本作为网络安全决策制定的核心组成部分的好处。

 

多种类型的成本影响网络安全

对许多人来说,一个令人沮丧的事情是计算给定选择的预期收益。花四个小时读一本新书而不是练习小提琴的价值是什么?考虑替代方案不是人类的默认倾向,但即使没有绝对的美元价值,这些问题也不是不可能回答的。

成本通常与货币价值相关联。在一种机会上花费的财务资源意味着这些资源不会花费在其他事情上。企业会计算各种组成部分的财务成本,包括许可费、资本支出和完全加载的劳动力成本。

特定选择的货币成本和收益通常是孤立地考虑的,而不是考虑到其外部性——选择对其他实体施加的成本和收益。12 负外部性的一个经典例子是污染。一家公司可以进行成本效益分析来计算其最佳生产率,但这只会考虑生产一个小部件所产生的成本以及公司销售该小部件所获得的收益。它不会考虑降低饮用水质量给当地社区带来的成本,也不会考虑碳排放给社会带来的成本。在网络安全中,实施应用程序安全工具可能为安全团队带来正的投资回报率,但也可能导致软件发布速度变慢或次数减少的负外部性,从而给软件工程团队、组织及其客户带来成本。

从安全团队、组织及其内部的其他团队、用户和客户以及周围社会的角度来看,成本和收益可能大相径庭。一个利益相关者的收益可能会成为另一个利益相关者的成本。表1和表2通过说明网络安全中机会成本的成本和影响来理清这种复杂性。它区分了有形和无形成本/收益,并强调这些成本/收益适用于几个关键群体:员工、组织和社会。

Opportunity Cost and Missed Chances in Optimizing Cybersecurity

 

Opportunity Cost and Missed Chances in Optimizing Cybersecurity

时间是机会成本的重要组成部分,但在实践中经常被忽视。回答帮助台工单和制定新的安全策略都需要时间。时间的投入也会产生二阶影响,例如对员工满意度、倦怠和离职率的影响。情感体验,例如焦虑、沮丧和困惑,在评估选项时经常被忽视作为一种成本,尽管它在人类决策过程中具有充分的文献记录。10 时间压力带来的压力会加剧用户对安全工具可用性不足的挫败感,使他们更有可能绕过安全要求。8

安全程序是组织的组成部分,可以消耗能量或吸收能量,但能量既不会产生也不会消失。恳求员工对网络钓鱼威胁保持警惕需要他们消耗能量,而安全团队会吸收这些能量(因为这些用户的努力使安全团队可以将能量消耗在其他地方)。要求软件工程师对漏洞扫描器发现的错误进行分类是另一个例子;开发人员花费精力梳理发现结果并修复它们,而安全团队则吸收了这些能量。思考能量在哪里被消耗和吸收,以及被谁消耗和吸收,可以帮助挖掘安全决策的机会成本。

 

显著性和零基线

在决策过程中鼓励探索机会成本的最有效方法是使替代方案更加显著。

如何使焦点之外的替代方案更加显著?一种方法是要求不做任何事的基线——也就是说,一个选项的成本和收益必须与不做任何事的成本和收益进行比较。这被称为零基线。这个想法是鼓励围绕解决相同目标的替代方案的显著性。例如,如果你的目标是放松,你不应该只比较度假选项,还应该比较当地的温泉日、外包家务(如清洁)或实施瑜伽锻炼。这种比较应该不仅包括货币和努力成本,还应包括积极的回忆、健康结果、增加的休闲时间以及收益是短暂的还是持久的。

焦点选项会影响安全消费。例如,安全团队通常会评估同类型的产品,称为bake-off,这反映了焦点选项。他们不太可能在同一决策过程中包含非焦点替代方案。他们也不太可能比较购买焦点选项与根本不购买任何选项的成本和收益。

安全团队可能会选择三家安全意识培训供应商进行bake-off,以比较他们的成本和收益。显著的成本可能包括前期购买价格和初始实施成本的估计。显著的收益可能包括内容的数量、内容的多样性和客户支持。

显著的成本和收益是那些在焦点选项之外和安全团队当地环境之外的成本和收益。内部最终用户中断工作进行培训的成本是不显著的。用户或安全团队本身将问题视为“已解决”但问题仍然未解决的认知成本是不显著的。9 追求替代方案的收益——例如使用单点登录和多因素身份验证来减少用户容易受到网络钓鱼计划影响的风险——是不显著的。根本不购买该工具的收益也不显著,这可能包括安全团队更好的声誉。

始终考虑零基线是鼓励安全决策者考虑机会成本的值得采用的启发式方法。这种启发式方法简化了机会成本的考虑,并最大限度地利用了有限的时间和注意力。当评估问题领域的解决方案时,安全专业人员应将“不做任何事”作为其基线,并估算其收益。

假设一位安全领导者希望评估应用程序安全测试工具。通过考虑零基线,领导者可能会得出包括更快的变更交付周期、更高的部署频率、更低的变更失败率以及重新获得原本会转移到分类测试结果上的时间等收益。3 相对于减少到达生产环境的错误(这依赖于这些漏洞将被利用的假设结果)的收益而言,追求应用程序安全测试的机会成本可能被认为对业务的影响过大。如果安全领导者仅考虑焦点选项,比较每个工具的相对成本和收益,那么这些潜在决策结果的方面将被忽略,尽管它们对组织造成了不可忽视的成本。

零基线还可以支持将问题陈述重新调整为更全局最优的结果,而不是局部最大值。如果安全领导者采用应用程序安全测试工具的动机反映在问题陈述中,例如“必须减少到达生产环境的漏洞”,那么考虑“不做任何事”的选项可能会促使领导者根据速度对组织至关重要的观点重新思考这个问题。也就是说,组织的优先级将变得更加显著,从而产生更符合组织优先级的问题陈述,例如“生产环境中被利用的漏洞不得影响业务运营。” 这大大改变了焦点领域。

替代假设不显著也会影响安全决策制定。例如,一旦安全领导者决定采用零信任架构,他们就不太可能收集关于替代假设(零信任以外的其他方法可能最能解决问题)的证据,并且可能对单一的原始假设变得过度自信。11 使机会成本显著化,例如通过考虑零基线,增加了消费者将跨类别和收益类型比较选项的可能性,而不是仅仅比较焦点选项反映的狭窄竞争集。16

因此,在网络安全中,零基线将允许安全领导者感知跨解决方案类别的竞争,并重新考虑正在解决的最终问题。不再是狭隘地框定为“哪种内部威胁工具最好?” 现在的问题是,“在资源受限的情况下,哪种解决方案最有效地减少内部人员的不良活动的影响?” 这有助于在内部威胁工具和身份控制或其他选项之间进行比较。

最后,零基线作为一种简单的停止规则很有用。如果不是决定停止该过程,对附加信息的追求和对替代选择的评估可能会无限期地继续下去。对于首次考虑机会成本的人来说,决策者会考虑零基线,然后停止寻找其他选项。一旦这成为例行程序,就可以考虑其他停止规则。

 

机会成本在网络安全中的应用领域

正如刚才提到的例子所说明的那样,有很多方法可以将机会成本应用于网络安全。本节更深入地探讨四个常见的应用领域。

 

开发和解决方案选择

安全从业人员在预算和时间限制下努力选择解决其问题的最佳解决方案。当考虑诸如以下选项时,给定问题的潜在解决方案可以扩展:自建还是购买;手动还是自动化流程;范围紧缩的MVP(最小可行产品)还是更完整的初始功能集。虽然这反映了对解决方案的稍微更广泛的考虑,但它仍然反映了一种放大的视角。

机会成本框架揭示了问题定义过于规范的情况,这扼杀了可能更优越的解决方案。例如,“哪种静态应用程序安全工具最好?” 会产生狭窄的焦点,并仅规定SAST(静态应用程序安全测试)工具。“我们如何才能最大限度地减少开发人员引入代码中的安全漏洞的数量?” 的工具针对性较弱,可能会引入开发人员安全培训的焦点选项,但仍然锚定在一个相对狭窄的焦点上。

相反,“我们如何最大限度地减少生产环境中运行的代码中的安全漏洞的影响?” 允许广泛的潜在解决方案列表,以最好地优先分配有限的资源。与其他团队进行头脑风暴可能会产生更广泛的列表,不仅包括SAST工具和培训,还包括短暂或不可变的基础设施、标准化库和模式,以便开发人员不太可能犯错误、使用强大的隔离属性架构系统,或者运行安全混沌实验以揭示系统在不利情况下的行为。15

机会成本可以帮助决定何时外包工作或在内部执行工作。大多数组织都有明确的宗旨要实现;他们的使命不是保护其端点或网络。通过这个视角,任何不直接支持组织基本宗旨的工作都会承担机会成本,即占用时间和认知精力,使其无法用于更直接地实现其宗旨的工作。

如果一家零售公司想要一个弹性的在线商店,数据库、广告投放和内容交付方面的专业知识可能不在其内部技能范围内。相反,它可以将问题外包给平台服务提供商、广告技术公司和内容交付网络,这些公司的员工擅长这些任务。尝试创建和运营成功的在线商店的机会成本是时间和认知精力,这些时间和精力本可以更好地用于处理零售业务逻辑,从而为客户提供更多价值。这是一个相当大的代价。

 

需求和模式

网络安全实践的常规部分是使用需求和模式来定义围绕质量和行为的期望。

定义需求和创建可重用模式反映了对机会成本的考虑(这也许是它们在网络安全程序中臭名昭著地被忽视的原因)。记录在案的安全需求限制了技术和攻击面的变化,这有助于可重复性和可维护性。可重复性和可维护性反映了在狭窄焦点范围内的成本效益分析中可能没有考虑到的非功能性需求,尽管它们对系统弹性有好处。2

例如,安全团队的一项常见手动任务是回答工程团队关于如何构建产品、功能或系统的问题,使其能够获得安全程序的批准(或至少不被阻止)。这通常被认为是高优先级的活动,因为忽略它会让工程团队“卡住”。然而,对工程团队的每个查询进行手动响应都会产生机会成本,因为回答每个查询所花费的时间是可以用于其他地方以实现安全程序目标的时间。

定义明确的需求,并赋予工程团队在遵守这些需求的同时灵活构建项目的能力,可以释放双方的时间和精力:工程团队可以自助服务和自主启动,而无需打断他们的工作来与安全团队讨论和协商,而安全团队不再被请求和问题淹没,因此可以执行具有更持久价值的工作。最近的一个例子是,Greg Poirier将这种方法应用于CI/CD(持续集成、持续交付)管道,消除了对集中式CI/CD系统的需求,同时保持了证明软件变更和确定软件出处的能力。14

花费时间思考如何在最大限度地减少摩擦的同时实施标准,并将由此产生的安全需求写下来——这些需求成为软件项目中的另一组非功能性需求——比仅提供短期价值的常见安全“苦差事”提供更高的投资回报率。工程团队为每个项目询问安全需求的机会成本包括有形成本,例如时间和延迟实现的收入,以及无形成本,例如分散的注意力和认知超载。例如,编写关于“以下是如何管理密码策略”的文档意味着每个工程团队不再需要询问需求,从而降低了这些成本,同时提供了可重复性和可维护性的好处。当面临实施哪种类型的密码策略时,工程团队应该能够访问文档并理解需求。重要的是,为了最大限度地减少临时讨论的机会成本,每个人都应该参考同一份单一文档,以避免基于个人技术堆栈的临时需求定义和协商。

因此,不标准化安全需求并传播这些需求的机会成本很高,但当从业人员考虑其他工作的成本效益分析时,这种成本会被忽视,这些工作会占用追求这种标准化的时间。

 

风险优先级排序

尽管备受关注,但对于风险量化的投资回报率和机会成本的分析仍然不足。实施信息收集、调整量化模型和解释信息的时间成本经常被忽略;这些活动明确地从执行旨在解决他们试图衡量的担忧的活动中吸取时间。计算特定安全事件的概率会牺牲可以用来确保组织为该安全事件做好准备并最大限度地减少其影响的时间。风险量化可以提供信息,但最重要的结果是结果如何影响后续的决策和行动。

还存在因渴望计算安全事件的概率而延迟决策制定的机会成本。粗略了解攻击者最容易做什么——也就是说,他们在其操作中可能首先尝试的操作——就足以告知工作的优先级。使用复杂的统计模型改进这些估计的收益(在实际安全结果方面)仍然未经证实。

风险量化也可能导致虚假的安全感。通过减少不确定性,从业人员可能会觉得情况更受控制,但情况的模糊性仍然存在,并且只能在真实事件发生时的真实操作中被揭示出来。17 即使在网络安全领域之外也是如此。正如地震学家苏珊·伊丽莎白·霍夫所指出的那样,“建筑物不在乎是否预测到地震或摇晃;它会承受摇晃,或者它不会。”5 也就是说,尝试预测事件的机会成本是可以用来培养对事件的弹性的时间。

 

延迟的机会成本

在网络安全中,与等待或继续相关的决策很常见:1 我们应该发布还是延迟?我们应该选择临时修复还是等待更完美的解决方案?

开发旨在追求完美和包罗万象而不是“足够好”的MVP的内部项目也承担着类似的机会成本。这通常被视为对自动化的渴望的阴暗面。一个组织可能希望拥有“一个自动化框架来统治一切”,即使它在多年的专门开发工作后(因沉没成本谬误而加剧)仍未交付任何东西。“完美”地构建一年后所有用例的东西的机会成本是更快地“足够好”地解决一个用例并更快地交付价值。

安全和软件工程团队都经常犯错,试图创建可以推广到所有潜在用例的自动化框架,通常需要数年才能完成。这种方法忽略了机会成本,机会成本会鼓励与替代选项进行比较,例如花费相同的时间、精力和金钱为一个特定用例构建自动化以启动项目。例如,安全团队可以采访内部利益相关者,并确定资产清单自动化将提供即时价值。他们可以通过满足资产清单自动化的一组最低要求来限制他们的时间和精力,快速构建MVP以征求初步反馈并告知下一步应该做什么。

安全工程团队也可以考虑后续工作的机会成本;也许所请求的功能提供的边际收益低于团队可以执行的其他任务。因此,一旦MVP发布,团队就可以将其时间重新分配给其他任务,而不是永久地限制它。

针对几个用例的多次较小规模的发布在分配时间和精力时提供了更大的灵活性,尤其是在用户和利益相关者可能需要时间才能对发布提供足够的清晰度和共识以告知后续步骤时。尝试满足理想要求的单次大规模发布不仅使时间和精力成为缺乏流动性的资源,而且还可能需要其他团队成员加班来弥补构建鲁布·戈德堡机械的人员。这会导致有形成果,例如较差的工作质量、较差的指标和增加的损耗,以及无形成果,例如生产力下降、倦怠加剧和怨恨攀升。(开发者生产力的SPACE框架表明,软件质量可以通过衡量可靠性、持续服务健康状况和无错误来捕捉。这些都是可量化的指标,前两者与正常运行时间相关,可以与收入挂钩。4)

 

网络安全中的应用和实践

本节探讨网络安全机会成本的实践,首先是Twilio的详细案例研究,重点介绍了迄今为止讨论的原则。然后,它介绍了工具,以帮助从业人员和安全决策者在实际情况下以最大的便利性实施机会成本考虑。

 

案例研究:Twilio

Twilio是一家技术公司,提供用于通信的API和服务,包括电话和短信。例如,Uber使用Twilio向客户发送关于乘车状态的短信。为了实现这一点,Twilio使用了移动网络运营所需的电信协议。为了使其可靠,必须保护这些协议。

NightOwl是Twilio的两名安全架构师构建的自动化测试框架,它执行电信协议的攻击树建模。Twilio获得了NightOwl的临时专利,增强了其知识产权组合。

NightOwl在其使用的第一年就为一个团队节省了20万美元。现在多个内部团队可以使用它在产品发布前进行自助安全测试,并且正在积极扩展其使用范围,提出新的特性和功能。

NightOwl的创建者为两种特定的电信协议创建了自动化和测试:GTP(GPRS隧道协议)和Diameter。这些协议对于运营Twilio的核心移动网络至关重要,将用户连接到Twilio在其全球电信网络中的SIM卡。GTP和Diameter都不支持身份验证或授权,因此测试每种协议的安全性和可靠性至关重要。

考虑机会成本使NightOwl的创建者能够将MVP的范围限制在这两种协议上,确保最佳地利用他们的时间和组织最高的投资回报率。GTP和Diameter不仅代表了Twilio的Super SIM团队的第一个用例,从而提供了最高的边际收益,而且也是最容易构建的;一个需要专门的传输层SCTP(流控制传输协议),另一个通过UDP(用户数据报协议)。

Twilio的现状是在产品GA(正式发布)之前聘请外部咨询公司对每个协议执行渗透测试。每次测试的成本约为10万美元,并且需要安全团队数周到数月的时间,不仅要与顾问组织测试,还要在之后处理调查结果并与内部团队协调以修复它们。鉴于电信协议的复杂性和专业性,几乎没有现成的自动化渗透测试工具可以直接替代。

由于NightOwl的创建者在思考这个问题时考虑了机会成本,他们理解内部渗透测试是不可行的。因此,他们扩大了可行的替代方案范围,包括开发自动化工具,权衡初始的前期时间投入,以换取持续成本的降低和永久收益的增加。通过构建自己的工具,他们可以实施如此复杂的系统所需的全面测试。根据Twilio的实际实施情况制作有针对性的消息比尝试改造现有工具更有益处,因为现有工具仅涵盖不适用的案例子集,并且不涵盖其他必要的测试。它还使他们能够实施现有工具未提供但提供明显边际收益的新方法,例如构建模糊引擎和状态消息以执行更深入的测试。

采用MVP方法,最大限度地利用了有限的时间资源,使NightOwl的创建者能够快速交付这些收益,同时最大限度地降低时间成本。用他们的话说,他们构建它是“粗糙和简陋的,以便将其发布出去”。他们还通过考虑延迟NightOwl发布的的机会成本,包括未收到用户反馈、延迟向用户交付价值以及可以更好地用于其他项目的时间,而得出了MVP加迭代模型。

NightOwl为发布GA产品带来的节省既有时间上的也有金钱上的。第一个使用NightOwl的工程团队正在某个目标日期之前发布GA产品。该团队使用NightOwl为GTP和Diameter运行了必要的测试,仅留下一个测试供外部顾问完成。通过完成三个协议中的两个协议的测试,NightOwl节省了20万美元。如果另外两个测试未通过NightOwl的测试,则发布该产品将需要额外八周的工作。工程团队甚至无需安全团队的协助,通过NightOwl生成了一份报告,其中包括执行模拟攻击时系统结果的图表。这不仅提供了对发布GA产品获得信心的无形利益,还提供了知识文档。

在NightOwl之前,鉴于大量的时间、精力和金钱支出,工程团队仅对主要版本执行渗透测试。借助NightOwl,工程团队现在可以在每次发布(包括小版本)之前执行渗透测试,从而提高了安全覆盖率。协调测试、为每个发现创建工单以及跟踪这些工单的完成情况的苦差事也带来了无形成本——包括压力、沮丧和生产力损失——这些成本通过采用NightOwl得以消除。

虽然NightOwl需要更多的前期工作,但它提供了持续的收益,如果其创建者没有考虑机会成本,这些收益就会被错过。他们可能只是根据比较不同的顾问或在内部执行相同的手动工作来进行成本/收益分析,从而忽略了这个更优越的选项。

最后,对机会成本的考虑启发了NightOwl的创建者重新定义问题陈述。通过考虑解释渗透测试顾问的调查结果、为Twilio的工程团队翻译这些调查结果以及协作确定修复优先级的成本,他们开始将目标视为“工程师可以自行修复的可操作的安全发现”,而不是“进行渗透测试”。这改进了NightOwl的初始功能和非功能需求,使其创建者能够交付比外部渗透测试或用手动脚本替换它更多的价值。

 

在实践中实施机会成本考虑

任何使决策制定更繁琐的提议都可能面临怀疑和低采用率的风险。生成替代方案列表可能需要研究哪些替代方案存在、与不同提议相关的成本,甚至是对单个选项的总成本和价值的基线衡量。事实上,在考虑机会成本时存在机会成本。

丹尼尔·卡尼曼和其他心理学家区分了快速和自动的思考(系统1)与较慢的分析性思考(系统2)。7 快速和自动的思考——有时被描述为“蜥蜴脑”——针对易用性进行了优化。边缘皮层中人脑的基本本能支持生存和效率。任何调用较慢的分析性思考的东西都必须让思考者感觉它提供了超大的回报,考虑到所涉及的努力。因此,易于实施到决策制定工作流程中对于机会成本考虑成为默认设置至关重要。在现实生活中,尤其是在快节奏和压力大的环境中,人们通常既没有时间也没有意愿去思考更困难的决策。

为了在实践中纳入机会成本,决策者应仅花费足够的时间和脑力来激发对焦点之外的选项的考虑。零基线可以作为一种新的决策制定启发式方法——一种可以带来更好决策结果的心理捷径——可以通过重复变得更加自动化。

在任何给定的决策中,您可以尝试以下工作流程来考虑机会成本

  1. 考虑零基线。什么都不做的有形和无形收益是什么?成本是什么?

  2. 零基线的收益成为考虑焦点选项的机会成本的起点。

  3. 零基线的成本可能会引导决策者重新定义问题陈述。例如,考虑手动安全变更审批的焦点选项。相对于此焦点选项,“不做任何事”的成本是生产环境中运行的Web应用程序可能被入侵。因此,问题陈述很可能应该围绕“最大限度地减少生产环境中代码被入侵的影响”,其中手动安全变更审批是许多可能的选项之一。

  4. 使用重新定义的问题陈述,考虑可能有助于解决它的扩展选项集。将时间、精力和预算视为选项之间可互换的固定单位。估计每个选项的收益和成本——粗略的“餐巾纸数学”估计不仅可以,而且在这里是理想的。哪个选项最少地侵蚀了“不做任何事”选项的收益?回答这个问题可以帮助发现哪个选项承担的机会成本最小。

这些步骤帮助决策者考虑零基线,改进目标,并探索解决方案的多样性。

没有必要深入研究精确的机会成本量化;这样做可能会导致从业人员成为时间和精力的浪费消费者。本质上,当精确量化机会成本时(如果精度在无形成本众多的情况下甚至可能实现),会产生不可忽视的机会成本。在决策领域花费的每一单位时间试图为机会成本分配一个特定的数字,都是没有花费在基于现有分析实施正确选项上的单位时间。

通过对照“不做任何事”选项进行基线比较,可以最大限度地利用考虑机会成本带来的边际收益。零基线很可能至少会使替代目标变得显著——例如“更快地将代码交付到生产环境”、“能够进行更多销售电话”或“能够消耗更多数据进行分析”——这可以突出显示如果追求焦点选择将会失去什么。零基线还可以突出显示焦点选项的其他被忽视的无形成本,例如当安全团队采用零信任网络访问工具时,工程师重新学习访问工作流程对生产力的损害。

零基线很可能鼓励重新定义问题陈述,以扩展正在考虑的替代方案的范围——例如,将陈述“购买最好的代码扫描工具”重新定义为更符合业务需求且不那么短视的“最大限度地减少生产环境中错误的影响”。

一旦从业人员习惯了这种机会成本考量工作流程(也就是说,对于“蜥蜴脑”来说,它变得更加自动化),就可以采用一些相对经济的测量选项来补充这种考量。 试点项目可以揭示在实施之前考虑机会成本的间接和无形成本。 供应商解决方案的概念验证通常旨在隐藏实施挑战,特别是当受工具影响的团队未参与评估时。 在一个工程团队(至少有另一个团队作为对照组)中试用解决方案(无论是软件还是流程),并比较他们的目标指标,可以生成关于实施影响的证据,而不仅仅是关注收益和成本。

衡量机会成本的另一种潜在途径是确定利益相关者为避免安全实施而愿意支付多少费用。 例如,员工愿意支付多少钱来避免使用公司 VPN(虚拟专用网络)? 开发人员愿意支付多少钱来避免使用需要六个小时扫描代码的 SAST 工具,或者避免为了获得服务访问权限而提交工单? 关于支付意愿的调查可以将无形的负担转化为有形的价值,从而更容易比较不同选择的收益和成本。

 

结论

机会成本是网络安全不可或缺的一部分,必须在每个决策中加以考虑——它是决策制定的一个重要的首要组成部分,而不是事后才想到的。 网络安全生态系统中的每个人都在安全结果中发挥作用,无论谁在做决策,从个人软件开发人员到安全经理再到 CEO 都是如此。 最终的结果将是安全和隐私的最佳选择——这些选择能够平衡组织在复杂数字环境中培育弹性业务运营的多方面目标。

安全决策者将受益于认识到除金钱之外的多种成本类型。 他们不必因为缺乏精确的测量而忽视机会成本。 特别是,简化复杂替代方案考虑的一种方法是考虑不作为的零基线,而不是眼前的选择。 这可以阐明手头的“真正”问题。

机会成本可能感觉抽象、难以捉摸且不精确,但如果介绍和框架得当,每个人都可以理解它。 使用此处介绍的方法——尤其是零基线启发法——将使其变得自然且易于理解。 将机会成本广泛纳入研究和实践中的常规考虑是一个有价值的目标。

 

参考文献

1. Arora, A., Caulkins, J. P., Telang, R. 2006. 研究笔记——先卖后修:补丁对软件质量的影响。《管理科学》(Management Science) 52(3), 465-471; https://pubsonline.informs.org/doi/10.1287/mnsc.1050.0440.

2. 网络安全和基础设施安全局 (Cybersecurity and Infrastructure Security Agency)、美国数字服务 (United States Digital Service) 和联邦风险和授权管理计划 (Federal Risk and Authorization Management Program). 2021. CISA 云安全技术参考架构; https://www.cisa.gov/sites/default/files/publications/CISA%20Cloud%20Security%20Technical%20Reference%20Architecture_Version%201.pdf.

3. Forsgren, N., Humble, J., Kim, G. 2018. 加速:精益软件和 DevOps 的科学:构建和扩展高性能技术组织 (Accelerate: the science of lean software and DevOps: building and scaling high-performing technology organizations). IT Revolution Press.

4. Forsgren, N., Storey, M.-A., Maddila, C., Zimmermann, T., Houck, B., Butler, J. 2021. 开发者生产力的 SPACE:它比你想象的更复杂。《acmqueue》19(1), 20-48; https://dl.acm.org/doi/10.1145/3454122.3454124.

5. Hough, S. 2010. 预测不可预测之事:地震预测的动荡科学 (Predicting the Unpredictable: The Tumultuous Science of Earthquake Prediction). Princeton, NJ: Princeton University Press.

6. Huynh, T. N., Kleerup, E. C., Raj, P. P., Wenger, N. S. 2014. 重症监护病房无效治疗的机会成本。《重症监护医学》(Critical Care Medicine) 42(9), 1977-1982; https://journals.lww.com/ccmjournal/Abstract/2014/09000/The_Opportunity_Cost_of_Futile_Treatment_in_the.2.aspx.

7. Kahneman, D. 2011. 思考,快与慢 (Thinking, Fast and Slow). Macmillan.

8. Kurowski, S., Fähnrich, N., Roßnagel, H. 2018. 关于安全技术设计对政策遵守型用户行为的可能影响——来自受控经验实验的结果。 在《SICHERHEIT》中,H. Langweg, M. Meier, B.C. Witt, D. Reinhardt 编辑。 Bonn: Gesellschaft für Informatik e.V., 145-158; https://dl.gi.de/handle/20.500.12116/16276.

9. Lain, D., Kostiainen, K., Capkun, S. 2021. 组织中的网络钓鱼:来自大规模和长期研究的发现。《arXiv 预印本, arXiv:2112.07498》; https://arxiv.org/abs/2112.07498.

10. Loewenstein, G., Lerner, J. S. 2003. 情感在决策中的作用。 在《情感科学手册》(Handbook of Affective Science) 中,R. Davidson, H. Goldsmith, and K. Scherer 编辑, 619-64. Oxford: Oxford University Press; https://projects.iq.harvard.edu/files/lernerlab/files/loewenstein_lerner_2003.pdf.

11. McKenzie, C. R. M. 1998. 考虑到备择假设的强度。《实验心理学杂志:学习、记忆与认知》(Journal of Experimental Psychology: Learning, Memory, and Cognition) 24(3), 771-792; https://psycnet.apa.org/doiLanding?doi=10.1037%2F0278-7393.24.3.771.

12. 经济合作与发展组织 (Organization for Economic Cooperation and Development). 2003. 外部性 & 经合组织。统计术语表; https://stats.oecd.org/glossary/detail.asp?ID=3215.

13. Podkul, C. 2022. 尽管遭受了数十年的黑客攻击,公司仍将大量敏感数据置于无保护状态。《ProPublica》(1 月 25 日); https://www.propublica.org/article/identity-theft-surged-during-the-pandemic-heres-where-a-lot-of-the-stolen-data-came-from.

14. Poirier, G. 2022. 软件来源 (software provenance):两幕歌剧。 为什么会有人这样做? (1 月 14 日); https://grepory.substack.com/p/der-softwareherkunft-software-provenance.

15. Rinehart, A., Shortridge, K. 2020. 安全混沌工程 (Security Chaos Engineering). Sebastopol, CA: O'Reilly Media, Incorporated.

16. Russell, G., Ratneshwar, J. S., Shocker, A. D., Bell, D., Bodapati, A., Degeratu, A., Hildebrandt, L., Kim, N., Ramaswami, S., Shankar, V. H. 1999. 多类别决策:回顾与综合。《营销快报》(Marketing Letters) 10(3), 319-332; https://link.springer.com/article/10.1023/A:1008143526174#article-info.

17. van Stralen, D., Mercer, T. A. 2015. 操作员感觉中的歧义。《突发事件与危机管理杂志》(Journal of Contingencies and Crisis Management) 23(2), 54-58; https://onlinelibrary.wiley.com/doi/abs/10.1111/1468-5973.12084.

 

Kelly Shortridge 是 Fastly 的高级首席产品技术专家,《安全混沌工程》(Security Chaos Engineering)(O'Reilly Media 出版)一书的合著者。 Shortridge 的研究兴趣包括复杂系统中的弹性、行为经济学在网络安全中的应用以及将软件系统安全从黑暗时代中带出来。 Shortridge 是一位经常担任顾问、作者和演讲者,并以使用证据驱动的方法挑战安全民间智慧而闻名。

Josiah Dykstra 是一位网络安全从业者、研究员、作者和演讲者。 他是国家安全局的技术研究员,也是 Designer Security, LLC 的所有者。 他拥有计算机科学博士学位,对人与技术的交叉领域感兴趣。 他是众多研究论文和《基本网络安全科学》(Essential Cybersecurity Science) 一书的作者,也是《网络安全神话与误解》(Cybersecurity Myths and Misconceptions) 一书的合著者。

版权 © 2023 由所有者/作者持有。 出版权已授权给 。

acmqueue

最初发表于 Queue 杂志第 21 卷,第 1 期
数字图书馆中评论本文




更多相关文章

Jinnan Guo, Peter Pietzuch, Andrew Paverd, Kapil Vaswani - 使用机密联邦学习构建可信赖的 AI
安全性、隐私性、问责性、透明性和公平性原则是现代 AI 法规的基石。 经典的 FL 在设计时非常强调安全性和隐私性,但牺牲了透明度和问责性。 CFL 通过将 FL 与 TEE 和承诺相结合,弥合了这一差距。 此外,CFL 还带来了其他理想的安全属性,例如基于代码的访问控制、模型机密性和推理期间的模型保护。 机密计算(如机密容器和机密 GPU)的最新进展意味着现有的 FL 框架可以无缝扩展以支持具有低开销的 CFL。


Raluca Ada Popa - 机密计算还是密码计算?
通过 MPC/同态加密与硬件飞地进行安全计算,在部署、安全性和性能方面存在权衡。 关于性能,您考虑的工作负载非常重要。 对于简单的求和、低阶多项式或简单的机器学习任务等简单工作负载,这两种方法都可以在实践中使用,但对于复杂的计算(如复杂的 SQL 分析或训练大型机器学习模型),目前只有硬件飞地方法才足够实用,可以用于许多实际部署场景。


Matthew A. Johnson, Stavros Volos, Ken Gordon, Sean T. Allen, Christoph M. Wintersteiger, Sylvan Clebsch, John Starks, Manuel Costa - 机密容器组
此处介绍的实验表明,Parma(在 Azure 容器实例上驱动机密容器的架构)增加的额外性能开销不到底层 TEE 增加的开销的百分之一。 重要的是,Parma 确保了容器组所有可达状态的安全不变性,并以证明报告为根基。 这允许外部第三方与容器安全地通信,从而支持各种需要机密访问安全数据的容器化工作流程。 公司获得了在云中运行最机密工作流程的优势,而无需在其安全要求上做出妥协。


Charles Garcia-Tobin, Mark Knight - 使用 Arm CCA 提升安全性
机密计算通过将监管系统移出 TCB,从而减小 TCB 的大小、攻击面和安全架构师必须考虑的攻击向量,从而具有提高通用计算平台安全性的巨大潜力。 机密计算需要在平台硬件和软件方面进行创新,但这些创新有可能增强对计算的信任,尤其是在第三方拥有或控制的设备上。 机密计算的早期消费者将需要自行决定他们选择信任的平台。



© 保留所有权利。

© . All rights reserved.