我对弹性(Resilience)的一些理解

每年RSA大会都有一个主题,今年的主题是:弹性(Resilience)。

很多标准都对“弹性(Resilience)”进行过定义,我比较偏向于NIST SP800-160中描述。即:

网络弹性的定义:使用网络资源的系统,或者被网络资源使能的系统在面对不利条件、压力、攻击或者损害的时候所展现出来的预测、承受、恢复和适应能力。

通过这个定义可以看出,所谓“弹性”首先是一种能力,在特定条件下能够预测、承受、恢复和适应的能力。通俗点理解就是具有像“永远打不死的小强”那样的顽强对抗能力。

与“弹性”对应的是“脆性”,即缺乏必要的柔韧性,机动性战斗能力弱,抗打击能力不足。有点类似于二战中,比较“脆性”的马其诺防线式防守,弱于“弹性”德国机动装甲部队的闪电战。

RSA公司CEO Rohit Ghai在“弹性之旅(A Resilient Journey)”主题演讲中,用三个例子阐释了弹性的3个特征:

少摔跤(Fall Less Often)
承受得起摔(Withstand The Fall Better)
越摔越强(Rise Up Stronger Everytime)

这三个特征从“时间”纬度上可以对应事前、事中、事后,从“能力”维度上可以对应基础防御、动态调整、协作优化,从“抓手”维度则是落地到产品的自适应安全能力、组织的自成长安全能力,以及企业业务的自主安全能力。

从技术层面来讲,安全被认为是一种“伴生技术”,但从能力层面来讲,安全则是需要“内嵌”的。可以认为“伴生”的安全是在提高水平,而“内嵌”的安全却是加强能力。这才是Rohit Ghai在演讲中阐述弹性(Resilience)的本质和重点。
没有接触过风险管理的人,我想很难一下子就理解这个逻辑。拿《士兵突击》中钢七连解散类比,成立钢七连是提高部队侦查“水平”,解散钢七连则是将侦查“能力”内嵌到整个部队。这就是从“提高水平”到“加强能力”的螺旋式上升。
我想这也可以从今年创新沙盒十强公司分别来自身份安全、数据安全、应用安全和开发安全,这些高维度安全厂商中可以看出一些端倪,你说在生命周期中“安全左移”也好,在业务发展中安全形态“前移”也罢,其实都是一个道理。
注:个人以为在信息安全与风险管理这些领域中,Resilience翻译成“韧性”更贴切一些,取顽强柔韧之意,正好与“脆性”相对。

扩展  ·  本文相关链接

· 网络安全成熟度与投入产出比
· 安全咨询到底应不应该负责落地?
· SOAR还面临着一条很难跨越的鸿沟
·这些年我对安全成熟度模型的一点点思考
(0)

相关推荐