IT安全風(fēng)險(xiǎn)管理最佳實(shí)踐包括:
使用行業(yè)標(biāo)準(zhǔn)作為指導(dǎo)。
全面了解組織的IT環(huán)境。
了解安全風(fēng)險(xiǎn)。
了解哪些安全風(fēng)險(xiǎn)最相關(guān)。
制定響應(yīng)安全事件的計(jì)劃。
對(duì)整個(gè)組織的員工進(jìn)行安全實(shí)踐培訓(xùn)。
降低IT安全風(fēng)險(xiǎn)?
風(fēng)險(xiǎn)管理過(guò)程將因IT環(huán)境而異。公有云、組織的專用網(wǎng)絡(luò)、數(shù)據(jù)中心或這些的組合將具有不同的要求和風(fēng)險(xiǎn)因素。
公有云中的安全風(fēng)險(xiǎn)管理涉及組織使用軟件保護(hù)自己的數(shù)據(jù),而云提供商則保護(hù)底層基礎(chǔ)架構(gòu)。云中的風(fēng)險(xiǎn)因素包括不安全的云客戶、云提供商未能保護(hù)基礎(chǔ)架構(gòu),以及意外或故意傳播敏感數(shù)據(jù)的內(nèi)部員工。
專用網(wǎng)絡(luò)需要端點(diǎn)安全性、防火墻、傳輸中數(shù)據(jù)的加密和流量分段,以降低安全風(fēng)險(xiǎn)。專用網(wǎng)絡(luò)的風(fēng)險(xiǎn)因素包括黑客訪問(wèn)最終用戶設(shè)備以在網(wǎng)絡(luò)中站穩(wěn)腳跟。在這種情況下,黑客的流量將顯示為正常網(wǎng)絡(luò)流量,而不是異常流量。
為了管理數(shù)據(jù)中心的風(fēng)險(xiǎn),組織可以擁有彈性的外圍防御以及檢查南北和東西向流量的安全程序。數(shù)據(jù)中心風(fēng)險(xiǎn)因素包括拒絕服務(wù)攻擊,這些攻擊以南北向流量轟炸數(shù)據(jù)中心,使基礎(chǔ)設(shè)施不堪重負(fù),使數(shù)據(jù)不可用。
通常,組織應(yīng)始終遵循安全基礎(chǔ)知識(shí)。這意味著始終加密數(shù)據(jù),控制對(duì)數(shù)據(jù)和網(wǎng)絡(luò)的訪問(wèn),全面了解IT環(huán)境中的活動(dòng),并利用自動(dòng)化來(lái)跟上資源擴(kuò)展和活動(dòng)速度。
創(chuàng)建風(fēng)險(xiǎn)評(píng)估流程和安全框架
風(fēng)險(xiǎn)評(píng)估過(guò)程包括識(shí)別組織的資產(chǎn)、潛在風(fēng)險(xiǎn)、違規(guī)的影響以及每個(gè)潛在風(fēng)險(xiǎn)發(fā)生的可能性。
資產(chǎn)可以包括數(shù)據(jù)、硬件設(shè)備、應(yīng)用程序、一般軟件和員工。一旦確定了資產(chǎn),組織就可以更好地了解其IT環(huán)境。
量化違規(guī)行為的影響必須在財(cái)務(wù)影響以及公司和品牌聲譽(yù)損失方面進(jìn)行。一旦知道這一點(diǎn),組織就可以更好地了解如果發(fā)生違規(guī)行為,將面臨什么風(fēng)險(xiǎn)。
組織可以采取的緩解這些風(fēng)險(xiǎn)的一般步驟包括:
查找并遵循安全框架。
制定并完成風(fēng)險(xiǎn)評(píng)估流程。
確定要防范哪些安全風(fēng)險(xiǎn)的優(yōu)先級(jí)。
制定事件響應(yīng)計(jì)劃l持續(xù)監(jiān)控環(huán)境。
在發(fā)生違規(guī)行為時(shí)執(zhí)行事件響應(yīng)計(jì)劃。
根據(jù)SOC2安全標(biāo)準(zhǔn),組織用于保護(hù)其資產(chǎn)的安全框架可能取決于適用的行業(yè)標(biāo)準(zhǔn)和法規(guī)。例如,零售商可能主要遵循支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)框架。
一旦組織符合PCIDSS等框架,它就知道它至少具有足夠的基線安全級(jí)別,用于存儲(chǔ)和傳輸?shù)臄?shù)據(jù)類型。
框架的一些典型特征包括一組必須滿足的原則,例如數(shù)據(jù)完整性;對(duì)高級(jí)安全設(shè)備的要求;或組織可以針對(duì)不同方案滿足的不同安全級(jí)別。重要的是要記住,IT安全沒(méi)有一個(gè)適合所有解決方案,這是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架中強(qiáng)調(diào)的。
對(duì)于上面的其他要點(diǎn),組織可以根據(jù)其選擇遵循的安全框架的指導(dǎo)來(lái)制定后續(xù)步驟。首先,組織應(yīng)該意識(shí)到它沒(méi)有無(wú)限的資源來(lái)保護(hù)自己在任何時(shí)候免受所有威脅。因此,需要根據(jù)安全風(fēng)險(xiǎn)對(duì)組織可能造成的潛在損害的可能性和潛在損害量來(lái)確定安全風(fēng)險(xiǎn)的優(yōu)先級(jí)。
一個(gè)組織可以決定它應(yīng)該投資哪些安全工具和計(jì)劃,一旦它確定了哪些風(fēng)險(xiǎn)的優(yōu)先級(jí),就值得關(guān)注。然后,組織決定采用的工具和計(jì)劃可用于監(jiān)視環(huán)境、向安全管理員發(fā)出攻擊警報(bào)以及響應(yīng)攻擊。
技術(shù)基金會(huì)
基礎(chǔ)技術(shù)層使組織能夠監(jiān)控安全威脅、攻擊和成功違規(guī)并收到警報(bào)。確保強(qiáng)大的安全工具集合是IT風(fēng)險(xiǎn)管理的關(guān)鍵部分此基礎(chǔ)層中包含的安全工具包括:
網(wǎng)絡(luò)訪問(wèn)控制。
訪問(wèn)控制表和身份訪問(wèn)管理。
監(jiān)控軟件。
防火墻。
防病毒和反惡意軟件程序。
多重身份驗(yàn)證。
加密。
根信任。
有了所有這些硬件和軟件工具來(lái)保護(hù)IT環(huán)境,建議組織投資一個(gè)儀表板,以可消化的形式在一個(gè)地方顯示來(lái)自這些不同系統(tǒng)的所有信息。這很重要,因?yàn)榭赡艽嬖诤芏嘣胍艋蛲ㄖ踩芾韱T必須對(duì)其進(jìn)行解析并確定優(yōu)先級(jí)。
人的作用
安全計(jì)劃和其他技術(shù)解決方案只是更大的安全風(fēng)險(xiǎn)管理方法的基礎(chǔ),人在IT安全風(fēng)險(xiǎn)管理中重要性很高。
人推動(dòng)安全技術(shù),技術(shù)并不能單獨(dú)解決問(wèn)題,需要執(zhí)行需要管理。從本質(zhì)上講,人們需要將技術(shù)置于可以有效完成工作的位置。但是,人們(即使是那些沒(méi)有惡意的人)本身也是安全風(fēng)險(xiǎn),也是首先需要安全工具的原因。
例如,人們通常密碼意識(shí)很差。在網(wǎng)絡(luò)安全提供商HYPR的研究中,72%的人報(bào)告將工作密碼和個(gè)人密碼混用。
這就是為什么組織的所有成員在IT安全風(fēng)險(xiǎn)管理中都扮演著重要的角色。他們都需要安全實(shí)踐方面的培訓(xùn),工作文化必須以安全為中心。這將降低成功進(jìn)行網(wǎng)絡(luò)釣魚(yú)和社交工程攻擊的風(fēng)險(xiǎn)。
需要防范的主要風(fēng)險(xiǎn)
組織最寶貴的數(shù)字資源是其數(shù)據(jù)。數(shù)據(jù)的盜竊或其他丟失是大多數(shù)組織最關(guān)心的問(wèn)題。根據(jù)Verizon的數(shù)據(jù)泄露調(diào)查報(bào)告,數(shù)據(jù)泄露通常涉及黑客攻擊,社交攻擊或惡意軟件。
還有一些趨勢(shì)會(huì)增加安全風(fēng)險(xiǎn),例如向云的轉(zhuǎn)變,安全專業(yè)人員的短缺,IT環(huán)境的復(fù)雜性日益增加,以及使用將任務(wù)(如存儲(chǔ)信用卡信息)外包給第四方的第三方。
向云的轉(zhuǎn)變意味著組織對(duì)數(shù)據(jù)安全性的控制較少,并且必須信任云提供商通過(guò)虛擬安全措施來(lái)保護(hù)底層基礎(chǔ)架構(gòu)。IT環(huán)境日益復(fù)雜,這意味著組織更難跟蹤敏感數(shù)據(jù)的位置、訪問(wèn)者以及如何應(yīng)對(duì)來(lái)自環(huán)境中活動(dòng)的大量噪音。
最后,一個(gè)組織可能正在盡一切努力保護(hù)其數(shù)據(jù),但是如果它使用第三方提供服務(wù),并且該第三方將其責(zé)任外包給沒(méi)有盡最大努力保護(hù)數(shù)據(jù)的第四方,那么這會(huì)給整個(gè)系統(tǒng)帶來(lái)一個(gè)重大的弱點(diǎn)。
為了準(zhǔn)備黑客或其他形式的攻擊對(duì)這些可能不安全的系統(tǒng)的攻擊,組織應(yīng)該找到最關(guān)鍵和最敏感的信息所在的位置,制定一個(gè)策略來(lái)首先保護(hù)這些信息,并使用安全基礎(chǔ)知識(shí)來(lái)保護(hù)它。
IT安全風(fēng)險(xiǎn)管理關(guān)鍵要點(diǎn)總結(jié):
組織需要找到一個(gè)適用于其行業(yè)的安全框架,并將其用作保護(hù)IT環(huán)境的指南。
安全技術(shù)(如防火墻)是監(jiān)視環(huán)境和響應(yīng)安全事件的基準(zhǔn)。
與技術(shù)相比,人們?cè)贗T安全風(fēng)險(xiǎn)管理中扮演著更重要的角色。
組織應(yīng)依靠安全基礎(chǔ)知識(shí)和安全框架的指導(dǎo)來(lái)為重大安全風(fēng)險(xiǎn)做好準(zhǔn)備。
