網(wǎng)絡(luò)安全風(fēng)險管理和網(wǎng)絡(luò)安全防護(hù)是兩個密切相關(guān)但不可互換的概念,網(wǎng)絡(luò)安全防護(hù)側(cè)重于應(yīng)對攻擊和響應(yīng)正在發(fā)生的安全事件,而網(wǎng)絡(luò)安全風(fēng)險管理則強(qiáng)調(diào)從更全面的視角去評估企業(yè)的安全狀況和面臨的威脅態(tài)勢,包括了從對組織運(yùn)營、商譽(yù)、財務(wù)和合規(guī)等多個方面整體應(yīng)對各種可能發(fā)生的網(wǎng)絡(luò)威脅。
由于網(wǎng)絡(luò)安全風(fēng)險具有多面性,因此組織在開展相關(guān)風(fēng)險管理時,也需要一系列廣泛的能力支撐,才能有效管控各種特定的風(fēng)險因素。
1.資產(chǎn)管理能力
網(wǎng)絡(luò)風(fēng)險管理工作始于全面的網(wǎng)絡(luò)資產(chǎn)洞察與管理。如果連網(wǎng)絡(luò)資產(chǎn)都不能全面識別,其應(yīng)用時的風(fēng)險保護(hù)也就無從談起。企業(yè)在管理網(wǎng)絡(luò)資產(chǎn)時的常見挑戰(zhàn)包括全面洞察混合IT環(huán)境、重復(fù)的IT資產(chǎn)數(shù)據(jù)梳理以及過時的資產(chǎn)數(shù)據(jù)庫。
據(jù)企業(yè)戰(zhàn)略集團(tuán)(ESG)在2023年的研究報告《安全衛(wèi)生和態(tài)勢管理仍然很分散而復(fù)雜》顯示,幾乎所有(95%)的受訪者都會在管理企業(yè)的IT資產(chǎn)庫存方面面臨挑戰(zhàn),近三分之一(32%)的受訪者表示使用了十種以上的數(shù)據(jù)庫、系統(tǒng)和工具來管理網(wǎng)絡(luò)資產(chǎn)。這是需要解決的常見問題。
為了全面洞察組織的網(wǎng)絡(luò)資產(chǎn)以加強(qiáng)保護(hù),企業(yè)應(yīng)該采用支持統(tǒng)一視圖的產(chǎn)品,比如通過借助API連接到配置管理數(shù)據(jù)庫收集數(shù)據(jù)的安全資產(chǎn)管理系統(tǒng)、攻擊面管理工具和漏洞管理平臺等。最好的選擇就是為基于角色的用例添加數(shù)據(jù)分析、風(fēng)險評分和靈活的接口。
2.基于業(yè)務(wù)的風(fēng)險識別能力
風(fēng)險管理團(tuán)隊?wèi)?yīng)該準(zhǔn)確理解,開展網(wǎng)絡(luò)安全風(fēng)險管理是為了更好地實現(xiàn)業(yè)務(wù)發(fā)展目標(biāo),因此網(wǎng)絡(luò)安全風(fēng)險管理的基礎(chǔ)要求是要從業(yè)務(wù)發(fā)展的角度識別風(fēng)險,了解當(dāng)前網(wǎng)絡(luò)安全風(fēng)險的業(yè)務(wù)環(huán)境。從業(yè)務(wù)發(fā)展視角識別現(xiàn)有的安全風(fēng)險和潛在的安全威脅至關(guān)重要,這將決定后續(xù)的風(fēng)險管理工作中需要做多少,以及需要保護(hù)的重點(diǎn)是什么。
在ESG的報告中也指出,超過一半(56%)的受訪企業(yè)表示,很難從業(yè)務(wù)開展的視角了解哪些資產(chǎn)更加關(guān)鍵和重要。不過,目前主流的網(wǎng)絡(luò)安全廠商,尤其是漏洞管理和開發(fā)安全相關(guān)的廠商已開始在其方案中添加這項能力,幫助企業(yè)從業(yè)務(wù)視角對關(guān)鍵IT資產(chǎn)和應(yīng)用軟件進(jìn)行分類,從而整合業(yè)務(wù)環(huán)境功能。
3.風(fēng)險量化能力
只要不影響業(yè)務(wù)的穩(wěn)定發(fā)展,每個組織可以接受和承擔(dān)一定程度的網(wǎng)絡(luò)安全風(fēng)險。如果經(jīng)過量化評估的網(wǎng)絡(luò)安全風(fēng)險在可承受的范圍內(nèi),企業(yè)的管理者就可以在一定時期內(nèi)接受該風(fēng)險,而將注意力和防護(hù)資源投入到更需要重視的高優(yōu)先級風(fēng)險中。因此,網(wǎng)絡(luò)風(fēng)險量化是企業(yè)開展網(wǎng)絡(luò)安全風(fēng)險管理時不可或缺的能力。需要借助專業(yè)的安全工具訪問關(guān)鍵數(shù)據(jù),比如IT資產(chǎn)數(shù)據(jù)和相關(guān)漏洞。
風(fēng)險量化需要將業(yè)務(wù)環(huán)境和業(yè)務(wù)相關(guān)成本聯(lián)系起來,以便從經(jīng)濟(jì)損失方面計算和量化風(fēng)險,方便企業(yè)領(lǐng)導(dǎo)者就是否投資于保護(hù)環(huán)境安全的資源做出明智的決定。網(wǎng)絡(luò)風(fēng)險量化還有望改變傳統(tǒng)安全防護(hù)的游戲規(guī)則,因為企業(yè)可以有效地管理和擁有風(fēng)險量化數(shù)據(jù),以便更快地做出決策,無需定期進(jìn)行費(fèi)力又費(fèi)錢的安全風(fēng)險評估。
4.風(fēng)險優(yōu)先級評估能力
在網(wǎng)絡(luò)安全風(fēng)險管理工作中,組織需要就風(fēng)險緩解的優(yōu)先級和策略達(dá)成共識。無論是所有人觀點(diǎn)一致,還是某一部分人同意風(fēng)險和風(fēng)險文檔,這需要視組織的具體管理情形而定。大多數(shù)風(fēng)險管理框架都已將風(fēng)險優(yōu)先級設(shè)置作為一個正式要求,以避免在風(fēng)險管理工作中引發(fā)不必要的沖突,并讓所有利益相關(guān)者就優(yōu)先事項達(dá)成一致。
通過風(fēng)險優(yōu)先級評估,企業(yè)管理者和安全團(tuán)隊可以更加合理地分配風(fēng)險防護(hù)資源,聚焦于關(guān)鍵性風(fēng)險,以最具性價比的方式將風(fēng)險控制在企業(yè)可以接受的范圍內(nèi)。風(fēng)險優(yōu)先級評估可以借助風(fēng)險評分系統(tǒng)(EPSS)來實現(xiàn),主要考察因素包括風(fēng)險危害范圍界定、風(fēng)險嚴(yán)重程度、修復(fù)難易度和危害記錄報告等。
此外,安全團(tuán)隊在評估風(fēng)險優(yōu)先級時還應(yīng)該尋找整合其他重要方面的選項,包括支持業(yè)務(wù)環(huán)境和顯示風(fēng)險活躍度的威脅情報。這使安全團(tuán)隊能夠解決最關(guān)鍵的IT資產(chǎn)和應(yīng)用軟件方面風(fēng)險最高的安全隱患,從而發(fā)揮出最大的作用。
5.持續(xù)的風(fēng)險監(jiān)控能力
網(wǎng)絡(luò)安全風(fēng)險管理是一個整體性工作,也是一個持續(xù)的流程。實現(xiàn)持續(xù)地網(wǎng)絡(luò)安全風(fēng)險監(jiān)控對于發(fā)現(xiàn)新的威脅和安全漏洞至關(guān)重要。企業(yè)應(yīng)該積極利用自動化技術(shù),將其量化預(yù)警信息或風(fēng)險暴露狀況統(tǒng)一整合起來,提升企業(yè)預(yù)測潛在風(fēng)險的能力。實現(xiàn)控制環(huán)境與未知風(fēng)險之間的協(xié)同,是開展網(wǎng)絡(luò)安全風(fēng)險管理的核心關(guān)注點(diǎn)之一。
在過去,安全團(tuán)隊會定期或臨時(可能每月或每季度)執(zhí)行階段性的滲透測試或漏洞掃描,使用多種類型的工具來執(zhí)行掃描、生成結(jié)果、修復(fù)已發(fā)現(xiàn)的問題,并持續(xù)重復(fù)這個過程。隨著安全供應(yīng)商將持續(xù)監(jiān)控概念整合到產(chǎn)品中,我們看到這方面迎來了發(fā)展。工具能夠持續(xù)、自動化地運(yùn)行之所以很重要,是由于它從根本上消除了傳統(tǒng)掃描之間的時間間隔,也減少了手動掃描所需的工作量。
參考鏈接:https://www.techtarget.com/searchsecurity/opinion/Key-capabilities-for-effective-cyber-risk-management
