網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和網(wǎng)絡(luò)安全防護(hù)是兩個(gè)密切相關(guān)但不可互換的概念，網(wǎng)絡(luò)安全防護(hù)側(cè)重于應(yīng)對(duì)攻擊和響應(yīng)正在發(fā)生的安全事件，而網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理則強(qiáng)調(diào)從更全面的視角去評(píng)估企業(yè)的安全狀況和面臨的威脅態(tài)勢(shì)，包括了從對(duì)組織運(yùn)營(yíng)、商譽(yù)、財(cái)務(wù)和合規(guī)等多個(gè)方面整體應(yīng)對(duì)各種可能發(fā)生的網(wǎng)絡(luò)威脅。

　　由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)具有多面性，因此組織在開展相關(guān)風(fēng)險(xiǎn)管理時(shí)，也需要一系列廣泛的能力支撐，才能有效管控各種特定的風(fēng)險(xiǎn)因素。

　　1.資產(chǎn)管理能力

　　網(wǎng)絡(luò)風(fēng)險(xiǎn)管理工作始于全面的網(wǎng)絡(luò)資產(chǎn)洞察與管理。如果連網(wǎng)絡(luò)資產(chǎn)都不能全面識(shí)別，其應(yīng)用時(shí)的風(fēng)險(xiǎn)保護(hù)也就無(wú)從談起。企業(yè)在管理網(wǎng)絡(luò)資產(chǎn)時(shí)的常見挑戰(zhàn)包括全面洞察混合IT環(huán)境、重復(fù)的IT資產(chǎn)數(shù)據(jù)梳理以及過時(shí)的資產(chǎn)數(shù)據(jù)庫(kù)。

　　據(jù)企業(yè)戰(zhàn)略集團(tuán)(ESG)在2023年的研究報(bào)告《安全衛(wèi)生和態(tài)勢(shì)管理仍然很分散而復(fù)雜》顯示，幾乎所有(95%)的受訪者都會(huì)在管理企業(yè)的IT資產(chǎn)庫(kù)存方面面臨挑戰(zhàn)，近三分之一(32%)的受訪者表示使用了十種以上的數(shù)據(jù)庫(kù)、系統(tǒng)和工具來管理網(wǎng)絡(luò)資產(chǎn)。這是需要解決的常見問題。

　　為了全面洞察組織的網(wǎng)絡(luò)資產(chǎn)以加強(qiáng)保護(hù)，企業(yè)應(yīng)該采用支持統(tǒng)一視圖的產(chǎn)品，比如通過借助API連接到配置管理數(shù)據(jù)庫(kù)收集數(shù)據(jù)的安全資產(chǎn)管理系統(tǒng)、攻擊面管理工具和漏洞管理平臺(tái)等。最好的選擇就是為基于角色的用例添加數(shù)據(jù)分析、風(fēng)險(xiǎn)評(píng)分和靈活的接口。

　　2.基于業(yè)務(wù)的風(fēng)險(xiǎn)識(shí)別能力

　　風(fēng)險(xiǎn)管理團(tuán)隊(duì)?wèi)?yīng)該準(zhǔn)確理解，開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是為了更好地實(shí)現(xiàn)業(yè)務(wù)發(fā)展目標(biāo)，因此網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的基礎(chǔ)要求是要從業(yè)務(wù)發(fā)展的角度識(shí)別風(fēng)險(xiǎn)，了解當(dāng)前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的業(yè)務(wù)環(huán)境。從業(yè)務(wù)發(fā)展視角識(shí)別現(xiàn)有的安全風(fēng)險(xiǎn)和潛在的安全威脅至關(guān)重要，這將決定后續(xù)的風(fēng)險(xiǎn)管理工作中需要做多少，以及需要保護(hù)的重點(diǎn)是什么。

　　在ESG的報(bào)告中也指出，超過一半(56%)的受訪企業(yè)表示，很難從業(yè)務(wù)開展的視角了解哪些資產(chǎn)更加關(guān)鍵和重要。不過，目前主流的網(wǎng)絡(luò)安全廠商，尤其是漏洞管理和開發(fā)安全相關(guān)的廠商已開始在其方案中添加這項(xiàng)能力，幫助企業(yè)從業(yè)務(wù)視角對(duì)關(guān)鍵IT資產(chǎn)和應(yīng)用軟件進(jìn)行分類，從而整合業(yè)務(wù)環(huán)境功能。

　　3.風(fēng)險(xiǎn)量化能力

　　只要不影響業(yè)務(wù)的穩(wěn)定發(fā)展，每個(gè)組織可以接受和承擔(dān)一定程度的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。如果經(jīng)過量化評(píng)估的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在可承受的范圍內(nèi)，企業(yè)的管理者就可以在一定時(shí)期內(nèi)接受該風(fēng)險(xiǎn)，而將注意力和防護(hù)資源投入到更需要重視的高優(yōu)先級(jí)風(fēng)險(xiǎn)中。因此，網(wǎng)絡(luò)風(fēng)險(xiǎn)量化是企業(yè)開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理時(shí)不可或缺的能力。需要借助專業(yè)的安全工具訪問關(guān)鍵數(shù)據(jù)，比如IT資產(chǎn)數(shù)據(jù)和相關(guān)漏洞。

　　風(fēng)險(xiǎn)量化需要將業(yè)務(wù)環(huán)境和業(yè)務(wù)相關(guān)成本聯(lián)系起來，以便從經(jīng)濟(jì)損失方面計(jì)算和量化風(fēng)險(xiǎn)，方便企業(yè)領(lǐng)導(dǎo)者就是否投資于保護(hù)環(huán)境安全的資源做出明智的決定。網(wǎng)絡(luò)風(fēng)險(xiǎn)量化還有望改變傳統(tǒng)安全防護(hù)的游戲規(guī)則，因?yàn)槠髽I(yè)可以有效地管理和擁有風(fēng)險(xiǎn)量化數(shù)據(jù)，以便更快地做出決策，無(wú)需定期進(jìn)行費(fèi)力又費(fèi)錢的安全風(fēng)險(xiǎn)評(píng)估。

　　4.風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)估能力

　　在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工作中，組織需要就風(fēng)險(xiǎn)緩解的優(yōu)先級(jí)和策略達(dá)成共識(shí)。無(wú)論是所有人觀點(diǎn)一致，還是某一部分人同意風(fēng)險(xiǎn)和風(fēng)險(xiǎn)文檔，這需要視組織的具體管理情形而定。大多數(shù)風(fēng)險(xiǎn)管理框架都已將風(fēng)險(xiǎn)優(yōu)先級(jí)設(shè)置作為一個(gè)正式要求，以避免在風(fēng)險(xiǎn)管理工作中引發(fā)不必要的沖突，并讓所有利益相關(guān)者就優(yōu)先事項(xiàng)達(dá)成一致。

　　通過風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)估，企業(yè)管理者和安全團(tuán)隊(duì)可以更加合理地分配風(fēng)險(xiǎn)防護(hù)資源，聚焦于關(guān)鍵性風(fēng)險(xiǎn)，以最具性價(jià)比的方式將風(fēng)險(xiǎn)控制在企業(yè)可以接受的范圍內(nèi)。風(fēng)險(xiǎn)優(yōu)先級(jí)評(píng)估可以借助風(fēng)險(xiǎn)評(píng)分系統(tǒng)(EPSS)來實(shí)現(xiàn)，主要考察因素包括風(fēng)險(xiǎn)危害范圍界定、風(fēng)險(xiǎn)嚴(yán)重程度、修復(fù)難易度和危害記錄報(bào)告等。

　　此外，安全團(tuán)隊(duì)在評(píng)估風(fēng)險(xiǎn)優(yōu)先級(jí)時(shí)還應(yīng)該尋找整合其他重要方面的選項(xiàng)，包括支持業(yè)務(wù)環(huán)境和顯示風(fēng)險(xiǎn)活躍度的威脅情報(bào)。這使安全團(tuán)隊(duì)能夠解決最關(guān)鍵的IT資產(chǎn)和應(yīng)用軟件方面風(fēng)險(xiǎn)最高的安全隱患，從而發(fā)揮出最大的作用。

　　5.持續(xù)的風(fēng)險(xiǎn)監(jiān)控能力

　　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是一個(gè)整體性工作，也是一個(gè)持續(xù)的流程。實(shí)現(xiàn)持續(xù)地網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控對(duì)于發(fā)現(xiàn)新的威脅和安全漏洞至關(guān)重要。企業(yè)應(yīng)該積極利用自動(dòng)化技術(shù)，將其量化預(yù)警信息或風(fēng)險(xiǎn)暴露狀況統(tǒng)一整合起來，提升企業(yè)預(yù)測(cè)潛在風(fēng)險(xiǎn)的能力。實(shí)現(xiàn)控制環(huán)境與未知風(fēng)險(xiǎn)之間的協(xié)同，是開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的核心關(guān)注點(diǎn)之一。

　　在過去，安全團(tuán)隊(duì)會(huì)定期或臨時(shí)(可能每月或每季度)執(zhí)行階段性的滲透測(cè)試或漏洞掃描，使用多種類型的工具來執(zhí)行掃描、生成結(jié)果、修復(fù)已發(fā)現(xiàn)的問題，并持續(xù)重復(fù)這個(gè)過程。隨著安全供應(yīng)商將持續(xù)監(jiān)控概念整合到產(chǎn)品中，我們看到這方面迎來了發(fā)展。工具能夠持續(xù)、自動(dòng)化地運(yùn)行之所以很重要，是由于它從根本上消除了傳統(tǒng)掃描之間的時(shí)間間隔，也減少了手動(dòng)掃描所需的工作量。

　　參考鏈接：https://www.techtarget.com/searchsecurity/opinion/Key-capabilities-for-effective-cyber-risk-management