隨著現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型的深入,各種網(wǎng)絡(luò)安全威脅的數(shù)量和復(fù)雜度也在快速提升。這些威脅帶來了多方面的網(wǎng)絡(luò)安全風(fēng)險,包括網(wǎng)絡(luò)安全、法律合規(guī)、隱私保護、業(yè)務(wù)連續(xù)性和財務(wù)影響等。因此,企業(yè)網(wǎng)絡(luò)安全建設(shè)從傳統(tǒng)的安全優(yōu)先轉(zhuǎn)向風(fēng)險優(yōu)先的新模式勢在必行。
風(fēng)險優(yōu)先的價值
為了充分理解風(fēng)險優(yōu)先的價值和優(yōu)點,我們有必要首先分析傳統(tǒng)安全優(yōu)先方法的局限性。安全確實很重要,但它只是組織整體風(fēng)險生態(tài)中的一個方面。如果企業(yè)只關(guān)注網(wǎng)絡(luò)安全問題,可能會掩蓋很多同樣重要的風(fēng)險考量因素。
雖然部署防火墻、IPS以及密碼等傳統(tǒng)戰(zhàn)術(shù)性安全措施對保障企業(yè)的數(shù)字業(yè)務(wù)開展非常重要,但它們并不能消除所有風(fēng)險。而且研究數(shù)據(jù)顯示,那些僅面向已知威脅的被動安全方法會使組織更容易受到新興風(fēng)險的威脅。此外,一味固守以安全為中心的建設(shè)理念往往會阻礙組織的靈活性和變通性,并忽視了很多非技術(shù)性的網(wǎng)絡(luò)風(fēng)險,比如一些違規(guī)的行為和人為性的錯誤。
相比之下,風(fēng)險優(yōu)先的安全策略是指從企業(yè)整體業(yè)務(wù)風(fēng)險管理的角度,運用科學(xué)的手段,系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性。通過開展風(fēng)險評估,企業(yè)組織可以對重要信息系統(tǒng)所面臨的信息安全風(fēng)險進行主動式發(fā)現(xiàn)和分析,并對企業(yè)網(wǎng)絡(luò)安全建設(shè)中的薄弱環(huán)節(jié)進行優(yōu)先處理和加固。這樣可以更有效地提升企業(yè)網(wǎng)絡(luò)安全防護水平,增強數(shù)字化發(fā)展的彈性。
安全事件的發(fā)生是有概率的,企業(yè)不能只根據(jù)安全威脅的發(fā)現(xiàn)時間和可能后果,便決定網(wǎng)絡(luò)安全的投入和安全措施的強度。對于一些被實際利用的概率極低的安全風(fēng)險,即使其具有比較嚴重的爆發(fā)后果,也不需要不計代價地進行修復(fù)處置。企業(yè)在開展風(fēng)險優(yōu)先的安全防護工作中,必須堅持綜合考慮安全事件的后果影響及其可利用性的評價原則,從不同的視角洞察風(fēng)險,并將有限的資源優(yōu)先用于保護關(guān)鍵性資產(chǎn)和高危漏洞,避免浪費開支。
風(fēng)險優(yōu)先的關(guān)鍵要素
構(gòu)建風(fēng)險優(yōu)先的網(wǎng)絡(luò)安全防護模式會涉及資產(chǎn)、威脅、脆弱性等許多基礎(chǔ)性要素,每個要素都有各自的要求和屬性。為了保障建設(shè)工作實現(xiàn)預(yù)定的目標,企業(yè)應(yīng)該做好以下方面的準備:
01確定風(fēng)險評估的范圍
一般情況下,風(fēng)險防護的范圍需要覆蓋整個組織,但這樣也會讓風(fēng)險評估工作過于繁重。因此,可以先從某些業(yè)務(wù)部門、場所或公司的特定領(lǐng)域開始實施。在進行風(fēng)險評估之前,為了更好地指導(dǎo)組織有條不紊地評估數(shù)字安全風(fēng)險,確保緩解控制措施適當且有效,安全人員應(yīng)當充分依據(jù)ISO/IEC27001標準和NISTSP800-37等主流安全框架的要求。
02識別信息資產(chǎn)
構(gòu)建風(fēng)險優(yōu)先的網(wǎng)絡(luò)安全防護模式,需要明確知道應(yīng)該保護的對象是誰,因此,評估團隊應(yīng)該識別并清點風(fēng)險評估范圍內(nèi)的所有包括軟件和硬件在內(nèi)的信息資產(chǎn)。對業(yè)務(wù)至關(guān)重要的資產(chǎn)不僅是識別和清點的重點,也同樣是攻擊者的主要目標,所以需要在資產(chǎn)識別的基礎(chǔ)上,盡可能做好系統(tǒng)威脅暴露面的管理。
03了解威脅利用方法
威脅利用方法是指攻擊者可能使用的攻擊策略、技術(shù)和方法。為了幫助識別各項信息資產(chǎn)可能存在的威脅隱患,企業(yè)安全團隊可以使用MITREATT&CK之類的威脅知識庫,直觀地呈現(xiàn)典型攻擊的各種階段和目標,這樣有助于確定他們需要的保護類型。
04分析潛在風(fēng)險
分析潛在風(fēng)險是為了評估風(fēng)險場景實際發(fā)生的可能性,以及一旦發(fā)生后對組織造成的影響。其中,風(fēng)險實際發(fā)生的可能性取決于威脅和漏洞的可發(fā)現(xiàn)性、可利用性和可再現(xiàn)性,而影響是指威脅利用漏洞的后果對組織造成的危害程度,應(yīng)在每個場景中評估對機密性、完整性和可用性造成的影響。由于潛在風(fēng)險分析在本質(zhì)上是非常主觀的,因此對分析師的專業(yè)度和經(jīng)驗積累要求會非常高。
05優(yōu)先級評估
為了確保安全風(fēng)險程度是可控的,企業(yè)可以通過使用風(fēng)險矩陣(風(fēng)險級別為“可能性乘以影響”)對每個風(fēng)險場景進行評估和分類,任何高于企業(yè)風(fēng)險容忍程度的威脅場景都應(yīng)優(yōu)先被處理。
06持續(xù)發(fā)現(xiàn)風(fēng)險
隨著新威脅層出不窮,新的系統(tǒng)或活動不斷引入,安全風(fēng)險評估需要重復(fù)進行。因此,需要在每一次的評估工作中,做好可為未來的評估提供可重復(fù)的流程和模板。同時,對所有已識別的風(fēng)險場景需要詳細記錄,并保持定期審查和更新。
實施風(fēng)險優(yōu)先的最佳實踐
轉(zhuǎn)向風(fēng)險優(yōu)先的網(wǎng)絡(luò)安全防護模式可以幫助企業(yè)組織從容應(yīng)對不斷變化的網(wǎng)絡(luò)安全環(huán)境。不過在實施這種方法時,企業(yè)需要統(tǒng)一整合不同部門的防護理念、想法、流程和技術(shù)。以下實踐經(jīng)驗可以幫助企業(yè)更好地開展相關(guān)工作。
利用定量與定性結(jié)合的評估方法:定性風(fēng)險評估對于識別威脅趨勢以及了解關(guān)鍵的風(fēng)險因素必不可少。然而,定性評估方法具有一定的主觀性,而定量評估方法能夠識別關(guān)鍵性的風(fēng)險因子和其中的高風(fēng)險因素,幫助組織準確深入地了解整體風(fēng)險態(tài)勢和威脅程度。通過將定量分析與定性分析相結(jié)合,組織能夠從宏觀和微觀層面全面了解風(fēng)險,有利于進行科學(xué)的安全決策和資源分配。
結(jié)合游戲化風(fēng)險管理技術(shù):為了鼓勵所有團隊成員積極參與,組織可以在風(fēng)險管理流程中結(jié)合游戲化技術(shù)。比如說,通過鼓勵合理競爭,各部門可以基于風(fēng)險管理績效進行競爭,采用績效評分機制,并設(shè)置團隊禮品卡或代金券等獎勵措施,這樣可以激勵員工做好風(fēng)險管理工作,從而提高組織的整體安全彈性。
基于影響確定風(fēng)險優(yōu)先級:在主流的風(fēng)險管理框架中,都會強調(diào)基于潛在的風(fēng)險影響和可能性來確定風(fēng)險管控的優(yōu)先級,這一點非常重要。組織可以使用定量評分系統(tǒng),將風(fēng)險分為高、中、低這三類優(yōu)先級。這使組織能夠有效地分配資源,并集中精力處理對組織業(yè)務(wù)發(fā)展目標構(gòu)成重大威脅的關(guān)鍵風(fēng)險。
提前制定風(fēng)險緩解計劃:一旦識別了風(fēng)險并確定了優(yōu)先級,組織應(yīng)制定一份全面的風(fēng)險緩解計劃。該策略應(yīng)該概述具體行動、控制措施、預(yù)防措施、定期評估和應(yīng)急計劃,以盡量減小可能造成的影響。如果遵循這種井然有序的方法,組織可以主動處理潛在的威脅,減少漏洞,面對威脅做到防患未然。
持續(xù)的自動化監(jiān)測:為了實現(xiàn)可連續(xù)的風(fēng)險監(jiān)測和評估,自動化技術(shù)在確保有效的風(fēng)險管理中將起到關(guān)鍵性作用。通過部署應(yīng)用自動化技術(shù),組織就可以及時了解新興風(fēng)險,并相應(yīng)地調(diào)整處置措施。企業(yè)應(yīng)該將風(fēng)險優(yōu)先的安全防護策略與不斷變化的業(yè)務(wù)環(huán)境保持一致,這樣組織才能夠采取主動而靈活的方法來規(guī)避風(fēng)險。
參考鏈接:https://www.darkreading.com/risk/5-best-practices-for-implementing-risk-first-cybersecurity
