随着现代企业数字化转型的深入,各种网络安全威胁的数量和复杂度也在快速提升。这些威胁带来了多方面的网络安全风险,包括网络安全、法律合规、隐私保护、业务连续性和财务影响等。因此,企业网络安全建设从传统的安全优先转向风险优先的新模式势在必行。
风险优先的价值
为了充分理解风险优先的价值和优点,我们有必要首先分析传统安全优先方法的局限性。安全确实很重要,但它只是组织整体风险生态中的一个方面。如果企业只关注网络安全问题,可能会掩盖很多同样重要的风险考量因素。
虽然部署防火墙、IPS以及密码等传统战术性安全措施对保障企业的数字业务开展非常重要,但它们并不能消除所有风险。而且研究数据显示,那些仅面向已知威胁的被动安全方法会使组织更容易受到新兴风险的威胁。此外,一味固守以安全为中心的建设理念往往会阻碍组织的灵活性和变通性,并忽视了很多非技术性的网络风险,比如一些违规的行为和人为性的错误。
相比之下,风险优先的安全策略是指从企业整体业务风险管理的角度,运用科学的手段,系统分析网络与信息系统所面临的威胁及其存在的脆弱性。通过开展风险评估,企业组织可以对重要信息系统所面临的信息安全风险进行主动式发现和分析,并对企业网络安全建设中的薄弱环节进行优先处理和加固。这样可以更有效地提升企业网络安全防护水平,增强数字化发展的弹性。
安全事件的发生是有概率的,企业不能只根据安全威胁的发现时间和可能后果,便决定网络安全的投入和安全措施的强度。对于一些被实际利用的概率极低的安全风险,即使其具有比较严重的爆发后果,也不需要不计代价地进行修复处置。企业在开展风险优先的安全防护工作中,必须坚持综合考虑安全事件的后果影响及其可利用性的评价原则,从不同的视角洞察风险,并将有限的资源优先用于保护关键性资产和高危漏洞,避免浪费开支。
风险优先的关键要素
构建风险优先的网络安全防护模式会涉及资产、威胁、脆弱性等许多基础性要素,每个要素都有各自的要求和属性。为了保障建设工作实现预定的目标,企业应该做好以下方面的准备:
01
确定风险评估的范围
一般情况下,风险防护的范围需要覆盖整个组织,但这样也会让风险评估工作过于繁重。因此,可以先从某些业务部门、场所或公司的特定领域开始实施。在进行风险评估之前,为了更好地指导组织有条不紊地评估数字安全风险,确保缓解控制措施适当且有效,安全人员应当充分依据ISO/IEC 27001标准和NIST SP 800-37等主流安全框架的要求。
02
识别信息资产
构建风险优先的网络安全防护模式,需要明确知道应该保护的对象是谁,因此,评估团队应该识别并清点风险评估范围内的所有包括软件和硬件在内的信息资产。对业务至关重要的资产不仅是识别和清点的重点,也同样是攻击者的主要目标,所以需要在资产识别的基础上,尽可能做好系统威胁暴露面的管理。
03
了解威胁利用方法
威胁利用方法是指攻击者可能使用的攻击策略、技术和方法。为了帮助识别各项信息资产可能存在的威胁隐患,企业安全团队可以使用MITRE ATT&CK之类的威胁知识库,直观地呈现典型攻击的各种阶段和目标,这样有助于确定他们需要的保护类型。
04
分析潜在风险
分析潜在风险是为了评估风险场景实际发生的可能性,以及一旦发生后对组织造成的影响。其中,风险实际发生的可能性取决于威胁和漏洞的可发现性、可利用性和可再现性,而影响是指威胁利用漏洞的后果对组织造成的危害程度,应在每个场景中评估对机密性、完整性和可用性造成的影响。由于潜在风险分析在本质上是非常主观的,因此对分析师的专业度和经验积累要求会非常高。
05
优先级评估
为了确保安全风险程度是可控的,企业可以通过使用风险矩阵(风险级别为“可能性乘以影响”)对每个风险场景进行评估和分类,任何高于企业风险容忍程度的威胁场景都应优先被处理。
06
持续发现风险
随着新威胁层出不穷,新的系统或活动不断引入,安全风险评估需要重复进行。因此,需要在每一次的评估工作中,做好可为未来的评估提供可重复的流程和模板。同时,对所有已识别的风险场景需要详细记录,并保持定期审查和更新。
实施风险优先的最佳实践
转向风险优先的网络安全防护模式可以帮助企业组织从容应对不断变化的网络安全环境。不过在实施这种方法时,企业需要统一整合不同部门的防护理念、想法、流程和技术。以下实践经验可以帮助企业更好地开展相关工作。
参考链接:
https://www.darkreading.com/risk/5-best-practices-for-implementing-risk-first-cybersecurity
来源:安全牛