网络安全风险管理和网络安全防护是两个密切相关但不可互换的概念,网络安全防护侧重于应对攻击和响应正在发生的安全事件,而网络安全风险管理则强调从更全面的视角去评估企业的安全状况和面临的威胁态势,包括了从对组织运营、商誉、财务和合规等多个方面整体应对各种可能发生的网络威胁。
由于网络安全风险具有多面性,因此组织在开展相关风险管理时,也需要一系列广泛的能力支撑,才能有效管控各种特定的风险因素。
资产管理能力
网络风险管理工作始于全面的网络资产洞察与管理。如果连网络资产都不能全面识别,其应用时的风险保护也就无从谈起。企业在管理网络资产时的常见挑战包括全面洞察混合IT环境、重复的IT资产数据梳理以及过时的资产数据库。
据企业战略集团(ESG)在2023年的研究报告《安全卫生和态势管理仍然很分散而复杂》显示,几乎所有(95%)的受访者都会在管理企业的IT资产库存方面面临挑战,近三分之一(32%)的受访者表示使用了十种以上的数据库、系统和工具来管理网络资产。这是需要解决的常见问题。
为了全面洞察组织的网络资产以加强保护,企业应该采用支持统一视图的产品,比如通过借助API连接到配置管理数据库收集数据的安全资产管理系统、攻击面管理工具和漏洞管理平台等。最好的选择就是为基于角色的用例添加数据分析、风险评分和灵活的接口。
基于业务的风险识别能力
风险管理团队应该准确理解,开展网络安全风险管理是为了更好地实现业务发展目标,因此网络安全风险管理的基础要求是要从业务发展的角度识别风险,了解当前网络安全风险的业务环境。从业务发展视角识别现有的安全风险和潜在的安全威胁至关重要,这将决定后续的风险管理工作中需要做多少,以及需要保护的重点是什么。
在ESG的报告中也指出,超过一半(56%)的受访企业表示,很难从业务开展的视角了解哪些资产更加关键和重要。不过,目前主流的网络安全厂商,尤其是漏洞管理和开发安全相关的厂商已开始在其方案中添加这项能力,帮助企业从业务视角对关键IT资产和应用软件进行分类,从而整合业务环境功能。
风险量化能力
只要不影响业务的稳定发展,每个组织可以接受和承担一定程度的网络安全风险。如果经过量化评估的网络安全风险在可承受的范围内,企业的管理者就可以在一定时期内接受该风险,而将注意力和防护资源投入到更需要重视的高优先级风险中。因此,网络风险量化是企业开展网络安全风险管理时不可或缺的能力。需要借助专业的安全工具访问关键数据,比如IT资产数据和相关漏洞。
风险量化需要将业务环境和业务相关成本联系起来,以便从经济损失方面计算和量化风险,方便企业领导者就是否投资于保护环境安全的资源做出明智的决定。网络风险量化还有望改变传统安全防护的游戏规则,因为企业可以有效地管理和拥有风险量化数据,以便更快地做出决策,无需定期进行费力又费钱的安全风险评估。
风险优先级评估能力
通过风险优先级评估,企业管理者和安全团队可以更加合理地分配风险防护资源,聚焦于关键性风险,以最具性价比的方式将风险控制在企业可以接受的范围内。风险优先级评估可以借助风险评分系统(EPSS)来实现,主要考察因素包括风险危害范围界定、风险严重程度、修复难易度和危害记录报告等。
此外,安全团队在评估风险优先级时还应该寻找整合其他重要方面的选项,包括支持业务环境和显示风险活跃度的威胁情报。这使安全团队能够解决最关键的IT资产和应用软件方面风险最高的安全隐患,从而发挥出最大的作用。
持续的风险监控能力
网络安全风险管理是一个整体性工作,也是一个持续的流程。实现持续地网络安全风险监控对于发现新的威胁和安全漏洞至关重要。企业应该积极利用自动化技术,将其量化预警信息或风险暴露状况统一整合起来,提升企业预测潜在风险的能力。实现控制环境与未知风险之间的协同,是开展网络安全风险管理的核心关注点之一。
在过去,安全团队会定期或临时(可能每月或每季度)执行阶段性的渗透测试或漏洞扫描,使用多种类型的工具来执行扫描、生成结果、修复已发现的问题,并持续重复这个过程。随着安全供应商将持续监控概念整合到产品中,我们看到这方面迎来了发展。工具能够持续、自动化地运行之所以很重要,是由于它从根本上消除了传统扫描之间的时间间隔,也减少了手动扫描所需的工作量。
德迅云安全-风险评估
帮助企业系统分析资产所面临的威胁,及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度。并提出有针对性的抵御威胁的防护对策、整改措施。为防范和化解风险提供科学依据。
为什么要做风险评估?
更准确地认识风险
系统地评估资产风险事件发生的概率大小和概率分布,及发生后损失的严重程度。帮助区分主要风险和次要风险。
保证规划的合理性和可行性
正确反映各风险对信息安全的不同影响,使规划的结果更合理可靠,使在此基础上制定的计划具有现实的可行性。
合理选择高效的风险对策组合
风险对策会付出一定代价,需将不同风险对策的适用性与不同风险的后果结合考虑,使不同风险选择适宜的风险对策,形成高效的风险对策组合。
风险评估内容
第一步:评估准备
1.项目成员人、工具包、访谈表单、流程;
2.制定风险评估方案;
3.了解应用系统、主机、数据库、网络环境、安全设备、组织架构、管理制度等。
第二步:技术评估
1.基线评估:对主机、网络设备、数据库、中间件(账户安全、访问控制、网络安全等27项);
2.应用评估:安全功能、日常维护(身份认证、访问权限控制、传输安全等12项);
3.渗透测试:业务系统、APP程序、微信小程序(信息泄露、注入漏洞、逻辑错误等15项)。
第三步:管理评估
1.技术管理评估:物理环境、通信与操作管理、访问控制、系统开发与维护、业务连续性;
2.组织管理评估:安全策略、组织安全、资产分类与控制、人员安全、符合性。
第四步:评估报告
1.列出在风险评估工作中,发现的重要资产分布、脆弱性分布及综合威胁分布;
2.详细描述安全风险现状及评估分析结果;
3.提出风险控制方案,为之后的加固整改提出合理化建议。
