本文来自微信公众号“安全牛”。
随着现代企业数字化转型的深入,各种网络安全威胁的数量和复杂度也在快速提升。这些威胁带来了多方面的网络安全风险,包括网络安全、法律合规、隐私保护、业务连续性和财务影响等。因此,企业网络安全建设从传统的安全优先转向风险优先的新模式势在必行。
风险优先的价值
为了充分理解风险优先的价值和优点,我们有必要首先分析传统安全优先方法的局限性。安全确实很重要,但它只是组织整体风险生态中的一个方面。如果企业只关注网络安全问题,可能会掩盖很多同样重要的风险考量因素。
虽然部署防火墙、IPS以及密码等传统战术性安全措施对保障企业的数字业务开展非常重要,但它们并不能消除所有风险。而且研究数据显示,那些仅面向已知威胁的被动安全方法会使组织更容易受到新兴风险的威胁。此外,一味固守以安全为中心的建设理念往往会阻碍组织的灵活性和变通性,并忽视了很多非技术性的网络风险,比如一些违规的行为和人为性的错误。
相比之下,风险优先的安全策略是指从企业整体业务风险管理的角度,运用科学的手段,系统分析网络与信息系统所面临的威胁及其存在的脆弱性。通过开展风险评估,企业组织可以对重要信息系统所面临的信息安全风险进行主动式发现和分析,并对企业网络安全建设中的薄弱环节进行优先处理和加固。这样可以更有效地提升企业网络安全防护水平,增强数字化发展的弹性。
安全事件的发生是有概率的,企业不能只根据安全威胁的发现时间和可能后果,便决定网络安全的投入和安全措施的强度。对于一些被实际利用的概率极低的安全风险,即使其具有比较严重的爆发后果,也不需要不计代价地进行修复处置。企业在开展风险优先的安全防护工作中,必须坚持综合考虑安全事件的后果影响及其可利用性的评价原则,从不同的视角洞察风险,并将有限的资源优先用于保护关键性资产和高危漏洞,避免浪费开支。
风险优先的关键要素
构建风险优先的网络安全防护模式会涉及资产、威胁、脆弱性等许多基础性要素,每个要素都有各自的要求和属性。为了保障建设工作实现预定的目标,企业应该做好以下方面的准备:
01 确定风险评估的范围
一般情况下,风险防护的范围需要覆盖整个组织,但这样也会让风险评估工作过于繁重。因此,可以先从某些业务部门、场所或公司的特定领域开始实施。在进行风险评估之前,为了更好地指导组织有条不紊地评估数字安全风险,确保缓解控制措施适当且有效,安全人员应当充分依据ISO/IEC 27001标准和NIST SP 800-37等主流安全框架的要求。
02 识别信息资产
构建风险优先的网络安全防护模式,需要明确知道应该保护的对象是谁,因此,评估团队应该识别并清点风险评估范围内的所有包括软件和硬件在内的信息资产。对业务至关重要的资产不仅是识别和清点的重点,也同样是攻击者的主要目标,所以需要在资产识别的基础上,尽可能做好系统威胁暴露面的管理。
03 了解威胁利用方法
威胁利用方法是指攻击者可能使用的攻击策略、技术和方法。为了帮助识别各项信息资产可能存在的威胁隐患,企业安全团队可以使用MITRE ATT&CK之类的威胁知识库,直观地呈现典型攻击的各种阶段和目标,这样有助于确定他们需要的保护类型。
04 分析潜在风险
分析潜在风险是为了评估风险场景实际发生的可能性,以及一旦发生后对组织造成的影响。其中,风险实际发生的可能性取决于威胁和漏洞的可发现性、可利用性和可再现性,而影响是指威胁利用漏洞的后果对组织造成的危害程度,应在每个场景中评估对机密性、完整性和可用性造成的影响。由于潜在风险分析在本质上是非常主观的,因此对分析师的专业度和经验积累要求会非常高。
05 优先级评估
为了确保安全风险程度是可控的,企业可以通过使用风险矩阵(风险级别为“可能性乘以影响”)对每个风险场景进行评估和分类,任何高于企业风险容忍程度的威胁场景都应优先被处理。
06 持续发现风险
随着新威胁层出不穷,新的系统或活动不断引入,安全风险评估需要重复进行。因此,需要在每一次的评估工作中,做好可为未来的评估提供可重复的流程和模板。同时,对所有已识别的风险场景需要详细记录,并保持定期审查和更新。
实施风险优先的最佳实践
转向风险优先的网络安全防护模式可以帮助企业组织从容应对不断变化的网络安全环境。不过在实施这种方法时,企业需要统一整合不同部门的防护理念、想法、流程和技术。以下实践经验可以帮助企业更好地开展相关工作。
●利用定量与定性结合的评估方法:定性风险评估对于识别威胁趋势以及了解关键的风险因素必不可少。然而,定性评估方法具有一定的主观性,而定量评估方法能够识别关键性的风险因子和其中的高风险因素,帮助组织准确深入地了解整体风险态势和威胁程度。通过将定量分析与定性分析相结合,组织能够从宏观和微观层面全面了解风险,有利于进行科学的安全决策和资源分配。
●结合游戏化风险管理技术:为了鼓励所有团队成员积极参与,组织可以在风险管理流程中结合游戏化技术。比如说,通过鼓励合理竞争,各部门可以基于风险管理绩效进行竞争,采用绩效评分机制,并设置团队礼品卡或代金券等奖励措施,这样可以激励员工做好风险管理工作,从而提高组织的整体安全弹性。
●基于影响确定风险优先级:在主流的风险管理框架中,都会强调基于潜在的风险影响和可能性来确定风险管控的优先级,这一点非常重要。组织可以使用定量评分系统,将风险分为高、中、低这三类优先级。这使组织能够有效地分配资源,并集中精力处理对组织业务发展目标构成重大威胁的关键风险。
●提前制定风险缓解计划:一旦识别了风险并确定了优先级,组织应制定一份全面的风险缓解计划。该策略应该概述具体行动、控制措施、预防措施、定期评估和应急计划,以尽量减小可能造成的影响。如果遵循这种井然有序的方法,组织可以主动处理潜在的威胁,减少漏洞,面对威胁做到防患未然。
●持续的自动化监测:为了实现可连续的风险监测和评估,自动化技术在确保有效的风险管理中将起到关键性作用。通过部署应用自动化技术,组织就可以及时了解新兴风险,并相应地调整处置措施。企业应该将风险优先的安全防护策略与不断变化的业务环境保持一致,这样组织才能够采取主动而灵活的方法来规避风险。