網(wǎng)絡(luò)安全風(fēng)險管理的10大關(guān)鍵要素
網(wǎng)絡(luò)安全風(fēng)險管理是指識別、評估企業(yè)網(wǎng)絡(luò)信息系統(tǒng)中的缺陷和風(fēng)險隱患,并采取相應(yīng)的安全控制以防止網(wǎng)絡(luò)威脅,這是一個持續(xù)的過程,會隨著威脅的發(fā)展而不斷優(yōu)化調(diào)整。網(wǎng)絡(luò)安全風(fēng)險管理和網(wǎng)絡(luò)安全防護是兩個密切相關(guān)但不可互換的概念,網(wǎng)絡(luò)安全防護側(cè)重于應(yīng)對攻擊和響應(yīng)正在發(fā)生的安全事件,而網(wǎng)絡(luò)安全風(fēng)險管理則強調(diào)從更全面的視角去評估企業(yè)的安全狀況和面臨的威脅態(tài)勢,要從對組織運營、商譽、財務(wù)和合規(guī)等多個方面整體應(yīng)對各種可能發(fā)生的網(wǎng)絡(luò)威脅。
因此,當(dāng)企業(yè)組織開展網(wǎng)絡(luò)安全風(fēng)險管理時沒有捷徑可走,安全團隊需要全面考慮各個方面的風(fēng)險因素。本文梳理了可以有效落地網(wǎng)絡(luò)安全風(fēng)險管理流程的10個關(guān)鍵要素,將幫助企業(yè)更好開展相關(guān)工作。
1、從業(yè)務(wù)發(fā)展的角度識別風(fēng)險
企業(yè)的安全團隊?wèi)?yīng)該準(zhǔn)確理解,開展網(wǎng)絡(luò)安全風(fēng)險管理是為了更好地實現(xiàn)業(yè)務(wù)發(fā)展目標(biāo),因此網(wǎng)絡(luò)安全風(fēng)險管理的基礎(chǔ)要求是要從業(yè)務(wù)發(fā)展的角度識別風(fēng)險,了解當(dāng)前網(wǎng)絡(luò)安全風(fēng)險的業(yè)務(wù)環(huán)境。從業(yè)務(wù)發(fā)展視角識別現(xiàn)有的安全風(fēng)險和潛在的安全威脅至關(guān)重要,這將決定后續(xù)的風(fēng)險管理工作中需要做多少,以及需要保護的重點是什么。
2、網(wǎng)絡(luò)安全風(fēng)險評估
網(wǎng)絡(luò)安全風(fēng)險評估是指企業(yè)根據(jù)其關(guān)鍵業(yè)務(wù)發(fā)展目標(biāo),量化不同網(wǎng)絡(luò)風(fēng)險的潛在影響以及發(fā)生的可能性。通過風(fēng)險評估,企業(yè)管理者和安全團隊可以更加合理地分配防護資源,聚焦于關(guān)鍵性風(fēng)險,以最具性價比的方式將風(fēng)險控制在企業(yè)可以接受的范圍內(nèi)。網(wǎng)絡(luò)安全風(fēng)險評估可以借助FAIR等風(fēng)險量化模型來實現(xiàn),主要步驟包括風(fēng)險范圍界定、風(fēng)險識別、風(fēng)險分析、風(fēng)險評估和記錄報告等。
3、定義組織的風(fēng)險承受能力
除了網(wǎng)絡(luò)安全風(fēng)險評估,安全團隊還必須確定組織的網(wǎng)絡(luò)安全風(fēng)險承受能力。當(dāng)不影響業(yè)務(wù)發(fā)展的時候,企業(yè)組織可以接受和承擔(dān)一定程度的網(wǎng)絡(luò)安全風(fēng)險。如果經(jīng)過量化評估的網(wǎng)絡(luò)安全風(fēng)險在可承受的范圍內(nèi),企業(yè)的管理者就可以在一定時期內(nèi)接受該風(fēng)險,而將注意力和防護資源投入到更需要重視的高優(yōu)先級風(fēng)險中。需要強調(diào)的是,企業(yè)在定義網(wǎng)絡(luò)安全風(fēng)險承受能力的時候,應(yīng)該與組織的整體業(yè)務(wù)發(fā)展目標(biāo)保持一致。
4、制定風(fēng)險化解策略
有許多途徑、方法和工具可用于幫助企業(yè)管理和緩解網(wǎng)絡(luò)安全風(fēng)險,但沒有一種策略能夠適合所有企業(yè),也沒有一種安全工具可以解決所有的問題。企業(yè)應(yīng)該根據(jù)已識別風(fēng)險的關(guān)鍵特征,制定適合自己的風(fēng)險化解策略,這些策略可能包括實施技術(shù)控制措施、流程改進和安全培訓(xùn)計劃等。同時,安全團隊?wèi)?yīng)該利用先進的安全技術(shù)工具,向企業(yè)管理層表明降低風(fēng)險的必要性和價值,并確定風(fēng)險緩解措施的優(yōu)先級。
5、制定事件響應(yīng)計劃
沒有絕對的安全,因此企業(yè)不能在網(wǎng)絡(luò)安全事件發(fā)生時才被動響應(yīng),而是要提前制定安全事件響應(yīng)的策略和計劃,盡量減少攻擊事件造成的影響。在此計劃中,組織應(yīng)該明確界定事件響應(yīng)團隊成員的角色和職責(zé),并定期進行演練和演習(xí),測試計劃的有效性,并對過程中所發(fā)現(xiàn)的不足進行完善。
6. 模擬測試和演練
實戰(zhàn)化背景下的模擬測試可以更快速了解企業(yè)在網(wǎng)絡(luò)防御方面的不足,同時梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑,以便更好地修復(fù)或應(yīng)對風(fēng)險。此外,定期開展測試演練,作用不僅僅在于發(fā)現(xiàn)安全問題,對系統(tǒng)開發(fā)人員深入了解計算機系統(tǒng)也會大有幫助。通過了解為企業(yè)效力的“壞人”的想法,有助于防止一些災(zāi)難性的網(wǎng)絡(luò)安全事件發(fā)生,降低企業(yè)業(yè)務(wù)發(fā)展風(fēng)險。
7. 持續(xù)風(fēng)險監(jiān)控
網(wǎng)絡(luò)安全風(fēng)險管理是一個整體性工作,也是一個持續(xù)的流程。實現(xiàn)持續(xù)地網(wǎng)絡(luò)安全風(fēng)險監(jiān)控對于發(fā)現(xiàn)新的威脅和漏洞至關(guān)重要。企業(yè)應(yīng)該積極利用自動化技術(shù),將其量化預(yù)警信息或風(fēng)險暴露狀況統(tǒng)一整合起來,提升企業(yè)預(yù)測潛在風(fēng)險的能力。實現(xiàn)控制環(huán)境與未知風(fēng)險之間的協(xié)同,是開展網(wǎng)絡(luò)安全風(fēng)險管理的核心關(guān)注點之一。
8. 員工安全意識培養(yǎng)
盡管存在種種技術(shù)漏洞,但人依然是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)。企業(yè)可以限制用戶對某些系統(tǒng)和數(shù)據(jù)的訪問,卻難以阻止員工可能會犯的每個人為性錯誤。因此,持續(xù)的員工網(wǎng)絡(luò)安全意識培訓(xùn)是減小數(shù)字攻擊面最重要的安全控制之一?,F(xiàn)代企業(yè)中的每一位員工都應(yīng)該定期接受網(wǎng)絡(luò)安全意識培訓(xùn),以識別網(wǎng)絡(luò)釣魚等攻擊企圖,了解哪些數(shù)據(jù)很敏感,了解潛在的風(fēng)險和漏洞,并了解如何遵循確保敏感數(shù)據(jù)安全的最佳實踐。盡管人為性錯誤難以避免,但能通過適當(dāng)?shù)慕逃团嘤?xùn),可以大大降低導(dǎo)致數(shù)據(jù)泄露危害發(fā)生的可能性。
9. 供應(yīng)商和第三方風(fēng)險管理
隨著軟件供應(yīng)鏈攻擊的不斷加劇,企業(yè)網(wǎng)絡(luò)安全風(fēng)險管理不僅需要包括組織內(nèi)部的管理,還需要定期評估第三方供應(yīng)商和合作伙伴的安全風(fēng)險。因為,今天的企業(yè)組織大量依賴于第三方生態(tài)來共同構(gòu)建產(chǎn)品,并完成對用戶的服務(wù)交付,創(chuàng)建一個有效的TPRM計劃對于組織評估潛在的安全風(fēng)險,管理不斷增長的數(shù)字攻擊面至關(guān)重要。
10. 面對管理層的匯報與溝通
網(wǎng)絡(luò)安全風(fēng)險管理已經(jīng)成為企業(yè)數(shù)字化發(fā)展中的核心職能,董事會和管理層對這項工作的關(guān)注和審查力度也大大增加。高層領(lǐng)導(dǎo)想知道威脅發(fā)生的情況、投入資金的方向以及如何繼續(xù)改進和發(fā)展。因此,安全領(lǐng)導(dǎo)者需要能夠清楚地闡述與業(yè)務(wù)目標(biāo)緊密相關(guān)的網(wǎng)絡(luò)安全風(fēng)險管理計劃,避免使用技術(shù)術(shù)語。此外,要讓所有利益相關(guān)者都可以及時了解組織在網(wǎng)絡(luò)安全方面的計劃和變動,安全領(lǐng)導(dǎo)者應(yīng)該基于最新的風(fēng)險信息編制完整的風(fēng)險管理態(tài)勢報告。
原文來源:安全牛