隨著現代企業數字化轉型的深入，各種網絡安全威脅的數量和復雜度也在快速提升。這些威脅帶來了多方面的網絡安全風險，包括網絡安全、法律合規、隱私保護、業務連續性和財務影響等。因此，企業網絡安全建設從傳統的安全優先轉向風險優先的新模式勢在必行。

　　風險優先的價值

　　為了充分理解風險優先的價值和優點，我們有必要首先分析傳統安全優先方法的局限性。安全確實很重要，但它只是組織整體風險生態中的一個方面。如果企業只關注網絡安全問題，可能會掩蓋很多同樣重要的風險考量因素。

　　雖然部署防火墻、IPS以及密碼等傳統戰術性安全措施對保障企業的數字業務開展非常重要，但它們并不能消除所有風險。而且研究數據顯示，那些僅面向已知威脅的被動安全方法會使組織更容易受到新興風險的威脅。此外，一味固守以安全為中心的建設理念往往會阻礙組織的靈活性和變通性，并忽視了很多非技術性的網絡風險，比如一些違規的行為和人為性的錯誤。

　　相比之下，風險優先的安全策略是指從企業整體業務風險管理的角度，運用科學的手段，系統分析網絡與信息系統所面臨的威脅及其存在的脆弱性。通過開展風險評估，企業組織可以對重要信息系統所面臨的信息安全風險進行主動式發現和分析，并對企業網絡安全建設中的薄弱環節進行優先處理和加固。這樣可以更有效地提升企業網絡安全防護水平，增強數字化發展的彈性。

　　安全事件的發生是有概率的，企業不能只根據安全威脅的發現時間和可能后果，便決定網絡安全的投入和安全措施的強度。對于一些被實際利用的概率極低的安全風險，即使其具有比較嚴重的爆發后果，也不需要不計代價地進行修復處置。企業在開展風險優先的安全防護工作中，必須堅持綜合考慮安全事件的后果影響及其可利用性的評價原則，從不同的視角洞察風險，并將有限的資源優先用于保護關鍵性資產和高危漏洞，避免浪費開支。

　　風險優先的關鍵要素

　　構建風險優先的網絡安全防護模式會涉及資產、威脅、脆弱性等許多基礎性要素，每個要素都有各自的要求和屬性。為了保障建設工作實現預定的目標，企業應該做好以下方面的準備：

　　01確定風險評估的范圍

　　一般情況下，風險防護的范圍需要覆蓋整個組織，但這樣也會讓風險評估工作過于繁重。因此，可以先從某些業務部門、場所或公司的特定領域開始實施。在進行風險評估之前，為了更好地指導組織有條不紊地評估數字安全風險，確保緩解控制措施適當且有效，安全人員應當充分依據ISO/IEC27001標準和NISTSP800-37等主流安全框架的要求。

　　02識別信息資產

　　構建風險優先的網絡安全防護模式，需要明確知道應該保護的對象是誰，因此，評估團隊應該識別并清點風險評估范圍內的所有包括軟件和硬件在內的信息資產。對業務至關重要的資產不僅是識別和清點的重點，也同樣是攻擊者的主要目標，所以需要在資產識別的基礎上，盡可能做好系統威脅暴露面的管理。

　　03了解威脅利用方法

　　威脅利用方法是指攻擊者可能使用的攻擊策略、技術和方法。為了幫助識別各項信息資產可能存在的威脅隱患，企業安全團隊可以使用MITREATT&CK之類的威脅知識庫，直觀地呈現典型攻擊的各種階段和目標，這樣有助于確定他們需要的保護類型。

　　04分析潛在風險

　　分析潛在風險是為了評估風險場景實際發生的可能性，以及一旦發生后對組織造成的影響。其中，風險實際發生的可能性取決于威脅和漏洞的可發現性、可利用性和可再現性，而影響是指威脅利用漏洞的后果對組織造成的危害程度，應在每個場景中評估對機密性、完整性和可用性造成的影響。由于潛在風險分析在本質上是非常主觀的，因此對分析師的專業度和經驗積累要求會非常高。

　　05優先級評估

　　為了確保安全風險程度是可控的，企業可以通過使用風險矩陣（風險級別為“可能性乘以影響”）對每個風險場景進行評估和分類，任何高于企業風險容忍程度的威脅場景都應優先被處理。

　　06持續發現風險

　　隨著新威脅層出不窮，新的系統或活動不斷引入，安全風險評估需要重復進行。因此，需要在每一次的評估工作中，做好可為未來的評估提供可重復的流程和模板。同時，對所有已識別的風險場景需要詳細記錄，并保持定期審查和更新。

　　實施風險優先的最佳實踐

　　轉向風險優先的網絡安全防護模式可以幫助企業組織從容應對不斷變化的網絡安全環境。不過在實施這種方法時，企業需要統一整合不同部門的防護理念、想法、流程和技術。以下實踐經驗可以幫助企業更好地開展相關工作。

　　利用定量與定性結合的評估方法：定性風險評估對于識別威脅趨勢以及了解關鍵的風險因素必不可少。然而，定性評估方法具有一定的主觀性，而定量評估方法能夠識別關鍵性的風險因子和其中的高風險因素，幫助組織準確深入地了解整體風險態勢和威脅程度。通過將定量分析與定性分析相結合，組織能夠從宏觀和微觀層面全面了解風險，有利于進行科學的安全決策和資源分配。

　　結合游戲化風險管理技術：為了鼓勵所有團隊成員積極參與，組織可以在風險管理流程中結合游戲化技術。比如說，通過鼓勵合理競爭，各部門可以基于風險管理績效進行競爭，采用績效評分機制，并設置團隊禮品卡或代金券等獎勵措施，這樣可以激勵員工做好風險管理工作，從而提高組織的整體安全彈性。

　　基于影響確定風險優先級：在主流的風險管理框架中，都會強調基于潛在的風險影響和可能性來確定風險管控的優先級，這一點非常重要。組織可以使用定量評分系統，將風險分為高、中、低這三類優先級。這使組織能夠有效地分配資源，并集中精力處理對組織業務發展目標構成重大威脅的關鍵風險。

　　提前制定風險緩解計劃：一旦識別了風險并確定了優先級，組織應制定一份全面的風險緩解計劃。該策略應該概述具體行動、控制措施、預防措施、定期評估和應急計劃，以盡量減小可能造成的影響。如果遵循這種井然有序的方法，組織可以主動處理潛在的威脅，減少漏洞，面對威脅做到防患未然。

　　持續的自動化監測：為了實現可連續的風險監測和評估，自動化技術在確保有效的風險管理中將起到關鍵性作用。通過部署應用自動化技術，組織就可以及時了解新興風險，并相應地調整處置措施。企業應該將風險優先的安全防護策略與不斷變化的業務環境保持一致，這樣組織才能夠采取主動而靈活的方法來規避風險。

　　參考鏈接：https://www.darkreading.com/risk/5-best-practices-for-implementing-risk-first-cybersecurity