近日，美國電視頻道和品牌Nickelodeon被曝成為數(shù)據(jù)泄露的受害者。據(jù)消息人士透露，此次泄密事件發(fā)生在2023年初，但涉及的大部分數(shù)據(jù)“只與生產(chǎn)文件有關(guān)，與長格式內(nèi)容或員工或用戶數(shù)據(jù)無關(guān)，而且似乎有幾十年的歷史。”這一模棱兩可的聲明的含義是：由于這些數(shù)據(jù)是舊的，與個人的個人身份信息(PII)或任何尚未公開的專有信息無關(guān)，這沒有被列入嚴重事件范圍。

讓我們假設(shè)Nickelodeon沒有因為這一事件受到任何實質(zhì)性的傷害——太棒了!然而，很可能有一些我們不知道的事實。任何時候，只要專有數(shù)據(jù)最終到達了不應(yīng)該出現(xiàn)的地方，安全專業(yè)人士的腦海中就應(yīng)該響起警鐘。如果“幾十年前”的文件確實包含PII，結(jié)果會是什么?有些數(shù)據(jù)可能無關(guān)緊要，但有些可能是至關(guān)重要的。如果這些文件包含其他受保護或私有的數(shù)據(jù)，該怎么辦?如果他們損害了品牌的完整性怎么辦?所有企業(yè)都需要考慮“假設(shè)”，并將最壞的和基本的情況應(yīng)用到他們當前的安全實踐中。

Nickelodeon一案提出了一個問題，即是否有必要保留“幾十年前”的數(shù)據(jù)。雖然保留歷史數(shù)據(jù)在某些情況下可以使企業(yè)受益，但保留的每一條數(shù)據(jù)都會增加公司的攻擊面并增加風險。為什么Nickelodeon要將舊文件保存在易于訪問的位置?如果文件位于單獨的位置，安全團隊很可能沒有對訪問文件應(yīng)用足夠的控制。鑒于確保技術(shù)及其所有固有復(fù)雜性的成本已經(jīng)高得驚人，CISO需要優(yōu)先為所有安全項目和流程分配預(yù)算和勞動力，包括所有過去、現(xiàn)在和未來的數(shù)據(jù)保護項目和流程。

在經(jīng)濟低迷的情況下，平衡系統(tǒng)安全和預(yù)算需要技巧和悟性。然而，即使在繁榮時期，在這個問題上投入更多的資金也不總是有幫助的。沒有證據(jù)表明，安全支出的增加會按比例改善企業(yè)的安全態(tài)勢。事實上，一些研究表明，過多的安全工具會導(dǎo)致更多的混亂和復(fù)雜性。因此，首席財務(wù)官應(yīng)側(cè)重于業(yè)務(wù)風險容忍度和降低。

網(wǎng)絡(luò)風險管理的方法

因為沒有兩個企業(yè)是完全相同的，所以每個CISO都必須找到一種與企業(yè)的目標、文化和風險承受能力相一致的網(wǎng)絡(luò)風險管理方法。預(yù)算在這里也發(fā)揮著重要作用，但如果安全目標與業(yè)務(wù)目標保持一致，獲得更多預(yù)算將是一項更容易的任務(wù)。在評估了這些考慮因素之后，CISO可能會發(fā)現(xiàn)他們的企業(yè)采用一種或多種核心風險管理方法。

基于風險容忍度的方法

每家公司--甚至公司內(nèi)部的每個部門——都對他們愿意承擔的風險的數(shù)量和類型有一定的容忍度。特定于安全的容忍度必須基于期望的業(yè)務(wù)結(jié)果;網(wǎng)絡(luò)安全風險不能僅基于網(wǎng)絡(luò)安全努力來確定或計算，而是這些努力如何支持更大的企業(yè)。

要使網(wǎng)絡(luò)安全與業(yè)務(wù)風險保持一致，安全團隊必須通過考慮以下問題來解決業(yè)務(wù)彈性問題：

• 如果發(fā)生網(wǎng)絡(luò)安全事件，業(yè)務(wù)會受到怎樣的影響?
• 網(wǎng)絡(luò)事件或數(shù)據(jù)泄露對生產(chǎn)效率、運營和財務(wù)有何影響?
• 企業(yè)內(nèi)部處理活動的能力有多強?
• 需要哪些外部資源來支持內(nèi)部能力?

有了這些問題的答案和支持它們的指標，就可以適當?shù)卦O(shè)置網(wǎng)絡(luò)風險級別。

基于成熟度的方法

如今，許多公司根據(jù)他們認為自己的網(wǎng)絡(luò)安全團隊和控制措施的成熟程度來評估他們的網(wǎng)絡(luò)風險承受能力。例如，擁有支持全部經(jīng)驗員工的內(nèi)部安全運營中心(SOC)的公司可能比僅僅啟動和運行其安全團隊的公司更有能力處理持續(xù)監(jiān)控和漏洞分類。成熟的安全團隊擅長對關(guān)鍵漏洞進行優(yōu)先排序和補救，并在迫在眉睫的威脅上縮小差距，這通常會使他們具有更高的安全風險容忍度。

也就是說，許多SOC團隊被數(shù)據(jù)、警報和技術(shù)維護壓得喘不過氣來，無法專注于降低風險。如果一家公司決定采用基于成熟度的方法，它必須做的第一件事是誠實地評估自己的安全成熟度、功能和有效性級別。一個真正成熟的網(wǎng)絡(luò)安全企業(yè)可以更好地管理風險，但無論成熟程度如何，自我意識對安全團隊來說都是至關(guān)重要的。

基于預(yù)算的方法

如今，預(yù)算限制在企業(yè)的各個方面都很普遍，運行一個人員齊全、裝備齊全的網(wǎng)絡(luò)安全計劃在成本方面并不劃算。然而，擁有大量員工和技術(shù)的企業(yè)在安全性或風險方面并不一定表現(xiàn)得更好。這一切都是關(guān)于精通預(yù)算，這將是對現(xiàn)有系統(tǒng)的真正稱贊。

投資于將企業(yè)推向零信任架構(gòu)的工具，首先關(guān)注安全基礎(chǔ)和良好衛(wèi)生。通過奠定正確的基礎(chǔ)，并擁有稱職的員工來管理它們，網(wǎng)絡(luò)安全團隊將比在沒有掌握CIS頂級控制的情況下實施最新和最偉大的工具：企業(yè)和軟件資產(chǎn)的庫存和控制、基本數(shù)據(jù)保護、安全配置管理、強化訪問管理、日志管理等更好。

基于威脅的方法

基于威脅的風險管理方法的一個重要方面是理解漏洞和威脅不是一回事。公開的漏洞可能導(dǎo)致威脅(因此應(yīng)該成為每個企業(yè)安全流程和計劃的標準部分)。然而，“威脅”指的是漏洞有可能被利用的人或事件。威脅還依賴于系統(tǒng)或資源的上下文和可用性。

例如，Log4Shell漏洞利用了Log4j漏洞。該漏洞對運行該實用程序的未打補丁版本的企業(yè)造成威脅。沒有運行未打補丁的版本的企業(yè)——沒有威脅。

因此，各企業(yè)必須具體了解：

• 其IT產(chǎn)業(yè)中的所有資產(chǎn)和實體。
• 這些資產(chǎn)的安全衛(wèi)生狀況(時間點和歷史)。
• 資產(chǎn)的背景(非關(guān)鍵、業(yè)務(wù)關(guān)鍵;暴露在互聯(lián)網(wǎng)上或有空隙;等等)。
• 為確保這些資產(chǎn)的安全而實施的和操作的控制。

有了這些信息和環(huán)境，安全團隊就可以開始構(gòu)建適合企業(yè)及其風險承受能力的威脅模型。反過來，使用的威脅模型將允許團隊對威脅進行優(yōu)先排序和管理，并更有效地降低風險。

基于人員、流程和技術(shù)的方法

人、流程和技術(shù)(PPT)通常被認為是技術(shù)的“三大支柱”。一些安全專家認為PPT是一個框架。無論從哪個角度來看，PPT都是最全面的風險管理方法。

PPT方法的目標是允許安全團隊全面管理風險，同時納入企業(yè)的成熟度、預(yù)算、威脅概況、人力資源、技能集和整個企業(yè)的技術(shù)堆棧，以及其運營和程序、風險偏好等。一個平衡良好的PPT計劃是一個多層次的計劃，它均勻地依賴于這三個支柱;其中一個領(lǐng)域的任何弱點都會傾斜天平，并使安全團隊更難取得成功-并管理風險。

結(jié)束語

每個企業(yè)都應(yīng)該仔細評估其個人能力、業(yè)務(wù)目標和可用資源，以確定最適合它們的風險管理戰(zhàn)略。無論選擇哪條道路，安全團隊都必須與業(yè)務(wù)保持一致，并讓企業(yè)利益相關(guān)者參與進來，以確保持續(xù)的支持。