網絡安全風險管理和網絡安全防護是兩個密切相關但不可互換的概念,網絡安全防護側重于應對攻擊和響應正在發生的安全事件,而網絡安全風險管理則強調從更全面的視角去評估企業的安全狀況和面臨的威脅態勢,包括了從對組織運營、商譽、財務和合規等多個方面整體應對各種可能發生的網絡威脅。
由于網絡安全風險具有多面性,因此組織在開展相關風險管理時,也需要一系列廣泛的能力支撐,才能有效管控各種特定的風險因素。
1.資產管理能力
網絡風險管理工作始于全面的網絡資產洞察與管理。如果連網絡資產都不能全面識別,其應用時的風險保護也就無從談起。企業在管理網絡資產時的常見挑戰包括全面洞察混合IT環境、重復的IT資產數據梳理以及過時的資產數據庫。
據企業戰略集團(ESG)在2023年的研究報告《安全衛生和態勢管理仍然很分散而復雜》顯示,幾乎所有(95%)的受訪者都會在管理企業的IT資產庫存方面面臨挑戰,近三分之一(32%)的受訪者表示使用了十種以上的數據庫、系統和工具來管理網絡資產。這是需要解決的常見問題。
為了全面洞察組織的網絡資產以加強保護,企業應該采用支持統一視圖的產品,比如通過借助API連接到配置管理數據庫收集數據的安全資產管理系統、攻擊面管理工具和漏洞管理平臺等。最好的選擇就是為基于角色的用例添加數據分析、風險評分和靈活的接口。
2.基于業務的風險識別能力
風險管理團隊應該準確理解,開展網絡安全風險管理是為了更好地實現業務發展目標,因此網絡安全風險管理的基礎要求是要從業務發展的角度識別風險,了解當前網絡安全風險的業務環境。從業務發展視角識別現有的安全風險和潛在的安全威脅至關重要,這將決定后續的風險管理工作中需要做多少,以及需要保護的重點是什么。
在ESG的報告中也指出,超過一半(56%)的受訪企業表示,很難從業務開展的視角了解哪些資產更加關鍵和重要。不過,目前主流的網絡安全廠商,尤其是漏洞管理和開發安全相關的廠商已開始在其方案中添加這項能力,幫助企業從業務視角對關鍵IT資產和應用軟件進行分類,從而整合業務環境功能。
3.風險量化能力
只要不影響業務的穩定發展,每個組織可以接受和承擔一定程度的網絡安全風險。如果經過量化評估的網絡安全風險在可承受的范圍內,企業的管理者就可以在一定時期內接受該風險,而將注意力和防護資源投入到更需要重視的高優先級風險中。因此,網絡風險量化是企業開展網絡安全風險管理時不可或缺的能力。需要借助專業的安全工具訪問關鍵數據,比如IT資產數據和相關漏洞。
風險量化需要將業務環境和業務相關成本聯系起來,以便從經濟損失方面計算和量化風險,方便企業領導者就是否投資于保護環境安全的資源做出明智的決定。網絡風險量化還有望改變傳統安全防護的游戲規則,因為企業可以有效地管理和擁有風險量化數據,以便更快地做出決策,無需定期進行費力又費錢的安全風險評估。
4.風險優先級評估能力
在網絡安全風險管理工作中,組織需要就風險緩解的優先級和策略達成共識。無論是所有人觀點一致,還是某一部分人同意風險和風險文檔,這需要視組織的具體管理情形而定。大多數風險管理框架都已將風險優先級設置作為一個正式要求,以避免在風險管理工作中引發不必要的沖突,并讓所有利益相關者就優先事項達成一致。
通過風險優先級評估,企業管理者和安全團隊可以更加合理地分配風險防護資源,聚焦于關鍵性風險,以最具性價比的方式將風險控制在企業可以接受的范圍內。風險優先級評估可以借助風險評分系統(EPSS)來實現,主要考察因素包括風險危害范圍界定、風險嚴重程度、修復難易度和危害記錄報告等。
此外,安全團隊在評估風險優先級時還應該尋找整合其他重要方面的選項,包括支持業務環境和顯示風險活躍度的威脅情報。這使安全團隊能夠解決最關鍵的IT資產和應用軟件方面風險最高的安全隱患,從而發揮出最大的作用。
5.持續的風險監控能力
網絡安全風險管理是一個整體性工作,也是一個持續的流程。實現持續地網絡安全風險監控對于發現新的威脅和安全漏洞至關重要。企業應該積極利用自動化技術,將其量化預警信息或風險暴露狀況統一整合起來,提升企業預測潛在風險的能力。實現控制環境與未知風險之間的協同,是開展網絡安全風險管理的核心關注點之一。
在過去,安全團隊會定期或臨時(可能每月或每季度)執行階段性的滲透測試或漏洞掃描,使用多種類型的工具來執行掃描、生成結果、修復已發現的問題,并持續重復這個過程。隨著安全供應商將持續監控概念整合到產品中,我們看到這方面迎來了發展。工具能夠持續、自動化地運行之所以很重要,是由于它從根本上消除了傳統掃描之間的時間間隔,也減少了手動掃描所需的工作量。
參考鏈接:https://www.techtarget.com/searchsecurity/opinion/Key-capabilities-for-effective-cyber-risk-management
