本文來自微信公眾號(hào)“安全牛”。
隨著現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型的深入,各種網(wǎng)絡(luò)安全威脅的數(shù)量和復(fù)雜度也在快速提升。這些威脅帶來了多方面的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),包括網(wǎng)絡(luò)安全、法律合規(guī)、隱私保護(hù)、業(yè)務(wù)連續(xù)性和財(cái)務(wù)影響等。因此,企業(yè)網(wǎng)絡(luò)安全建設(shè)從傳統(tǒng)的安全優(yōu)先轉(zhuǎn)向風(fēng)險(xiǎn)優(yōu)先的新模式勢在必行。
風(fēng)險(xiǎn)優(yōu)先的價(jià)值
為了充分理解風(fēng)險(xiǎn)優(yōu)先的價(jià)值和優(yōu)點(diǎn),我們有必要首先分析傳統(tǒng)安全優(yōu)先方法的局限性。安全確實(shí)很重要,但它只是組織整體風(fēng)險(xiǎn)生態(tài)中的一個(gè)方面。如果企業(yè)只關(guān)注網(wǎng)絡(luò)安全問題,可能會(huì)掩蓋很多同樣重要的風(fēng)險(xiǎn)考量因素。
雖然部署防火墻、IPS以及密碼等傳統(tǒng)戰(zhàn)術(shù)性安全措施對(duì)保障企業(yè)的數(shù)字業(yè)務(wù)開展非常重要,但它們并不能消除所有風(fēng)險(xiǎn)。而且研究數(shù)據(jù)顯示,那些僅面向已知威脅的被動(dòng)安全方法會(huì)使組織更容易受到新興風(fēng)險(xiǎn)的威脅。此外,一味固守以安全為中心的建設(shè)理念往往會(huì)阻礙組織的靈活性和變通性,并忽視了很多非技術(shù)性的網(wǎng)絡(luò)風(fēng)險(xiǎn),比如一些違規(guī)的行為和人為性的錯(cuò)誤。
相比之下,風(fēng)險(xiǎn)優(yōu)先的安全策略是指從企業(yè)整體業(yè)務(wù)風(fēng)險(xiǎn)管理的角度,運(yùn)用科學(xué)的手段,系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性。通過開展風(fēng)險(xiǎn)評(píng)估,企業(yè)組織可以對(duì)重要信息系統(tǒng)所面臨的信息安全風(fēng)險(xiǎn)進(jìn)行主動(dòng)式發(fā)現(xiàn)和分析,并對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)中的薄弱環(huán)節(jié)進(jìn)行優(yōu)先處理和加固。這樣可以更有效地提升企業(yè)網(wǎng)絡(luò)安全防護(hù)水平,增強(qiáng)數(shù)字化發(fā)展的彈性。
安全事件的發(fā)生是有概率的,企業(yè)不能只根據(jù)安全威脅的發(fā)現(xiàn)時(shí)間和可能后果,便決定網(wǎng)絡(luò)安全的投入和安全措施的強(qiáng)度。對(duì)于一些被實(shí)際利用的概率極低的安全風(fēng)險(xiǎn),即使其具有比較嚴(yán)重的爆發(fā)后果,也不需要不計(jì)代價(jià)地進(jìn)行修復(fù)處置。企業(yè)在開展風(fēng)險(xiǎn)優(yōu)先的安全防護(hù)工作中,必須堅(jiān)持綜合考慮安全事件的后果影響及其可利用性的評(píng)價(jià)原則,從不同的視角洞察風(fēng)險(xiǎn),并將有限的資源優(yōu)先用于保護(hù)關(guān)鍵性資產(chǎn)和高危漏洞,避免浪費(fèi)開支。
風(fēng)險(xiǎn)優(yōu)先的關(guān)鍵要素
構(gòu)建風(fēng)險(xiǎn)優(yōu)先的網(wǎng)絡(luò)安全防護(hù)模式會(huì)涉及資產(chǎn)、威脅、脆弱性等許多基礎(chǔ)性要素,每個(gè)要素都有各自的要求和屬性。為了保障建設(shè)工作實(shí)現(xiàn)預(yù)定的目標(biāo),企業(yè)應(yīng)該做好以下方面的準(zhǔn)備:
01 確定風(fēng)險(xiǎn)評(píng)估的范圍
一般情況下,風(fēng)險(xiǎn)防護(hù)的范圍需要覆蓋整個(gè)組織,但這樣也會(huì)讓風(fēng)險(xiǎn)評(píng)估工作過于繁重。因此,可以先從某些業(yè)務(wù)部門、場所或公司的特定領(lǐng)域開始實(shí)施。在進(jìn)行風(fēng)險(xiǎn)評(píng)估之前,為了更好地指導(dǎo)組織有條不紊地評(píng)估數(shù)字安全風(fēng)險(xiǎn),確保緩解控制措施適當(dāng)且有效,安全人員應(yīng)當(dāng)充分依據(jù)ISO/IEC 27001標(biāo)準(zhǔn)和NIST SP 800-37等主流安全框架的要求。
02 識(shí)別信息資產(chǎn)
構(gòu)建風(fēng)險(xiǎn)優(yōu)先的網(wǎng)絡(luò)安全防護(hù)模式,需要明確知道應(yīng)該保護(hù)的對(duì)象是誰,因此,評(píng)估團(tuán)隊(duì)?wèi)?yīng)該識(shí)別并清點(diǎn)風(fēng)險(xiǎn)評(píng)估范圍內(nèi)的所有包括軟件和硬件在內(nèi)的信息資產(chǎn)。對(duì)業(yè)務(wù)至關(guān)重要的資產(chǎn)不僅是識(shí)別和清點(diǎn)的重點(diǎn),也同樣是攻擊者的主要目標(biāo),所以需要在資產(chǎn)識(shí)別的基礎(chǔ)上,盡可能做好系統(tǒng)威脅暴露面的管理。
03 了解威脅利用方法
威脅利用方法是指攻擊者可能使用的攻擊策略、技術(shù)和方法。為了幫助識(shí)別各項(xiàng)信息資產(chǎn)可能存在的威脅隱患,企業(yè)安全團(tuán)隊(duì)可以使用MITRE ATT&CK之類的威脅知識(shí)庫,直觀地呈現(xiàn)典型攻擊的各種階段和目標(biāo),這樣有助于確定他們需要的保護(hù)類型。
04 分析潛在風(fēng)險(xiǎn)
分析潛在風(fēng)險(xiǎn)是為了評(píng)估風(fēng)險(xiǎn)場景實(shí)際發(fā)生的可能性,以及一旦發(fā)生后對(duì)組織造成的影響。其中,風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性取決于威脅和漏洞的可發(fā)現(xiàn)性、可利用性和可再現(xiàn)性,而影響是指威脅利用漏洞的后果對(duì)組織造成的危害程度,應(yīng)在每個(gè)場景中評(píng)估對(duì)機(jī)密性、完整性和可用性造成的影響。由于潛在風(fēng)險(xiǎn)分析在本質(zhì)上是非常主觀的,因此對(duì)分析師的專業(yè)度和經(jīng)驗(yàn)積累要求會(huì)非常高。
05 優(yōu)先級(jí)評(píng)估
為了確保安全風(fēng)險(xiǎn)程度是可控的,企業(yè)可以通過使用風(fēng)險(xiǎn)矩陣(風(fēng)險(xiǎn)級(jí)別為“可能性乘以影響”)對(duì)每個(gè)風(fēng)險(xiǎn)場景進(jìn)行評(píng)估和分類,任何高于企業(yè)風(fēng)險(xiǎn)容忍程度的威脅場景都應(yīng)優(yōu)先被處理。
06 持續(xù)發(fā)現(xiàn)風(fēng)險(xiǎn)
隨著新威脅層出不窮,新的系統(tǒng)或活動(dòng)不斷引入,安全風(fēng)險(xiǎn)評(píng)估需要重復(fù)進(jìn)行。因此,需要在每一次的評(píng)估工作中,做好可為未來的評(píng)估提供可重復(fù)的流程和模板。同時(shí),對(duì)所有已識(shí)別的風(fēng)險(xiǎn)場景需要詳細(xì)記錄,并保持定期審查和更新。
實(shí)施風(fēng)險(xiǎn)優(yōu)先的最佳實(shí)踐
轉(zhuǎn)向風(fēng)險(xiǎn)優(yōu)先的網(wǎng)絡(luò)安全防護(hù)模式可以幫助企業(yè)組織從容應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全環(huán)境。不過在實(shí)施這種方法時(shí),企業(yè)需要統(tǒng)一整合不同部門的防護(hù)理念、想法、流程和技術(shù)。以下實(shí)踐經(jīng)驗(yàn)可以幫助企業(yè)更好地開展相關(guān)工作。
●利用定量與定性結(jié)合的評(píng)估方法:定性風(fēng)險(xiǎn)評(píng)估對(duì)于識(shí)別威脅趨勢以及了解關(guān)鍵的風(fēng)險(xiǎn)因素必不可少。然而,定性評(píng)估方法具有一定的主觀性,而定量評(píng)估方法能夠識(shí)別關(guān)鍵性的風(fēng)險(xiǎn)因子和其中的高風(fēng)險(xiǎn)因素,幫助組織準(zhǔn)確深入地了解整體風(fēng)險(xiǎn)態(tài)勢和威脅程度。通過將定量分析與定性分析相結(jié)合,組織能夠從宏觀和微觀層面全面了解風(fēng)險(xiǎn),有利于進(jìn)行科學(xué)的安全決策和資源分配。
●結(jié)合游戲化風(fēng)險(xiǎn)管理技術(shù):為了鼓勵(lì)所有團(tuán)隊(duì)成員積極參與,組織可以在風(fēng)險(xiǎn)管理流程中結(jié)合游戲化技術(shù)。比如說,通過鼓勵(lì)合理競爭,各部門可以基于風(fēng)險(xiǎn)管理績效進(jìn)行競爭,采用績效評(píng)分機(jī)制,并設(shè)置團(tuán)隊(duì)禮品卡或代金券等獎(jiǎng)勵(lì)措施,這樣可以激勵(lì)員工做好風(fēng)險(xiǎn)管理工作,從而提高組織的整體安全彈性。
●基于影響確定風(fēng)險(xiǎn)優(yōu)先級(jí):在主流的風(fēng)險(xiǎn)管理框架中,都會(huì)強(qiáng)調(diào)基于潛在的風(fēng)險(xiǎn)影響和可能性來確定風(fēng)險(xiǎn)管控的優(yōu)先級(jí),這一點(diǎn)非常重要。組織可以使用定量評(píng)分系統(tǒng),將風(fēng)險(xiǎn)分為高、中、低這三類優(yōu)先級(jí)。這使組織能夠有效地分配資源,并集中精力處理對(duì)組織業(yè)務(wù)發(fā)展目標(biāo)構(gòu)成重大威脅的關(guān)鍵風(fēng)險(xiǎn)。
●提前制定風(fēng)險(xiǎn)緩解計(jì)劃:一旦識(shí)別了風(fēng)險(xiǎn)并確定了優(yōu)先級(jí),組織應(yīng)制定一份全面的風(fēng)險(xiǎn)緩解計(jì)劃。該策略應(yīng)該概述具體行動(dòng)、控制措施、預(yù)防措施、定期評(píng)估和應(yīng)急計(jì)劃,以盡量減小可能造成的影響。如果遵循這種井然有序的方法,組織可以主動(dòng)處理潛在的威脅,減少漏洞,面對(duì)威脅做到防患未然。
●持續(xù)的自動(dòng)化監(jiān)測:為了實(shí)現(xiàn)可連續(xù)的風(fēng)險(xiǎn)監(jiān)測和評(píng)估,自動(dòng)化技術(shù)在確保有效的風(fēng)險(xiǎn)管理中將起到關(guān)鍵性作用。通過部署應(yīng)用自動(dòng)化技術(shù),組織就可以及時(shí)了解新興風(fēng)險(xiǎn),并相應(yīng)地調(diào)整處置措施。企業(yè)應(yīng)該將風(fēng)險(xiǎn)優(yōu)先的安全防護(hù)策略與不斷變化的業(yè)務(wù)環(huán)境保持一致,這樣組織才能夠采取主動(dòng)而靈活的方法來規(guī)避風(fēng)險(xiǎn)。