正文

网络安全弹性商数:衡量安全有效性

admin
admin V管理员 /0 评论 /102 阅读
1030
此篇文章发布距今已超过326天,您需要注意文章的内容或图片是否可用!

在不断变化的网络安全环境中,威胁不断变化,对手变得越来越复杂,新技术的采用速度越来越快,组织不断面临评估其防御有效性的挑战。

安全事件的原始数量、平均检测时间、平均响应时间或平均遏制时间等传统指标只能提供有限的组织安全态势视角。缺少的是一个全面且适应性强的框架,使组织能够动态评估和提高其网络安全弹性。输入网络安全弹性商数 (CRQ),这是一个尚不存在的全行业指标!

CRQ 将代表一种替代指标,旨在成为您跨越这个数字雷区的综合指南,并超越传统方法,考虑的不仅仅是简单的资产漏洞。更动态的方法还必须考虑经常被忽视或难以量化的因素,例如资产暴露、资产关键性、部署控制的有效性、业务流程漏洞和架构防御性。这种多方面的指标将使组织能够随着环境的发展评估、适应和增强其网络安全。

网络安全格局:移动目标

网络威胁是源源不断的、不加区别的、并且不断变化的。攻击者不断完善他们的技术,寻找进入和通过组织的阻力最小的路径。为了防范这些敏捷的对手,组织必须采用多方面的网络安全衡量方法。仅仅依靠技术的部署是不够的。相反,我们需要一个全面的策略——实时衡量、适应和发展安全有效性的策略。

已部署的技术处于独特的地位,可以收集和提供所需的情报,并自动实施基于风险的策略,但这些流程往往在组织内并行运行,而不是集成。治理、风险和合规性通常存在于与网络安全不同的世界中。最近,当我向一群首席风险官暗示他们确实是网络安全专业人员时,我证实了这一点。大力点头所产生的冲击波正在剧烈地冲击着。这里存在一种协同作用,等待更有效地利用,或者根本就没有。

介绍网络安全弹性商数

合规性推动变革,但并不一定会让您更安全。将风险和审计领域与控制和补救结合在一起,为安全对话添加了缺失的上下文,从而将决策从以技术为中心的角度转向以业务为中心的角度。CRQ 被设计为一种通用指标,用于量化组织的网络弹性,同时考虑各种关键因素,并提供组织随时间变化的安全态势的清晰、全面的视图。CRQ 是网络安全的“那又怎样”;其工作原理如下:

CRQ 的组成部分

资产重要性:认识到数字资产的重要性至关重要。如果资产降级、受损或不可用,会对企业造成什么后果?CRQ 考虑了资产对组织运营的重要性,确保高影响力资产得到适当的关注。

资产暴露:重点是了解和枚举组织的数字资产,包括托管和非托管/未知的数字资产。这包括数据、应用程序和系统(IT、OT、物联网、IoMT),并衡量它们面临的潜在威胁。哪些服务正在运行?资产是否暴露在互联网上?资产可以直接管理吗?该资产目前是否合规?资产暴露程度越高,风险就越大。

资产漏洞:下一步是识别这些资产中的漏洞。漏洞可能是技术性的(例如,未打补丁的软件)或人为相关的(例如,次优配置)。各个漏洞也会产生不同的结果,并且在现实世界中被利用的可能性也有很大差异。成功利用漏洞是否允许攻击者简单访问或完全控制?单个系统上是否存在多个漏洞,可以将其链接在一起以产生更大的影响?是否存在漏洞,但当前的安全控制措施是否已缓解?CRQ 量化了这些漏洞的数量、严重性和可利用性。

风险承受能力:某些个人资产可能被认为对其他人来说价值更高、更关键或更敏感(例如,存在合规性法律要求的资产,或者如果不可用可能导致系统故障甚至生命危险的资产) 。风险承受能力修改器 (RT) 会考虑到这一点,确保时间紧迫的漏洞风险管理团队能够最有效地确定优先级。

架构防御性:有了现有的资产库存,您的组织能够保护其数字资产吗?您的企业架构的拓扑是否映射到当前的通信流?您的沟通流程中的短路问题在哪里?CRQ 检查该架构的稳健性,重点关注网络分段以及用户和特权帐户管理,并评估您预防、检测和响应攻击的能力。

业务流程漏洞:网络安全不仅仅涉及技术;还涉及技术。它还取决于业务流程设计的安全性。关键流程对攻击(包括社会工程)的敏感性是衡量组织弹性的重要指标。单个用户向社会工程师放弃一组凭据会产生什么结果?需要多少监督才能签署商业电子邮件泄露攻击针对的金融交易?

事件响应准备:在当今的威胁形势下,问题不是“是否”发生,而是“何时”发生安全事件。CRQ 应包括一个模板,允许组织量化其事件响应能力,包括检测、遏制、业务连续性和灾难恢复。

应用 CRQ

网络安全弹性商数是一个动态指标,可以通过多种方式应用:

基准测试和保险:将您组织的 CRQ 分数与行业标准或同行进行比较,以衡量您的竞争地位。较低的分数可能表明需要投资或流程改进。

风险缓解:使用 CRQ 来识别网络安全策略中的薄弱环节。分配资源来解决得分最低的组件,以有效降低风险。

战略规划:CRQ 为长期战略规划提供了宝贵的见解。它可以帮助您确定网络安全计划的优先级并使其与组织目标保持一致。

持续监控:动态重新计算 CRQ 以监控安全改进和新出现的威胁的影响,使您能够随着威胁形势和企业架构的发展而调整策略。

结论

我的年龄足以成为英国教育中的那一代人,他们试图教我们英制和公制系统。缺乏统一标准并没有让我成为“双语者”。相反,它让我失去了有效的参考,无法告诉你一公顷有多大,或者以英尺为单位的一英里有多长,更不用说猜测任何东西的重量了。目前网络安全也处于类似的境地。如果没有商定的标准来衡量风险和弹性,我们就无法进行有意义的比较或准确衡量进展。

在数字时代,网络安全是一项基本业务要求。网络安全弹性商数使组织能够全面评估其安全态势,同时考虑资产暴露、漏洞和关键性以及流程和网络架构以及灾难恢复计划。通过使用 CRQ 进行测量、分析和前瞻性规划,组织可以针对不断变化的威胁环境构建强大的防御。

请记住,CRQ 不是一次性评估,而是一个动态指标。实时重新计算可确保您的网络安全态势保持弹性、有效并符合业务要求。



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客