点击上方蓝字关注伏宸区块链安全实验室
随着现代企业数字化转型的深入,各种网络安全威胁的数量和复杂度也在快速提升。
这些威胁带来了多方面的网络安全风险,包括网络安全、法律合规,隐私保护,业务连续性和财务影响等,因此,企业网络安全建设从传统的安全优先转向风险优先的新模式势在必行。
为了充分理解风险优先的价值和优点,我们有必要首先分析传统安全优先方法的局限性,安全确实很重要,但它只是组织整体风险生态中的一个方面。如果企业只关注网络安全问题,可能会掩盖很多同样重要的风险考量因素。
虽然部署防火墙,IPS以及密码等传统战术性安全措施对保障企业的数字业务开展非常重要,但它们并不能消除所有风险,而且研究数据显示,那些仅面向已知威胁的被动安全方法会使组织更容易受到新兴风险的威胁,此外,一味固守以安全为中心的建设理念往往会阻碍组织的灵活性和变通性,并忽视了很多非技术性的网络风险,比如一些违规的行为和人为性的错误。
相比之下风险优先的安全策略是指从企业整体业务风险管理的角度,运用科学的手段,系统分析网络与信息系统所面临的威胁及其存在的脆弱性,通过开展风险评估,企业组织可以对重要信息系统所面临的信息安全风险进行主动式发现和分析,并对企业网络安全建设中的薄弱环节进行优先处理和加固,这样可以更有效地提升企业网络安全防护水平,增强数字化发展的弹性。
安全事件的发生是有概率的,企业不能只根据安全威胁的发现时间和可能后果,便决定网络安全的投入和安全措施的强度,对于一些被实际利用的概率极低的安全风险,即使其具有比较严重的爆发后果,也不需要不计代价地进行修复处置。企业在开展风险优先的安全防护工作中,必须坚持综合考虑安全事件的后果影响及其可利用性的评价原则,从不同的视角洞察风险,并将有限的资源优先用于保护关键性资产和高危漏洞,避免浪费开支。
构建风险优先的网络安全防护模式会涉及资产,威胁,脆弱性等许多基础性要素,每个要素都有各自的要求和属性,为了保障建设工作实现预定的目标,企业应该做好以下方面的准备
(1)确定风险评估的范围
一般情况下,风险防护的范围需要覆盖整个组织,但这样也会让风险评估工作过于繁重,因此可以先从某些业务部门,场所或公司的特定领域开始实施,在进行风险评估之前,为了更好地指导组织有条不紊地评估数字安全风险,确保缓解控制措施适当且有效。
(2)识别信息资产
构建风险优先的网络安全防护模式,需要明确知道应该保护的对象是谁,因此,评估团队应该识别并清点风险评估范围内的所有包括软件和硬件在内的信息资产,对业务至关重要的资产不仅是识别和清点的重点,也同样是攻击者的主要目标,所以需要在资产识别的基础上,尽可能做好系统威胁暴露面的管理。
(3)了解威胁利用方法
威胁利用方法是指攻击者可能使用的攻击策略,技术和方法,为了帮助识别各项信息资产可能存在的威胁隐患,企业安全团队可以使用MITRE ATT&CK之类的威胁知识库,直观地呈现典型攻击的各种阶段和目标,这样有助于确定他们需要的保护类型。
(4)分析潜在风险
分析潜在风险是为了评估风险场景实际发生的可能性,以及一旦发生后对组织造成的影响,其中风险实际发生的可能性取决于威胁和漏洞的可发现性、可利用性和可再现性,而影响是指威胁利用漏洞的后果对组织造成的危害程度,应在每个场景中评估对机密性,完整性和可用性造成的影响,由于潜在风险分析在本质上是非常主观的,因此对分析师的专业度和经验积累要求会非常高。
(5)优先级评估
为了确保安全风险程度是可控的,企业可以通过使用风险矩阵,风险级别为“可能性乘以影响”对每个风险场景进行评估和分类,任何高于企业风险容忍程度的威胁场景都应优先被处理。
(6)持续发现风险
随着新威胁层出不穷,新的系统或活动不断引入,安全风险评估需要重复进行,因此需要在每一次的评估工作中,做好可为未来的评估提供可重复的流程和模板,同时对所有已识别的风险场景需要详细记录,并保持定期审查和更新。
转向风险优先的网络安全防护模式可以帮助企业组织从容应对不断变化的网络安全环境,不过在实施这种方法时,企业需要统一整合不同部门的防护理念,想法,流程和技术,以下实践经验可以帮助企业更好地开展相关工作。
(1)利用定量与定性结合的评估方法
定性风险评估对于识别威胁趋势以及了解关键的风险因素必不可少,然而定性评估方法具有一定的主观性,而定量评估方法能够识别关键性的风险因子和其中的高风险因素,帮助组织准确深入地了解整体风险态势和威胁程度。通过将定量分析与定性分析相结合,组织能够从宏观和微观层面全面了解风险,有利于进行科学的安全决策和资源分配。
(2)结合游戏化风险管理技术
为了鼓励所有团队成员积极参与,组织可以在风险管理流程中结合游戏化技术,比如通过鼓励合理竞争,各部门可以基于风险管理绩效进行竞争,采用绩效评分机制,并设置团队礼品卡或代金券等奖励措施,这样可以激励员工做好风险管理工作,从而提高组织的整体安全弹性。
(3)基于影响确定风险优先级
在主流的风险管理框架中,都会强调基于潜在的风险影响和可能性来确定风险管控的优先级,这一点非常重要,组织可以使用定量评分系统,将风险分为高、中、低这三类优先级,这使组织能够有效地分配资源,并集中精力处理对组织业务发展目标构成重大威胁的关键风险。
(4)提前制定风险缓解计划
一旦识别了风险并确定了优先级,组织应制定一份全面的风险缓解计划,该策略应该概述具体行动,控制措施,预防措施,定期评估和应急计划,以尽量减小可能造成的影响,如果遵循这种井然有序的方法,组织可以主动处理潜在的威胁,减少漏洞,面对威胁做到防患未然。
(5)持续的自动化监测
为了实现可连续的风险监测和评估,自动化技术在确保有效的风险管理中将起到关键性作用,通过部署应用自动化技术,组织就可以及时了解新兴风险,并相应地调整处置措施,企业应该将风险优先的安全防护策略与不断变化的业务环境保持一致,这样组织才能够采取主动而灵活的方法来规避风险。
注:以上图文内容来源于网络,如有侵权请联系删除
END
伏宸正在诚招培训课程顾问、销售实习生、安全服务工程师、渗透工程师等多种岗位!欢迎各路精英踊跃投递!
保持热爱,奔赴山海,知足上进不负野心!
欢迎积极向上,才华横溢的你~
联系方式:Hr杨小姐 13265133695(微信同号)
也可扫描下方小程序投递哦!
扫码关注
伏宸BOSS直聘
投递在招热门岗位
伏宸,让您的网络更好更安全!
伏宸区块链安全实验室
伏宸区块链安全实验室是佛山市伏宸信息科技有限公司旗下的专业实验室。我们公司成立于2018年9月,专注于区块链安全研究、安全产品开发、区块链安全检测与防护以及链上代码审计。作为一家专业的信息安全公司,我们为客户提供多项综合性的区块链安全保障服务和专业的网络安全保障服务,包括安全服务、安全产品和安全培训等。
我们的母公司为广东安创信息科技开发有限公司(以下简称"安创科技"),通过伏宸区块链安全实验室和我们母公司安创科技的协同作业,我们将不断创新和进步,为客户提供可靠的区块链安全解决方案和专业的网络安全服务。我们将致力于保护客户的信息资产,确保其在数字化时代的安全性和可靠性。
联系电话:0757-86309209
伏宸网站:https://www.futurebk.com/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...