荐读 | 做好网络安全风险管理必备的5种能力

网络安全风险管理和网络安全防护是两个密切相关但不可互换的概念，网络安全防护侧重于应对攻击和响应正在发生的安全事件，而网络安全风险管理则强调从更全面的视角去评估企业的安全状况和面临的威胁态势，包括了从对组织运营、商誉、财务和合规等多个方面整体应对各种可能发生的网络威胁。

由于网络安全风险具有多面性，因此组织在开展相关风险管理时，也需要一系列广泛的能力支撑，才能有效管控各种特定的风险因素。

网络风险管理工作始于全面的网络资产洞察与管理。如果连网络资产都不能全面识别，其应用时的风险保护也就无从谈起。企业在管理网络资产时的常见挑战包括全面洞察混合IT环境、重复的IT资产数据梳理以及过时的资产数据库。

据企业战略集团（ESG）在2023年的研究报告《安全卫生和态势管理仍然很分散而复杂》显示，几乎所有（95%）的受访者都会在管理企业的IT资产库存方面面临挑战，近三分之一（32%）的受访者表示使用了十种以上的数据库、系统和工具来管理网络资产。这是需要解决的常见问题。

为了全面洞察组织的网络资产以加强保护，企业应该采用支持统一视图的产品，比如通过借助API连接到配置管理数据库收集数据的安全资产管理系统、攻击面管理工具和漏洞管理平台等。最好的选择就是为基于角色的用例添加数据分析、风险评分和灵活的接口。

风险管理团队应该准确理解，开展网络安全风险管理是为了更好地实现业务发展目标，因此网络安全风险管理的基础要求是要从业务发展的角度识别风险，了解当前网络安全风险的业务环境。从业务发展视角识别现有的安全风险和潜在的安全威胁至关重要，这将决定后续的风险管理工作中需要做多少，以及需要保护的重点是什么。

在ESG的报告中也指出，超过一半（56%）的受访企业表示，很难从业务开展的视角了解哪些资产更加关键和重要。不过，目前主流的网络安全厂商，尤其是漏洞管理和开发安全相关的厂商已开始在其方案中添加这项能力，帮助企业从业务视角对关键IT资产和应用软件进行分类，从而整合业务环境功能。

只要不影响业务的稳定发展，每个组织可以接受和承担一定程度的网络安全风险。如果经过量化评估的网络安全风险在可承受的范围内，企业的管理者就可以在一定时期内接受该风险，而将注意力和防护资源投入到更需要重视的高优先级风险中。因此，网络风险量化是企业开展网络安全风险管理时不可或缺的能力。需要借助专业的安全工具访问关键数据，比如IT资产数据和相关漏洞。

风险量化需要将业务环境和业务相关成本联系起来，以便从经济损失方面计算和量化风险，方便企业领导者就是否投资于保护环境安全的资源做出明智的决定。网络风险量化还有望改变传统安全防护的游戏规则，因为企业可以有效地管理和拥有风险量化数据，以便更快地做出决策，无需定期进行费力又费钱的安全风险评估。

在网络安全风险管理工作中，组织需要就风险缓解的优先级和策略达成共识。无论是所有人观点一致，还是某一部分人同意风险和风险文档，这需要视组织的具体管理情形而定。大多数风险管理框架都已将风险优先级设置作为一个正式要求，以避免在风险管理工作中引发不必要的冲突，并让所有利益相关者就优先事项达成一致。

通过风险优先级评估，企业管理者和安全团队可以更加合理地分配风险防护资源，聚焦于关键性风险，以最具性价比的方式将风险控制在企业可以接受的范围内。风险优先级评估可以借助风险评分系统（EPSS）来实现，主要考察因素包括风险危害范围界定、风险严重程度、修复难易度和危害记录报告等。

此外，安全团队在评估风险优先级时还应该寻找整合其他重要方面的选项，包括支持业务环境和显示风险活跃度的威胁情报。这使安全团队能够解决最关键的IT资产和应用软件方面风险最高的安全隐患，从而发挥出最大的作用。

网络安全风险管理是一个整体性工作，也是一个持续的流程。实现持续地网络安全风险监控对于发现新的威胁和安全漏洞至关重要。企业应该积极利用自动化技术，将其量化预警信息或风险暴露状况统一整合起来，提升企业预测潜在风险的能力。实现控制环境与未知风险之间的协同，是开展网络安全风险管理的核心关注点之一。

在过去，安全团队会定期或临时（可能每月或每季度）执行阶段性的渗透测试或漏洞扫描，使用多种类型的工具来执行扫描、生成结果、修复已发现的问题，并持续重复这个过程。随着安全供应商将持续监控概念整合到产品中，我们看到这方面迎来了发展。工具能够持续、自动化地运行之所以很重要，是由于它从根本上消除了传统扫描之间的时间间隔，也减少了手动扫描所需的工作量。

参考链接：

https://www.techtarget.com/searchsecurity/opinion/Key-capabilities-for-effective-cyber-risk-management