世界各地的企業(yè)都在擔(dān)憂網(wǎng)絡(luò)安全威脅問題，特別是每天看到大量竊取信息和知識產(chǎn)權(quán)的網(wǎng)絡(luò)入侵報告，以及新型漏洞利用方法的興起，包括勒索軟件、高級持續(xù)性威脅和內(nèi)部威脅等。

讓問題更嚴(yán)重的是當(dāng)前快速變化的運營環(huán)境，包括云計算、物聯(lián)網(wǎng)、移動和遠程用戶，以及需要為用戶攜帶的任何網(wǎng)絡(luò)設(shè)備提供支持，在這種情況下，如何、在哪里部署何種安全措施的問題變得難以回答。

[[203307]]

在2014年的采訪中，前FBI局長James Comey稱，“在美國主要有兩種公司，即那些被中國攻擊的公司，以及不知道他們已經(jīng)被中國攻擊的公司。”

一年多后，在2015年1月的世界經(jīng)濟論壇中，思科前首席執(zhí)行官John Chambers稱：“主要有兩種類型的公司：已經(jīng)被攻擊的公司以及還不知道已經(jīng)被攻擊的公司。”

這些言論是表明網(wǎng)絡(luò)安全泄露事故不可避免?如果遭遇網(wǎng)絡(luò)安全泄露事故不可避免，如果真的不可能阻止泄露事故，那么，試圖保護信息和信息系統(tǒng)是不是浪費時間和金錢?

如果網(wǎng)絡(luò)安全泄露事故真的不可避免，企業(yè)就不會將重要知識產(chǎn)權(quán)和個人及財務(wù)信息存儲在聯(lián)網(wǎng)系統(tǒng)。但企業(yè)沒有那樣做，這說明使用聯(lián)網(wǎng)系統(tǒng)肯定具有超越這種風(fēng)險的優(yōu)勢。

網(wǎng)絡(luò)安全是管理風(fēng)險的過程

盡管網(wǎng)絡(luò)安全泄露事故不可避免，我們?nèi)匀豢梢远覒?yīng)該保護信息。在任何風(fēng)險受管理的環(huán)境中，如果風(fēng)險不可阻止或避免，總是有可部署的戰(zhàn)略。事實上，風(fēng)險管理的前提是，任何風(fēng)險情況的不確定性都不能完全消除。

如果不確定性可以消除，則風(fēng)險也可消除。 如果網(wǎng)絡(luò)安全泄露事故不可避免，或者網(wǎng)絡(luò)安全泄露事故的風(fēng)險不是零，則可使用兩種基本保護策略。第一個是降低網(wǎng)絡(luò)安全泄露事故發(fā)生的可能性，第二是當(dāng)網(wǎng)絡(luò)安全泄露事故發(fā)生時降低影響或損害。

這些基本保護策略適用于管理任何類型的風(fēng)險，包括網(wǎng)絡(luò)安全風(fēng)險。管理網(wǎng)絡(luò)安全風(fēng)險的一般方法非常簡單。

首先，確定對業(yè)務(wù)運營至關(guān)重要的資產(chǎn)。在這種情況下，應(yīng)確定必須受保護的信息資產(chǎn)。除原始數(shù)據(jù)之外，信息資產(chǎn)可能包括人員、流程和技術(shù)。

其次，風(fēng)險評估過程需確定可能通過不必要披露、未經(jīng)授權(quán)修改或失去信息資產(chǎn)訪問權(quán)限而損害信息安全的風(fēng)險情況。這里的風(fēng)險組件很少。

網(wǎng)絡(luò)安全入侵的一般情況如下所述：攻擊者利用漏洞并破壞信息資產(chǎn)的安全性。在這種情況下，風(fēng)險的組件是漏洞，而漏洞利用可利用這個漏洞，并且，攻擊者愿意利用這個漏洞利用來破壞資產(chǎn)安全性。

在這種一般網(wǎng)絡(luò)安全泄露情況中，網(wǎng)絡(luò)安全管理員唯一可控制的是網(wǎng)絡(luò)中存在的漏洞。因此，管理網(wǎng)絡(luò)安全風(fēng)險的最后一步是發(fā)現(xiàn)和消除或修復(fù)漏洞。

理想情況下，在發(fā)現(xiàn)漏洞后，應(yīng)立即消除漏洞。消除漏洞也可消除漏洞被利用的所有威脅情況，從而降低漏洞利用的可能性。

優(yōu)先排序網(wǎng)絡(luò)安全風(fēng)險

在其核心，風(fēng)險管理是決策支持工具。當(dāng)確定所有相關(guān)網(wǎng)絡(luò)安全風(fēng)險情景后，這里的決策支持任務(wù)是對已確定風(fēng)險情景進行優(yōu)先排序。

如果沒有足夠資源來處理所有已確定的漏洞，則對網(wǎng)絡(luò)安全風(fēng)險緩解活動的優(yōu)先排序很重要;即使有足夠資源來緩解漏洞，優(yōu)先排序也很有價值，因為了解潛在影響至關(guān)重要。

結(jié)果與影響

漏洞的優(yōu)先級排序通常是根據(jù)其對企業(yè)的潛在影響，如果潛在影響是有限考慮因素，那么了解這種影響非常重要。

當(dāng)漏洞被利用時，會出現(xiàn)一些不必要的結(jié)果，例如不必要的披露、未經(jīng)授權(quán)修改或失去對信息資產(chǎn)的訪問。影響是指這些不想要的結(jié)果帶來的后果。

例如，如果HIPAA隱私或安全法規(guī)涵蓋的健康記錄被盜，結(jié)果是信息泄露，而對企業(yè)的影響可能包括強制性違規(guī)通知的成本以及潛在罰款和民事處罰--可能高達數(shù)百萬美元。

我們可根據(jù)多種方式根據(jù)潛在影響對漏洞緩解工作進行優(yōu)先排序。常用優(yōu)先級排序工具是通用漏洞評估系統(tǒng)(CVSS)，這為理解信息技術(shù)漏洞的特征和影響提供了一個標(biāo)準(zhǔn)。美國國家標(biāo)準(zhǔn)與技術(shù)研究所維護的National Vulnerability Database為幾乎所有已知漏洞提供CVSS評分。

即使使用CVSS評分作為優(yōu)先排序網(wǎng)絡(luò)安全風(fēng)險緩解活動的基礎(chǔ)，企業(yè)也必須確定這種方法是否對其有效。例如，如果某個特定漏洞的CVSS評級為低或中等，很多企業(yè)會選擇不修復(fù)該漏洞。

但對于擁有很多系統(tǒng)(包括關(guān)鍵任務(wù)系統(tǒng))的企業(yè)呢?這些企業(yè)需要了解的是，該漏洞對他們的潛在影響并沒有很好地通過CVSS展現(xiàn)，實際影響可能比CVSS評級高得多，而且企業(yè)應(yīng)該修復(fù)該漏洞。

結(jié)論

即使網(wǎng)絡(luò)安全泄露事故確實不可避免，但并非一切都會丟失，事實是，不可能完全消除網(wǎng)絡(luò)安全泄露相關(guān)的不確定性。

管理不確定性的傳統(tǒng)方法是通過風(fēng)險管理。在了解管理網(wǎng)絡(luò)安全就是管理風(fēng)險后，那么，網(wǎng)絡(luò)安全風(fēng)險管理為什么不能通過風(fēng)險管理方法來管理?