網絡安全風險管理的五個實用技巧
某種程度上,網絡安全風險管理和健康醫療保險有一定的相通之處,比如每一項保險措施都提供了保護你和身邊免受各種經濟損失(比如醫院看病)的手段,但我們相信,不少保險條款的存在是為了減少各種損失發生的可能性(例如預防性醫療保險)。
即便購買這些健康保險并不能讓投保人避免遭受不幸,但如果發生了不幸的事件,它卻可以為投保人提供一份保障和解決問題的途徑。
網絡安全風險管理也是如此。
在當下的商業環境中,企業擁有有幾個基礎的網絡安全策略正在變得越來越重要。無論是剛剛在做網絡安全風險管理還是已經非常成熟,企業都應該盡可能遵循這些策略,逐步增強網絡安全防護體系。
1. 建設網絡安全框架
ISO 27001網絡安全框架是定義了信息安全管理系統(ISMS)最佳實踐的國際框架,可以有效幫助企業解決業務風險問題,并有效增強整體的網絡防護能力。
除此之外這里還有其他幾個網絡安全框架可供參考,比如國家標準和技術研究所的網絡安全框架(NIST CSF),它可以為企業那些降低或解決網絡安全風險的必要動作提供深度支持;互聯網安全中心(CIS)也發布過相關框架——關鍵安全控制,其總共包含了20項關鍵安全控制措施,分為關鍵建議和最佳實踐兩部分,可以有效幫助企業降低網絡攻擊成功的可能性。
2. 建立風險評估手冊/檢查清單
充分的貫徹風險評估機制,確保了公司在未來可能發生的互聯網攻擊中有所準備,而優秀的風險評估機制也需要經得起時間的考驗。
事實上,隨著軟件的更新,用戶的下載和卸載,企業的IT系統和網絡正在不斷發生各種變化。所有的這些都有可能成為新漏洞的滋生地,這些系統基本都會有這些變化,也要對新風險保持領先地位。
因此,在準備進行風險評估時,企業應該遵循以下幾個要點:
- 從廣義戰略上概述風險評估的范圍,包括任何重要的前期假設和預期性約束條件;
- 確定將要使用的具體的信息來源;
- 描述將要使用的風險計算和分析手段;
- 確保不會觸碰任何影響企業正常運轉的法律法規,因為每一項法規都有一套關于評估和報告的要求。
3. 利用威脅情報界定風險的優先級
威脅情報可以及時為企業提供目前最有可能影響業務發展的威脅信息,同時威脅情報還可以讓安全團隊對現有的風險評估框架進行關鍵性修改,防止新的網絡攻擊威脅對企業造成傷害。
對威脅情報信息進行收集、評估和調查,可以有效增強系統的安全性,也有助于信息團隊更快地作出應對網絡威脅的決策。在這個過程中比較依賴于數據,比如網絡攻擊組織的詳細信息,以及他們最新的攻擊策略,技術和程序 (TTPs),曾使用的攻擊向量,以及已知的危險指標。
4. 漏洞滲透性測試
想要真正保護企業免受網絡攻擊,參與者也需要像攻擊者一樣進行思考,具備攻擊者思維,以此預測和尋找企業業務存在的潛在漏洞。一些企業選擇使用漏洞掃描儀進行漏洞的篩查,但是這種自動化的掃描并不容易篩查出新出現的一些漏洞,也很難檢測出隱藏的比較深的BUG。此外,在處理大型基礎設施時漏洞掃描儀經常出現誤報的情況。
在尋找漏洞時,人類的創造力至關重要,這也是為什么很多公司越來越傾向于滲透測試的原因所在。滲透測試允許安全人員像“攻擊者”一樣進入并攻擊他們的系統和網絡,并以此獲得相應的漏洞。這些安全研究人員高度專業化,且全部都是在企業允許的情況下進行,不會對企業造成損傷。
定期進行滲透測試也是企業網絡風險管理的關鍵組成部分之一。
5. 合理化的工作=加強網絡安全投資回報率
網絡風險管理的優勢在于,在尋求完全實現網絡風險管理過程中,它能為組織提供區分防護性能差距和覆蓋范圍的能力。因此,IT和安全團隊應盡可能進行工具合理化,以更低的成本不斷增強網絡安全防護能力。
企業顯然應當定期設置相應的安全防護目標,然后系統性的評估當前的安全基礎設施,并與設置的安全目標進行比較。而企業的每一比在安全控制上的投入,都要實現組織預期的防御能力。在這個過程中,那些多余的、不適合企業風險管理的工具,可以在業務中逐步刪除、合并或重組。
參考來源:https://threatpost.com/tips-cybersecurity-risk-management/174968/
