什么是網絡風險評估？ 

網絡風險評估是評估組織的威脅態勢、漏洞以及其領域中對公司資產構成風險的網絡漏洞的過程。網絡風險評估使公司能夠清楚地了解他們在網絡威脅環境中面臨的挑戰，并且是將網絡安全視為分層、多步驟操作的綜合風險管理方法的一部分。這是制定旨在保護組織、其數字資產、IT 服務和人力資本免受網絡威脅的安全計劃的關鍵的第一步。  

“網絡風險評估用于識別、估計和優先考慮因信息系統的運營和使用而對組織運營、資產、個人、其他組織和國家造成的網絡風險。” （NIST 風險評估指南）

網絡風險與信息、數據或系統的安全性、機密性、完整性或可用性的喪失有關，并反映了這些可能對組織產生的潛在不利影響。惡意行為者試圖利用網絡威脅，主要是為了經濟利益和吹噓的權利。 

為什么數字時代需要網絡風險評估服務？ 

數字化轉型帶來了一系列由組織采用的技術帶來的風險。其中包括第三方應用程序、大數據、物聯網、云服務、社交媒體資產和移動應用程序。企業對數字服務的使用越深入，遭受網絡威脅的風險就越高，對網絡風險評估服務的需求就越大。 

為什么要進行網絡風險評估？ 

網絡風險評估使公司能夠清楚地了解他們在網絡威脅環境中面臨的挑戰。全面的風險評估將涵蓋組織面臨的兩種網絡威脅： 

外部威脅 

這些是由組織外部的惡意行為者使用以下一種或多種黑客策略造成的：網絡釣魚、惡意軟件和勒索軟件。這些攻擊可能針對組織的任何安全域，包括遠程訪問、安全策略和程序、網絡級別、數據管理、服務器級別、端點、供應鏈或云安全。 

內部威脅  

這些是由組織內部人員或經批準訪問組織的人員造成的，例如員工和第三方供應商。這些威脅是糟糕的安全協議和安全培訓不足的結果，并且是由希望傷害組織的員工實施的，或者是那些只是作為進入公司的入口而不知道他們間接造成的傷害的員工所實施的。 

為什么網絡風險評估是必要的第一步？  

CRA 識別公司面臨的外部和內部網絡威脅。只有當一家公司能夠充分了解其威脅態勢后，才能設計出應對威脅的安全計劃。全面的網絡風險評估不僅概述了公司面臨的網絡風險，還允許安全團隊根據嚴重程度對風險進行優先排序，使他們能夠首先將注意力和資源用于最緊迫的威脅。  

何時進行網絡風險評估 

網絡風險評估不是一旦完成就可以擱置的一次性項目。如果公司要保持他們在第一次 CRA 后取得的安全改進，他們將需要定期執行這些評估，以了解威脅形勢發生了什么變化，并相應地修改他們的安全計劃。  

“風險評估和風險管理不是一次性的，而是作為 一個循環重復的連續過程，即識別風險、制定解決這些風險的計劃、根據 這些計劃采取行動以及監測行動結果。” （SANS 研究所白皮書：安全項目管理和風險）  

誰來執行網絡風險評估？ 

安全提供商可能會提供不同的方法來進行網絡風險評估，方法從關注攻擊向量到威脅建模不等。無論安全團隊采用何種方法，網絡風險評估最終都應涵蓋組織的整個攻擊面。  

CRA 可以由內部安全團隊執行，也可以外包給第三方安全提供商。這將取決于組織的規模、安全團隊的規模、專業水平、預算以及監管方面的考慮，例如需要外部方執行 CRA。 

全面網絡風險評估的5個步驟 

我們相信詳細的增量方法可以提供最高級別的可見性和監控。基于這種方法，網絡風險評估可以大致分為五個步驟： 

1.了解組織現有的安全計劃 

通過對 IT 和管理層的問卷調查和訪談，評估團隊將了解公司必須保護的關鍵業務資產，以及公司目前用于保護機密數據的安全措施、流程、程序和合規要求、知識產權、領域和場所。   

2.定義公司的威脅 

在此階段，評估團隊將收集有關公司威脅態勢的信息，并估計這些威脅影響組織的可能性。為了全面了解公司面臨的威脅，評估團隊將調查所有可能想要攻擊公司的威脅行為者，包括國家支持的行為者、勒索軟件團伙、支付信息后的犯罪分子以及企圖竊取的競爭對手知識產權。 

3. 識別公司漏洞和攻擊路徑 

在評估的這個階段，團隊將結合其獲得的關于公司必須保護的資產的知識，以及它發現的漏洞，并確定每個漏洞如何導致攻擊者進入組織并通過其系統到達關鍵業務資產。然后，評估團隊將建議繪制這些攻擊路線，以便組織可以清楚地了解每個漏洞可能如何影響每個關鍵資產，以及阻止每個攻擊路線將如何幫助保護這些資產。 

在選擇網絡風險評估提供商時，公司應詢問提供商的映射解決方案，以確保此可視化過程是評估的一部分。

4. 可視化攻擊的后果 

在繪制出組織的威脅態勢并且評估團隊清楚地了解公司的安全計劃之后，是時候將兩者放在一起來估計公司將如何處理攻擊了。這是評估的關鍵部分，因為它讓安全領導者和管理層盡可能準確地了解他們現有安全計劃的有效性，以及攻擊的潛在后果（包括收入損失、對正在進行的業務的損害、聲譽損壞、私人數據丟失、知識產權丟失）。 

5. 確定緩解計劃 

我們討論了網絡風險評估如何根據最相關的威脅與組織最寶貴的資產的關系以及它們被攻擊的可能性來確定最相關的威脅。然而，安全團隊仍然需要知道要緩解什么以及首先要處理哪些威脅。 

在此階段，優先級排序過程用于幫助安全團隊充實緩解計劃，該計劃根據嚴重性首先傾向于最關鍵的漏洞。 

組建網絡風險評估團隊 

全面的網絡風險評估包括由受過定位漏洞和攻擊路線培訓的安全專家進行的多項檢查和分析過程。獲勝的網絡風險評估團隊將包括紅隊和藍隊、網絡威脅情報分析師、威脅獵手和漏洞檢查員，以及能夠獲取這些數據并將其轉化為可量化指標的分析師。 

網絡風險評估的結果應提供一個框架，公司可以在此框架上推進網絡風險量化過程，在該過程中，發現的風險與業務指標相關聯，從而為風險分配貨幣價值。  

網絡風險評估可以做什么？ 

網絡風險評估可以發現大量漏洞和網絡漏洞，這些漏洞和漏洞存在于組織的不同部分，跨越多個安全領域，并且嚴重程度各不相同。  選擇網絡風險評估提供商時，重要的是要考慮多種因素，包括： 

• 可視化和演示 
• 緩解計劃和跟蹤 
• 成本敏感的修復計劃  
• 風險量化能力 
• 動態且可調整以適應不斷變化的威脅形勢  
• 敏捷性和可擴展性潛力 

網絡風險評估的未來 

根據Gartner關于IT和網絡安全的最新報告，到2025年，受監管行業中超過60%的組織將采用專門的安全風險管理，其中網絡風險評估是第一步。  

我們已經公布了關于如何在 2023 年進行網絡風險評估的提示，并將隨著安全形勢的變化和市場上新威脅的出現而繼續更新這些提示。無論新玩家進入競技場，無論他們帶來什么威脅，風險評估流程都將繼續定位并優先考慮組織面臨的風險。