美國國家標準與技術研究院(NIST)制定了網絡安全框架，作為一套指導方針，提供了組織可以在其網絡安全工作中使用的結果。NIST分類包括識別、保護、檢測、響應和恢復。

Pondurance公司是一家管理檢測和響應服務提供商，擁有全天候安全運營中心，其服務線與這五個類別保持一致。這樣，組織就可以很容易地了解服務線可以做什么，以及Pondurance公司如何圍繞它們開發一個整體計劃。Pondurance認為，您的網絡安全方法應該與組織的目標、結果和風險保持一致，使基于風險的網絡安全方法成為防范網絡威脅的最佳策略。

在最近的一次網絡研討會上，Pondurance公司首席信息安全官兼服務副總裁DustinHutchison討論了Pondurance基于風險的網絡安全方法。基于風險的方法側重于組織的特定網絡風險，并考慮組織想要實現的目標和需要保護的內容。他定義了術語，并討論了五個類別中每個類別所涉及的步驟。他回顧Dustin對識別類別的解釋，其中包括對資產和風險進行優先級排序。

優先級資產

為了防止網絡攻擊，組織需要識別其每個數字資產。畢竟，在保護這些資產免受網絡攻擊之前，組織必須知道它擁有哪些資產。特別是必須了解IT庫存，對資產進行分類，并知道關鍵數據所在的位置。

• IT庫存包括對所有與互聯網連接的設備、端點、日志、網絡、軟件應用程序、云計算等進行核算，這可能是一項艱巨的任務，特別是對于收集和存儲大量敏感數據的大型組織而言。隨著近年來攻擊面的擴大，系統中可能存在的漏洞或弱點的數量也在增加。因此，您的組織必須識別每個設備，以便準確地了解可能存在的任何漏洞。
• 資產分類，包括信息的機密性、完整性和可用性(CIA)，是由數據的敏感性和暴露的數據在發生攻擊時對網絡的潛在影響決定的。Dustin定義了這些資產分類術語，并解釋了Pondurance公司如何幫助對組織的數據進行分類。
• 了解關鍵數據的位置很重要，因為這是威脅行為者最終想要利用的。您的組織必須知道任何個人身份信息、受保護的健康信息、IP信息和其他關鍵數據在系統中的位置，以確保其免受網絡攻擊。

風險進行優先排序

一旦您的組織對資產進行了優先級排序，您將需要對風險進行優先級排序。沒有一家公司可以消除所有的風險，但你可以專注于減少風險的地方。問問你自己，你的組織愿意承擔什么樣的風險，什么樣的風險會給你的組織帶來最大的風險，什么樣的風險需要最多的保護。

為了定義風險，Dustin使用了“風險=可能性x影響”的公式，這意味著風險的變化取決于攻擊發生時的可能性和影響程度。風險可以通過對安全、收入、聲譽、法規遵從性和其他因素的影響來衡量。然而，并非所有的風險都是平等的。達斯汀用一個醫院的例子來說明，在不同的情況下，風險什么時候高，當對病人的潛在影響更大時，風險就會增加。

在對風險進行優先級排序時，執行風險評估是在威脅參與者之前主動發現漏洞和弱點的最佳方法。Pondurance使用風險評估和網絡風險管理工具(如MyCyberScorecard)來準確衡量和優先考慮風險。風險評估分析您的整個網絡，以確定組織容易受到攻擊的地方。達斯汀強調，一個組織永遠不可能只做一次風險評估，因為不幸的是，網絡環境在不斷發展和變化。新的風險總是存在的。

在考慮了所有網絡風險的優先級之后，Pondurance可以繼續與組織合作，按照重要性對風險進行排序，首先預防當前問題，然后提供持續的解決方案。這個排名提供了一個指導方針，說明如何向前推進，并就在何處分配資源以獲得最大效果做出明智的決定。

結論

基于風險的方法使組織的網絡安全工作與其目標、結果和風險保持一致，以提供可用于抵御網絡威脅的最佳策略。識別資產和風險并對其進行優先排序是該策略的第一步。