網(wǎng)絡(luò)風(fēng)險評估是什么以及為什么需要
什么是網(wǎng)絡(luò)風(fēng)險評估?
網(wǎng)絡(luò)風(fēng)險評估是評估組織的威脅態(tài)勢、漏洞以及其領(lǐng)域中對公司資產(chǎn)構(gòu)成風(fēng)險的網(wǎng)絡(luò)漏洞的過程。網(wǎng)絡(luò)風(fēng)險評估使公司能夠清楚地了解他們在網(wǎng)絡(luò)威脅環(huán)境中面臨的挑戰(zhàn),并且是將網(wǎng)絡(luò)安全視為分層、多步驟操作的綜合風(fēng)險管理方法的一部分。這是制定旨在保護組織、其數(shù)字資產(chǎn)、IT 服務(wù)和人力資本免受網(wǎng)絡(luò)威脅的安全計劃的關(guān)鍵的第一步。
“網(wǎng)絡(luò)風(fēng)險評估用于識別、估計和優(yōu)先考慮因信息系統(tǒng)的運營和使用而對組織運營、資產(chǎn)、個人、其他組織和國家造成的網(wǎng)絡(luò)風(fēng)險。” (NIST 風(fēng)險評估指南)
網(wǎng)絡(luò)風(fēng)險與信息、數(shù)據(jù)或系統(tǒng)的安全性、機密性、完整性或可用性的喪失有關(guān),并反映了這些可能對組織產(chǎn)生的潛在不利影響。惡意行為者試圖利用網(wǎng)絡(luò)威脅,主要是為了經(jīng)濟利益和吹噓的權(quán)利。
為什么數(shù)字時代需要網(wǎng)絡(luò)風(fēng)險評估服務(wù)?
數(shù)字化轉(zhuǎn)型帶來了一系列由組織采用的技術(shù)帶來的風(fēng)險。其中包括第三方應(yīng)用程序、大數(shù)據(jù)、物聯(lián)網(wǎng)、云服務(wù)、社交媒體資產(chǎn)和移動應(yīng)用程序。企業(yè)對數(shù)字服務(wù)的使用越深入,遭受網(wǎng)絡(luò)威脅的風(fēng)險就越高,對網(wǎng)絡(luò)風(fēng)險評估服務(wù)的需求就越大。
為什么要進行網(wǎng)絡(luò)風(fēng)險評估?
網(wǎng)絡(luò)風(fēng)險評估使公司能夠清楚地了解他們在網(wǎng)絡(luò)威脅環(huán)境中面臨的挑戰(zhàn)。全面的風(fēng)險評估將涵蓋組織面臨的兩種網(wǎng)絡(luò)威脅:
外部威脅
這些是由組織外部的惡意行為者使用以下一種或多種黑客策略造成的:網(wǎng)絡(luò)釣魚、惡意軟件和勒索軟件。這些攻擊可能針對組織的任何安全域,包括遠程訪問、安全策略和程序、網(wǎng)絡(luò)級別、數(shù)據(jù)管理、服務(wù)器級別、端點、供應(yīng)鏈或云安全。
內(nèi)部威脅
這些是由組織內(nèi)部人員或經(jīng)批準訪問組織的人員造成的,例如員工和第三方供應(yīng)商。這些威脅是糟糕的安全協(xié)議和安全培訓(xùn)不足的結(jié)果,并且是由希望傷害組織的員工實施的,或者是那些只是作為進入公司的入口而不知道他們間接造成的傷害的員工所實施的。
為什么網(wǎng)絡(luò)風(fēng)險評估是必要的第一步?
CRA 識別公司面臨的外部和內(nèi)部網(wǎng)絡(luò)威脅。只有當一家公司能夠充分了解其威脅態(tài)勢后,才能設(shè)計出應(yīng)對威脅的安全計劃。全面的網(wǎng)絡(luò)風(fēng)險評估不僅概述了公司面臨的網(wǎng)絡(luò)風(fēng)險,還允許安全團隊根據(jù)嚴重程度對風(fēng)險進行優(yōu)先排序,使他們能夠首先將注意力和資源用于最緊迫的威脅。
何時進行網(wǎng)絡(luò)風(fēng)險評估
網(wǎng)絡(luò)風(fēng)險評估不是一旦完成就可以擱置的一次性項目。如果公司要保持他們在第一次 CRA 后取得的安全改進,他們將需要定期執(zhí)行這些評估,以了解威脅形勢發(fā)生了什么變化,并相應(yīng)地修改他們的安全計劃。
“風(fēng)險評估和風(fēng)險管理不是一次性的,而是作為 一個循環(huán)重復(fù)的連續(xù)過程,即識別風(fēng)險、制定解決這些風(fēng)險的計劃、根據(jù) 這些計劃采取行動以及監(jiān)測行動結(jié)果。” (SANS 研究所白皮書:安全項目管理和風(fēng)險)
誰來執(zhí)行網(wǎng)絡(luò)風(fēng)險評估?
安全提供商可能會提供不同的方法來進行網(wǎng)絡(luò)風(fēng)險評估,方法從關(guān)注攻擊向量到威脅建模不等。無論安全團隊采用何種方法,網(wǎng)絡(luò)風(fēng)險評估最終都應(yīng)涵蓋組織的整個攻擊面。
CRA 可以由內(nèi)部安全團隊執(zhí)行,也可以外包給第三方安全提供商。這將取決于組織的規(guī)模、安全團隊的規(guī)模、專業(yè)水平、預(yù)算以及監(jiān)管方面的考慮,例如需要外部方執(zhí)行 CRA。
全面網(wǎng)絡(luò)風(fēng)險評估的5個步驟
我們相信詳細的增量方法可以提供最高級別的可見性和監(jiān)控。基于這種方法,網(wǎng)絡(luò)風(fēng)險評估可以大致分為五個步驟:
1.了解組織現(xiàn)有的安全計劃
通過對 IT 和管理層的問卷調(diào)查和訪談,評估團隊將了解公司必須保護的關(guān)鍵業(yè)務(wù)資產(chǎn),以及公司目前用于保護機密數(shù)據(jù)的安全措施、流程、程序和合規(guī)要求、知識產(chǎn)權(quán)、領(lǐng)域和場所。
2.定義公司的威脅
在此階段,評估團隊將收集有關(guān)公司威脅態(tài)勢的信息,并估計這些威脅影響組織的可能性。為了全面了解公司面臨的威脅,評估團隊將調(diào)查所有可能想要攻擊公司的威脅行為者,包括國家支持的行為者、勒索軟件團伙、支付信息后的犯罪分子以及企圖竊取的競爭對手知識產(chǎn)權(quán)。
3. 識別公司漏洞和攻擊路徑
在評估的這個階段,團隊將結(jié)合其獲得的關(guān)于公司必須保護的資產(chǎn)的知識,以及它發(fā)現(xiàn)的漏洞,并確定每個漏洞如何導(dǎo)致攻擊者進入組織并通過其系統(tǒng)到達關(guān)鍵業(yè)務(wù)資產(chǎn)。然后,評估團隊將建議繪制這些攻擊路線,以便組織可以清楚地了解每個漏洞可能如何影響每個關(guān)鍵資產(chǎn),以及阻止每個攻擊路線將如何幫助保護這些資產(chǎn)。
在選擇網(wǎng)絡(luò)風(fēng)險評估提供商時,公司應(yīng)詢問提供商的映射解決方案,以確保此可視化過程是評估的一部分。
4. 可視化攻擊的后果
在繪制出組織的威脅態(tài)勢并且評估團隊清楚地了解公司的安全計劃之后,是時候?qū)烧叻旁谝黄饋砉烙嫻緦⑷绾翁幚砉袅恕_@是評估的關(guān)鍵部分,因為它讓安全領(lǐng)導(dǎo)者和管理層盡可能準確地了解他們現(xiàn)有安全計劃的有效性,以及攻擊的潛在后果(包括收入損失、對正在進行的業(yè)務(wù)的損害、聲譽損壞、私人數(shù)據(jù)丟失、知識產(chǎn)權(quán)丟失)。
5. 確定緩解計劃
我們討論了網(wǎng)絡(luò)風(fēng)險評估如何根據(jù)最相關(guān)的威脅與組織最寶貴的資產(chǎn)的關(guān)系以及它們被攻擊的可能性來確定最相關(guān)的威脅。然而,安全團隊仍然需要知道要緩解什么以及首先要處理哪些威脅。
在此階段,優(yōu)先級排序過程用于幫助安全團隊充實緩解計劃,該計劃根據(jù)嚴重性首先傾向于最關(guān)鍵的漏洞。
組建網(wǎng)絡(luò)風(fēng)險評估團隊
全面的網(wǎng)絡(luò)風(fēng)險評估包括由受過定位漏洞和攻擊路線培訓(xùn)的安全專家進行的多項檢查和分析過程。獲勝的網(wǎng)絡(luò)風(fēng)險評估團隊將包括紅隊和藍隊、網(wǎng)絡(luò)威脅情報分析師、威脅獵手和漏洞檢查員,以及能夠獲取這些數(shù)據(jù)并將其轉(zhuǎn)化為可量化指標的分析師。
網(wǎng)絡(luò)風(fēng)險評估的結(jié)果應(yīng)提供一個框架,公司可以在此框架上推進網(wǎng)絡(luò)風(fēng)險量化過程,在該過程中,發(fā)現(xiàn)的風(fēng)險與業(yè)務(wù)指標相關(guān)聯(lián),從而為風(fēng)險分配貨幣價值。
網(wǎng)絡(luò)風(fēng)險評估可以做什么?
網(wǎng)絡(luò)風(fēng)險評估可以發(fā)現(xiàn)大量漏洞和網(wǎng)絡(luò)漏洞,這些漏洞和漏洞存在于組織的不同部分,跨越多個安全領(lǐng)域,并且嚴重程度各不相同。 選擇網(wǎng)絡(luò)風(fēng)險評估提供商時,重要的是要考慮多種因素,包括:
- 可視化和演示
- 緩解計劃和跟蹤
- 成本敏感的修復(fù)計劃
- 風(fēng)險量化能力
- 動態(tài)且可調(diào)整以適應(yīng)不斷變化的威脅形勢
- 敏捷性和可擴展性潛力
網(wǎng)絡(luò)風(fēng)險評估的未來
根據(jù)Gartner關(guān)于IT和網(wǎng)絡(luò)安全的最新報告,到2025年,受監(jiān)管行業(yè)中超過60%的組織將采用專門的安全風(fēng)險管理,其中網(wǎng)絡(luò)風(fēng)險評估是第一步。
我們已經(jīng)公布了關(guān)于如何在 2023 年進行網(wǎng)絡(luò)風(fēng)險評估的提示,并將隨著安全形勢的變化和市場上新威脅的出現(xiàn)而繼續(xù)更新這些提示。無論新玩家進入競技場,無論他們帶來什么威脅,風(fēng)險評估流程都將繼續(xù)定位并優(yōu)先考慮組織面臨的風(fēng)險。
