隨著現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型的深入，各種網(wǎng)絡(luò)安全威脅的數(shù)量和復(fù)雜度也在快速提升。這些威脅帶來(lái)了多方面的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，包括網(wǎng)絡(luò)安全、法律合規(guī)、隱私保護(hù)、業(yè)務(wù)連續(xù)性和財(cái)務(wù)影響等。因此，企業(yè)網(wǎng)絡(luò)安全建設(shè)從傳統(tǒng)的安全優(yōu)先轉(zhuǎn)向風(fēng)險(xiǎn)優(yōu)先的新模式勢(shì)在必行。

風(fēng)險(xiǎn)優(yōu)先的價(jià)值

為了充分理解風(fēng)險(xiǎn)優(yōu)先的價(jià)值和優(yōu)點(diǎn)，我們有必要首先分析傳統(tǒng)安全優(yōu)先方法的局限性。安全確實(shí)很重要，但它只是組織整體風(fēng)險(xiǎn)生態(tài)中的一個(gè)方面。如果企業(yè)只關(guān)注網(wǎng)絡(luò)安全問(wèn)題，可能會(huì)掩蓋很多同樣重要的風(fēng)險(xiǎn)考量因素。

雖然部署防火墻、IPS以及密碼等傳統(tǒng)戰(zhàn)術(shù)性安全措施對(duì)保障企業(yè)的數(shù)字業(yè)務(wù)開(kāi)展非常重要，但它們并不能消除所有風(fēng)險(xiǎn)。而且研究數(shù)據(jù)顯示，那些僅面向已知威脅的被動(dòng)安全方法會(huì)使組織更容易受到新興風(fēng)險(xiǎn)的威脅。此外，一味固守以安全為中心的建設(shè)理念往往會(huì)阻礙組織的靈活性和變通性，并忽視了很多非技術(shù)性的網(wǎng)絡(luò)風(fēng)險(xiǎn)，比如一些違規(guī)的行為和人為性的錯(cuò)誤。

相比之下，風(fēng)險(xiǎn)優(yōu)先的安全策略是指從企業(yè)整體業(yè)務(wù)風(fēng)險(xiǎn)管理的角度，運(yùn)用科學(xué)的手段，系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性。通過(guò)開(kāi)展風(fēng)險(xiǎn)評(píng)估，企業(yè)組織可以對(duì)重要信息系統(tǒng)所面臨的信息安全風(fēng)險(xiǎn)進(jìn)行主動(dòng)式發(fā)現(xiàn)和分析，并對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)中的薄弱環(huán)節(jié)進(jìn)行優(yōu)先處理和加固。這樣可以更有效地提升企業(yè)網(wǎng)絡(luò)安全防護(hù)水平，增強(qiáng)數(shù)字化發(fā)展的彈性。

安全事件的發(fā)生是有概率的，企業(yè)不能只根據(jù)安全威脅的發(fā)現(xiàn)時(shí)間和可能后果，便決定網(wǎng)絡(luò)安全的投入和安全措施的強(qiáng)度。對(duì)于一些被實(shí)際利用的概率極低的安全風(fēng)險(xiǎn)，即使其具有比較嚴(yán)重的爆發(fā)后果，也不需要不計(jì)代價(jià)地進(jìn)行修復(fù)處置。企業(yè)在開(kāi)展風(fēng)險(xiǎn)優(yōu)先的安全防護(hù)工作中，必須堅(jiān)持綜合考慮安全事件的后果影響及其可利用性的評(píng)價(jià)原則，從不同的視角洞察風(fēng)險(xiǎn)，并將有限的資源優(yōu)先用于保護(hù)關(guān)鍵性資產(chǎn)和高危漏洞，避免浪費(fèi)開(kāi)支。

風(fēng)險(xiǎn)優(yōu)先的關(guān)鍵要素

構(gòu)建風(fēng)險(xiǎn)優(yōu)先的網(wǎng)絡(luò)安全防護(hù)模式會(huì)涉及資產(chǎn)、威脅、脆弱性等許多基礎(chǔ)性要素，每個(gè)要素都有各自的要求和屬性。為了保障建設(shè)工作實(shí)現(xiàn)預(yù)定的目標(biāo)，企業(yè)應(yīng)該做好以下方面的準(zhǔn)備：

01、確定風(fēng)險(xiǎn)評(píng)估的范圍

一般情況下，風(fēng)險(xiǎn)防護(hù)的范圍需要覆蓋整個(gè)組織，但這樣也會(huì)讓風(fēng)險(xiǎn)評(píng)估工作過(guò)于繁重。因此，可以先從某些業(yè)務(wù)部門(mén)、場(chǎng)所或公司的特定領(lǐng)域開(kāi)始實(shí)施。在進(jìn)行風(fēng)險(xiǎn)評(píng)估之前，為了更好地指導(dǎo)組織有條不紊地評(píng)估數(shù)字安全風(fēng)險(xiǎn)，確保緩解控制措施適當(dāng)且有效，安全人員應(yīng)當(dāng)充分依據(jù)ISO/IEC 27001標(biāo)準(zhǔn)和NIST SP 800-37等主流安全框架的要求。

02、識(shí)別信息資產(chǎn)

構(gòu)建風(fēng)險(xiǎn)優(yōu)先的網(wǎng)絡(luò)安全防護(hù)模式，需要明確知道應(yīng)該保護(hù)的對(duì)象是誰(shuí)，因此，評(píng)估團(tuán)隊(duì)?wèi)?yīng)該識(shí)別并清點(diǎn)風(fēng)險(xiǎn)評(píng)估范圍內(nèi)的所有包括軟件和硬件在內(nèi)的信息資產(chǎn)。對(duì)業(yè)務(wù)至關(guān)重要的資產(chǎn)不僅是識(shí)別和清點(diǎn)的重點(diǎn)，也同樣是攻擊者的主要目標(biāo)，所以需要在資產(chǎn)識(shí)別的基礎(chǔ)上，盡可能做好系統(tǒng)威脅暴露面的管理。

03、了解威脅利用方法

威脅利用方法是指攻擊者可能使用的攻擊策略、技術(shù)和方法。為了幫助識(shí)別各項(xiàng)信息資產(chǎn)可能存在的威脅隱患，企業(yè)安全團(tuán)隊(duì)可以使用MITRE ATT&CK之類(lèi)的威脅知識(shí)庫(kù)，直觀地呈現(xiàn)典型攻擊的各種階段和目標(biāo)，這樣有助于確定他們需要的保護(hù)類(lèi)型。

04、分析潛在風(fēng)險(xiǎn)

分析潛在風(fēng)險(xiǎn)是為了評(píng)估風(fēng)險(xiǎn)場(chǎng)景實(shí)際發(fā)生的可能性，以及一旦發(fā)生后對(duì)組織造成的影響。其中，風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性取決于威脅和漏洞的可發(fā)現(xiàn)性、可利用性和可再現(xiàn)性，而影響是指威脅利用漏洞的后果對(duì)組織造成的危害程度，應(yīng)在每個(gè)場(chǎng)景中評(píng)估對(duì)機(jī)密性、完整性和可用性造成的影響。由于潛在風(fēng)險(xiǎn)分析在本質(zhì)上是非常主觀的，因此對(duì)分析師的專(zhuān)業(yè)度和經(jīng)驗(yàn)積累要求會(huì)非常高。

05、優(yōu)先級(jí)評(píng)估

為了確保安全風(fēng)險(xiǎn)程度是可控的，企業(yè)可以通過(guò)使用風(fēng)險(xiǎn)矩陣(風(fēng)險(xiǎn)級(jí)別為“可能性乘以影響”)對(duì)每個(gè)風(fēng)險(xiǎn)場(chǎng)景進(jìn)行評(píng)估和分類(lèi)，任何高于企業(yè)風(fēng)險(xiǎn)容忍程度的威脅場(chǎng)景都應(yīng)優(yōu)先被處理。

06、持續(xù)發(fā)現(xiàn)風(fēng)險(xiǎn)

隨著新威脅層出不窮，新的系統(tǒng)或活動(dòng)不斷引入，安全風(fēng)險(xiǎn)評(píng)估需要重復(fù)進(jìn)行。因此，需要在每一次的評(píng)估工作中，做好可為未來(lái)的評(píng)估提供可重復(fù)的流程和模板。同時(shí)，對(duì)所有已識(shí)別的風(fēng)險(xiǎn)場(chǎng)景需要詳細(xì)記錄，并保持定期審查和更新。

實(shí)施風(fēng)險(xiǎn)優(yōu)先的最佳實(shí)踐

轉(zhuǎn)向風(fēng)險(xiǎn)優(yōu)先的網(wǎng)絡(luò)安全防護(hù)模式可以幫助企業(yè)組織從容應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全環(huán)境。不過(guò)在實(shí)施這種方法時(shí)，企業(yè)需要統(tǒng)一整合不同部門(mén)的防護(hù)理念、想法、流程和技術(shù)。以下實(shí)踐經(jīng)驗(yàn)可以幫助企業(yè)更好地開(kāi)展相關(guān)工作。

1、利用定量與定性結(jié)合的評(píng)估方法：定性風(fēng)險(xiǎn)評(píng)估對(duì)于識(shí)別威脅趨勢(shì)以及了解關(guān)鍵的風(fēng)險(xiǎn)因素必不可少。然而，定性評(píng)估方法具有一定的主觀性，而定量評(píng)估方法能夠識(shí)別關(guān)鍵性的風(fēng)險(xiǎn)因子和其中的高風(fēng)險(xiǎn)因素，幫助組織準(zhǔn)確深入地了解整體風(fēng)險(xiǎn)態(tài)勢(shì)和威脅程度。通過(guò)將定量分析與定性分析相結(jié)合，組織能夠從宏觀和微觀層面全面了解風(fēng)險(xiǎn)，有利于進(jìn)行科學(xué)的安全決策和資源分配。

2、結(jié)合游戲化風(fēng)險(xiǎn)管理技術(shù)：為了鼓勵(lì)所有團(tuán)隊(duì)成員積極參與，組織可以在風(fēng)險(xiǎn)管理流程中結(jié)合游戲化技術(shù)。比如說(shuō)，通過(guò)鼓勵(lì)合理競(jìng)爭(zhēng)，各部門(mén)可以基于風(fēng)險(xiǎn)管理績(jī)效進(jìn)行競(jìng)爭(zhēng)，采用績(jī)效評(píng)分機(jī)制，并設(shè)置團(tuán)隊(duì)禮品卡或代金券等獎(jiǎng)勵(lì)措施，這樣可以激勵(lì)員工做好風(fēng)險(xiǎn)管理工作，從而提高組織的整體安全彈性。

3、基于影響確定風(fēng)險(xiǎn)優(yōu)先級(jí)：在主流的風(fēng)險(xiǎn)管理框架中，都會(huì)強(qiáng)調(diào)基于潛在的風(fēng)險(xiǎn)影響和可能性來(lái)確定風(fēng)險(xiǎn)管控的優(yōu)先級(jí)，這一點(diǎn)非常重要。組織可以使用定量評(píng)分系統(tǒng)，將風(fēng)險(xiǎn)分為高、中、低這三類(lèi)優(yōu)先級(jí)。這使組織能夠有效地分配資源，并集中精力處理對(duì)組織業(yè)務(wù)發(fā)展目標(biāo)構(gòu)成重大威脅的關(guān)鍵風(fēng)險(xiǎn)。

4、提前制定風(fēng)險(xiǎn)緩解計(jì)劃：一旦識(shí)別了風(fēng)險(xiǎn)并確定了優(yōu)先級(jí)，組織應(yīng)制定一份全面的風(fēng)險(xiǎn)緩解計(jì)劃。該策略應(yīng)該概述具體行動(dòng)、控制措施、預(yù)防措施、定期評(píng)估和應(yīng)急計(jì)劃，以盡量減小可能造成的影響。如果遵循這種井然有序的方法，組織可以主動(dòng)處理潛在的威脅，減少漏洞，面對(duì)威脅做到防患未然。

5、持續(xù)的自動(dòng)化監(jiān)測(cè)：為了實(shí)現(xiàn)可連續(xù)的風(fēng)險(xiǎn)監(jiān)測(cè)和評(píng)估，自動(dòng)化技術(shù)在確保有效的風(fēng)險(xiǎn)管理中將起到關(guān)鍵性作用。通過(guò)部署應(yīng)用自動(dòng)化技術(shù)，組織就可以及時(shí)了解新興風(fēng)險(xiǎn)，并相應(yīng)地調(diào)整處置措施。企業(yè)應(yīng)該將風(fēng)險(xiǎn)優(yōu)先的安全防護(hù)策略與不斷變化的業(yè)務(wù)環(huán)境保持一致，這樣組織才能夠采取主動(dòng)而靈活的方法來(lái)規(guī)避風(fēng)險(xiǎn)。

參考鏈接：https://www.darkreading.com/risk/5-best-practices-for-implementing-risk-first-cybersecurity

原文來(lái)源：安全牛