某种程度上,网络安全风险管理和健康医疗保险有一定的相通之处,比如每一项保险措施都提供了保护你和身边免受各种经济损失(比如医院看病)的手段,但我们相信,不少保险条款的存在是为了减少各种损失发生的可能性(例如预防性医疗保险)。
即便购买这些健康保险并不能让投保人避免遭受不幸,但如果发生了不幸的事件,它却可以为投保人提供一份保障和解决问题的途径。
网络安全风险管理也是如此。
在当下的商业环境中,企业拥有有几个基础的网络安全策略正在变得越来越重要。无论是刚刚在做网络安全风险管理还是已经非常成熟,企业都应该尽可能遵循这些策略,逐步增强网络安全防护体系。
1、建设网络安全框架
ISO 27001网络安全框架是定义了信息安全管理系统(ISMS)最佳实践的国际框架,可以有效帮助企业解决业务风险问题,并有效增强整体的网络防护能力。
除此之外这里还有其他几个网络安全框架可供参考,比如国家标准和技术研究所的网络安全框架(NIST CSF),它可以为企业那些降低或解决网络安全风险的必要动作提供深度支持;互联网安全中心(CIS)也发布过相关框架——关键安全控制,其总共包含了20项关键安全控制措施,分为关键建议和最佳实践两部分,可以有效帮助企业降低网络攻击成功的可能性。
2、建立风险评估手册/检查清单
充分的贯彻风险评估机制,确保了公司在未来可能发生的互联网攻击中有所准备,而优秀的风险评估机制也需要经得起时间的考验。
事实上,随着软件的更新,用户的下载和卸载,企业的IT系统和网络正在不断发生各种变化。所有的这些都有可能成为新漏洞的滋生地,这些系统基本都会有这些变化,也要对新风险保持领先地位。
因此,在准备进行风险评估时,企业应该遵循以下几个要点:
从广义战略上概述风险评估的范围,包括任何重要的前期假设和预期性约束条件;
确定将要使用的具体的信息来源;
描述将要使用的风险计算和分析手段;
确保不会触碰任何影响企业正常运转的法律法规,因为每一项法规都有一套关于评估和报告的要求。
3、利用威胁情报界定风险的优先级
威胁情报可以及时为企业提供目前最有可能影响业务发展的威胁信息,同时威胁情报还可以让安全团队对现有的风险评估框架进行关键性修改,防止新的网络攻击威胁对企业造成伤害。
对威胁情报信息进行收集、评估和调查,可以有效增强系统的安全性,也有助于信息团队更快地作出应对网络威胁的决策。在这个过程中比较依赖于数据,比如网络攻击组织的详细信息,以及他们最新的攻击策略,技术和程序 (TTPs),曾使用的攻击向量,以及已知的危险指标。
4、漏洞渗透性测试
想要真正保护企业免受网络攻击,参与者也需要像攻击者一样进行思考,具备攻击者思维,以此预测和寻找企业业务存在的潜在漏洞。一些企业选择使用漏洞扫描仪进行漏洞的筛查,但是这种自动化的扫描并不容易筛查出新出现的一些漏洞,也很难检测出隐藏的比较深的BUG。此外,在处理大型基础设施时漏洞扫描仪经常出现误报的情况。
在寻找漏洞时,人类的创造力至关重要,这也是为什么很多公司越来越倾向于渗透测试的原因所在。渗透测试允许安全人员像“攻击者”一样进入并攻击他们的系统和网络,并以此获得相应的漏洞。这些安全研究人员高度专业化,且全部都是在企业允许的情况下进行,不会对企业造成损伤。
定期进行渗透测试也是企业网络风险管理的关键组成部分之一。
5、合理化的工作=加强网络安全投资回报率
网络风险管理的优势在于,在寻求完全实现网络风险管理过程中,它能为组织提供区分防护性能差距和覆盖范围的能力。因此,IT和安全团队应尽可能进行工具合理化,以更低的成本不断增强网络安全防护能力。
企业显然应当定期设置相应的安全防护目标,然后系统性的评估当前的安全基础设施,并与设置的安全目标进行比较。而企业的每一比在安全控制上的投入,都要实现组织预期的防御能力。在这个过程中,那些多余的、不适合企业风险管理的工具,可以在业务中逐步删除、合并或重组。