在某种程度上,网络安全风险管理和健康医疗保险有一定的相似之处,如每项保险措施都提供了保护你和你周围免受各种经济损失(如医院),但我们相信许多保险条款的存在是为了减少各种损失的可能性(如预防性医疗保险)。
即使购买这些健康保险不能避免投保人遭受不幸,如果发生不幸事件,也可以为投保人提供保障和解决问题的途径。
网络安全风险管理也是如此。
在当前的商业环境中,企业拥有几种基本的网络安全策略变得越来越重要。无论是网络安全风险管理还是非常成熟,企业都应尽可能遵循这些策略,逐步加强网络安全保护体系。
1. 网络安全框架建设
ISO 27001网络安全框架定义了信息安全管理系统(ISMS)国际框架的最佳实践可以有效地帮助企业解决业务风险问题,有效地提高整体网络保护能力。
此外,还有其他网络安全框架可供参考,如国家标准和技术研究所网络安全框架(NIST CSF),它企业降低或解决网络安全风险的必要行动提供深入支持;互联网安全中心(CIS)相关框架也发布了——关键安全控制包括20项关键安全控制措施,分为关键建议和最佳实践,可有效帮助企业降低网络攻击成功的可能性。
2. 建立风险评估手册/检查清单
充分落实风险评估机制,确保公司为未来可能发生的互联网攻击做好准备,优秀的风险评估机制也需要经得起时间的考验。
事实上,随着软件的更新,用户的下载和卸载,企业的IT系统和网络不断变化。所有这些都可能成为新漏洞的滋生地。这些系统基本上都有这些变化,应该引领新风险。
因此,企业在准备风险评估时,应遵循以下几点:
- 从广义战略上概述风险评估的范围,包括任何重要的早期假设和预期约束;
- 确定要使用的具体信息来源;
- 描述风险计算和分析手段;
- 确保不会触碰任何影响企业正常运转的法律法规,因为每一项法规都有一套关于评估和报告的要求。
3. 利用威胁情报定义风险的优先级
威胁信息可以及时为企业提供最有可能影响业务发展的威胁信息。同时,威胁信息还可以让安全团队关键修改现有的风险评估框架,防止新的网络攻击威胁对企业造成伤害。
收集、评估和调查威胁信息可以有效地提高系统的安全性,并帮助信息团队更快地做出应对网络威胁的决定。在这个过程中,它更依赖于数据,如网络攻击组织的详细信息,以及他们最新的攻击策略、技术和程序 (TTPs),曾使用的攻击向量,以及已知的危险指标。
4. 漏洞渗透性试验
为了真正保护企业免受网络攻击,参与者还需要像攻击者一样思考,并有攻击者的思维来预测和发现企业业务的潜在漏洞。有些企业选择使用漏洞扫描仪进行漏洞筛选,但这种自动扫描不容易筛选出一些新的漏洞,也很难检测到隐藏的深度BUG。此外,漏洞扫描仪在处理大型基础设施时经常被误报。
人类的创造力在寻找漏洞时至关重要,这就是为什么许多公司越来越倾向于渗透测试。渗透测试允许安全人员看起来像“攻击者”进入并攻击他们的系统和网络,以获得相应的漏洞。这些安全研究人员非常专业,都是在企业允许的情况下进行的,不会对企业造成损害。
定期渗透测试也是企业网络风险管理的关键组成部分之一。
5. 合理化工作=加强网络安全投资回报率
网络风险管理的优理的过程中,网络风险管理的优势在于,它能够为组织提供区分保护性能差距和覆盖范围的能力。IT安全团队应尽可能合理化工具,以更低的成本不断提高网络安全防护能力。
显然,企业应定期设定相应的安全防护目标,然后系统地评估当前的安全基础设施,并与设定的安全目标进行比较。企业在安全控制方面的每一项投资都应实现组织的预期防御能力。在此过程中,不适合企业风险管理的多余工具可以在业务中逐步删除、合并或重组。
参考来源:https://threatpost.com/tips-cybersecurity-risk-management/174968/