在探讨网络安全议题时,人们通常会思考“如何自我保护”,以应对网络威胁和攻击。
核心问题是如何确保安全,以及当情况恶化时应采取什么措施。 但人们如何知道自己会成为攻击目标? 他们会因为哪些原因受到攻击? 网络攻击事件发生后,组织需要投入多少成本才能恢复正常运作?
网络安全风险评估能够解答上述所有疑问。 因此,风险评估是制定网络安全策略时至关重要的一环。
什么是网络安全风险评估?
网络安全风险评估是一个帮助组织将其网络安全计划与业务目标相协调的过程。 它有助于更深入地理解目标,并评估维持运营所需的可用/必要资产。
该评估报告将在技术层面涵盖组织网络安全工作的方方面面,并能增强组织的网络弹性。
从潜在威胁到资产价值和保险范围,所有这些信息都有助于利益相关者和管理层在面临网络攻击风险时,或在事件发生后,做出明智的决策。
风险评估在网络安全中的重要性
通过风险评估,您可以了解威胁态势,包括遭受攻击的可能性、恶意行为者可能针对您组织的潜在目标及其可能造成的损害。
您不仅限于了解针对您组织的威胁类型,还应了解这些威胁可能带来的影响以及它们将如何影响组织。
因此,风险评估能够让您全面了解,当您的企业遭受成功的网络攻击时,您可以采取哪些应对措施。
换句话说,网络安全风险评估使您能够认识到与网络攻击相关的风险程度。 这有助于组织及其利益相关者,以及任何负责的同事做好准备,将风险降到最低,并制定完善的应对计划。
风险评估的类型
尽管网络安全风险评估的步骤在很大程度上是统一的,但评估的类型有所不同。
评估类型会告诉您组织在评估其业务安全需求时,究竟侧重于哪些方面。
#1. 通用评估
通用评估基于问卷形式,主要涵盖一些简单但有效的措施,以降低安全风险。
例如,密码策略的执行情况、所部署的防火墙类型、定期安全补丁的安装以及身份验证/加密策略等。
虽然这种评估方法简单且直接,但它可能不适合所有类型的组织。 它可能更适合资产有限且数据敏感度较低的组织。
#2. 定性风险评估
定性风险评估可能带有一定的主观性,因为它取决于审查和检查背景的个人或团队,通过讨论来评估诸如数据泄露和财务风险等问题。
它不侧重于特定报告,而更像是为组织高层人士举行的“头脑风暴”会议。
#3. 定量风险评估
定量评估则侧重于数据和分析,通过计算来评估风险。
这种评估方法适用于那些财务风险较高、数据资产规模较大、价值较高的组织。
#4. 特定地点的风险评估
特定地点的风险评估仅关注单一用例。 无论是组织内的某个部门还是特定地点,都可以考虑针对特定领域进行此类评估。
它只评估特定的网络、技术以及类似的静态事物,不适用于组织的其它部分。
#5. 动态风险评估
动态风险评估则侧重于实时变化的风险。
为了使其有效,组织必须在威胁/攻击发生时进行监控和处理。
执行网络安全风险评估的步骤
执行评估的步骤取决于组织本身及其执行评估所需的资源。
虽然大体相同,但不同的组织可能会进行一些调整。 例如,步骤的数量,以及如何对每个步骤进行分类和确定优先级。
在这里,我们将讨论九个步骤,它们涵盖了所有重要细节,应有助于您正确地进行网络安全风险评估。
#1. 识别您的资产
识别组织中的资产至关重要,而且应作为首要任务。
资产可以包括硬件(如笔记本电脑、手机、USB 驱动器)、软件(免费或授权许可)、文件、PDF 文档、电力基础设施,以及纸质文档等其他资产。
有时,您可能需要将组织依赖的在线服务也视为资产,因为这些服务会间接或直接影响组织的某些运营。
例如,您用于存储文档的云存储解决方案。
#2. 识别您的威胁
在了解您的资产之后,您可以识别与之相关的潜在威胁。
但如何才能做到这一点? 最简单的方法是及时了解网络威胁的趋势和新闻,这样组织可以了解表面上的一切动向。
接下来,他们可以使用威胁库、知识库以及来自政府或安全机构的资源来了解各种网络威胁。
此外,您还可以借助网络杀伤链等框架来评估需要采取哪些步骤来保护您的资产免受这些威胁。
#3. 评估您的弱点
现在您已经了解了您的资产及其潜在威胁,那么攻击者如何才能访问它们呢?
当然,如果您的设备、网络或任何资产存在漏洞,恶意行为者可能会利用这些漏洞来获得未经授权的访问权限。
这些漏洞可能存在于笔记本电脑、手机、公司门户网站或在线帐户的操作系统中。 任何地方都可能存在漏洞,即使是容易被破解的简单密码也被视为漏洞。
您可以参考政府已知漏洞目录以探索更多信息。
总而言之,无论是在系统内部还是外部,漏洞都可能存在于任何地方。 因此,采取措施消除常见或已知漏洞,将会很有帮助。
#4. 计算您的风险
风险是根据资产的威胁、脆弱性和价值来计算的。
风险 = 威胁 x 漏洞 x 价值
当您评估风险时,它指的是威胁对组织造成影响的可能性。
可能性越高,风险就越大,这并非高深的科学。 但是,由于威胁形势不断变化,因此无法准确预测。
因此,应该计算风险级别,这表明如果某些内容被利用,风险有多大。 可以通过讨论哪些资产更有价值来确定级别,如果相同的资产被泄露或被盗,会对组织产生什么影响?
这可能因组织而异。 例如,特定公司的 PDF 文件可能是公开信息,而对于其他公司来说,它可能是高度机密的。
#5. 优先考虑您的风险
一旦评估了风险级别,就很容易确定它们的优先级。
应该优先保护什么? 更有可能发生的攻击类型,以及可能造成最大损害的攻击,对吗?
与其他所有事情一样,这可能带有主观性。 但是,如果可以对风险进行分类,就可以确定它们的优先顺序。
可以按照以下方式之一进行分类:
- 您可以根据与风险相关的价值对风险进行优先级排序。
- 根据硬件、软件和其他外部因素(如供应商、运输服务等)过滤风险。
- 如果某种风险成为现实,可以通过预测未来的行动方案来过滤风险。
这里,请允许我澄清三点:
如果一个风险的价值为 100 万美元,另一个风险的价值为 10 亿美元。 当然,后者更受关注。
接下来,如果您的业务目标取决于硬件而不是外部因素,那么您会更加优先考虑硬件。
同样,如果某个特定风险需要承担重大责任,则应优先考虑该风险。
#6. 实施控制
当讨论实施控制时,指的是有助于管理风险的安全措施。
这些控制措施可以帮助降低风险,有时甚至消除风险。
无论是实施访问控制、严格的密码策略还是防火墙,所有措施都可以帮助您管理风险。
#7. 监控和改进
必须监控所有资产、漏洞补丁和潜在风险,以确定任何改进的空间。
考虑到网络安全威胁不断演变,并可能最终击败可靠的安全策略,因此定期审查所有准备工作至关重要。
安全审计确实有帮助,但在审计中取得良好结果后,人们不能停止监控。
如果不进行监控,您就会降低对网络威胁的警惕性。
#8. 合规性和法规
虽然完成网络安全评估自然会使您的组织遵守特定的标准和法律,但您可能需要检查更多相关信息。
您不应仅根据合规性要求进行评估,而应先进行评估,然后再进行调整以满足合规性要求,从而确保您在不违反任何法律或标准的情况下运营。
例如,如果您的组织在美国处理医疗保健信息,则必须遵守 HIPAA。
您可以了解您的企业/组织所在地理位置的监管要求,然后进行处理。
#9. 持续的改进
无论措施、控制和威胁研究有多好,最终都归结为不断努力改进它们。
如果组织不重新审查、改进或进行细微的更改以修复/增强问题,那么网络安全策略可能会比预期更快地失效。
网络安全风险评估至关重要
网络安全风险评估对于各种组织都至关重要。
无论规模大小,对在线服务的依赖程度如何,这都很重要。 该评估将帮助与组织相关的管理员、利益相关者或供应商了解确保安全所需的资源,并做好准备以最大限度地减少网络攻击造成的损害。
您还可以探索中小型企业的网络安全清单。