如何正确进行网络安全风险评估
在讨论网络安全时,我们经常考虑“如何防御自己”来抵御网络威胁和攻击。
这一切都是关于如何保持安全以及在遇到问题时应该怎么做。但是,人们如何知道他们会成为攻击目标?他们会因什么而遭受攻击?在遭受网络攻击后,组织需要多少成本才能恢复正常运转?
网络安全风险评估可以回答所有这些问题。因此,在制定网络安全策略时,评估是至关重要的一环。
什么是网络安全风险评估?
网络安全风险评估是一个帮助组织将其网络安全计划与业务目标和目的保持一致的过程。它还有助于更好地了解目标并评估可用/所需的资产以保持运作。
评估报告将从技术上涵盖其网络安全游戏的各个方面。它还可以增强组织的 网络弹性。
从威胁类型到资产价值和保险覆盖范围,所有这些信息都应该帮助利益相关者和管理层在存在 网络攻击 风险时(或事件发生后)做出明智的决策。
网络安全风险评估的重要性
通过风险评估,您可以获取一个威胁布局,了解遭受攻击的可能性,恶意行为者针对组织的潜在目标以及可能造成的损害。
您不仅限于了解针对组织的威胁类型,还要了解它们能够做什么以及它们将如何影响组织。
因此,在发生成功的网络攻击时,它为您提供了完整的应对方案。
换句话说,网络安全风险评估让您意识到与网络攻击相关的风险程度。这有助于组织、利益相关者和组织的任何负责人为减少风险并制定一个稳固的计划做好准备。
风险评估的类型
尽管网络安全风险评估的步骤在很大程度上保持标准化,但评估类型各不相同。
评估类型告诉您组织在评估其业务安全需求时究竟关注的是什么。
#1. 通用评估
基于问卷的评估处理的是降低安全风险的简单而有效的事项。
例如,密码策略的状态、实施的防火墙类型、定期安全补丁和认证/加密策略。
虽然这可能很简单和无麻烦,但可能不适合所有类型的组织。这可能适合资产有限且敏感数据较少的组织。
#2. 定性风险评估
定性风险评估可能有些推测性,因为它取决于谁(个人或一组人)审查和检查背景以讨论数据泄露和财务风险等问题。
这不涉及特殊报告,而更多是针对负责组织的高层人员的“头脑风暴”会议。
#3. 定量风险评估
在考虑定量评估时,我们处理数据和见解并计算风险。
这种评估将帮助覆盖大型组织的各种事物,其中财务风险更高,数据资产更大且更有价值。
#4. 特定场地风险评估
特定场地风险评估仅关注一个使用案例。无论是组织的某个部分还是特定位置,您都可以考虑这种类型的评估是针对特定领域的。
它仅评估特定网络、技术和类似的静态事物。您不能指望这对组织的其他部分有所帮助。
#5. 动态风险评估
动态风险评估解决实时变化的风险。
为了有效,组织必须在威胁/攻击发生时监控和处理。
执行网络安全风险评估的步骤
执行评估的步骤取决于组织及其进行评估的资源。
虽然几乎相同,但不同组织可能存在一些微调。例如,步骤的数量以及它们如何分类和优先考虑每个步骤。
在这里,我们讨论了九个步骤,使我们能够处理所有细枝末节的细节,这应该有助于您正确进行网络安全风险评估。
#1. 识别您的资产
识别组织中的资产至关重要,应该是优先考虑的。
资产可能包括硬件(笔记本电脑、手机、usb驱动器)、软件(免费或许可)、文件、pdf文档、电力基础设施等,以及诸如纸质文件之类的其他物品。
不时地,您可能不得不将组织所依赖的在线服务之一作为资产之一,因为那些间接/直接影响组织的某些操作。
例如,您用于存储文档的云存储解决方案。
#2. 识别您的威胁
根据您的资产,您可以确定与之相关的潜在威胁。
但是您如何做到这一点呢?最简单的方法是跟踪网络威胁的趋势和新闻。因此,组织可以了解到表面上的一切。
接下来,他们可以使用威胁库、知识库和来自政府或安全机构的资源,了解各种网络威胁。
最后,您还可以利用像cyber kill chain这样的框架,评估您需要采取哪些步骤来保护资产免受这些威胁的影响。
#3. 评估您的漏洞
现在你知道了你的资产及其潜在威胁,攻击者如何获得对它们的访问权限呢?
当然,如果你的设备、网络或任何资产存在漏洞,恶意用户可能利用这些漏洞来获得未经授权的访问权限。
这些漏洞可能存在于笔记本电脑、手机、公司门户网站或在线账户的操作系统中。任何东西都可能存在漏洞。甚至一个容易破解的简单密码也是一种漏洞。
你可以参考政府利用漏洞目录来进一步了解。
总的来说,无论是系统内部还是外部,漏洞可能存在于任何地方。因此,采取措施消除常见/已知的漏洞应该会有所帮助。
#4. 计算风险
风险是根据资产的威胁、漏洞和价值来计算的。
风险 = 威胁 x 漏洞 x 价值
当你评估风险时,指的是威胁对组织的影响可能性。
可以毫不费力地想到,概率越高,风险越大。但是,由于威胁环境不断变化,无法准确预测。
因此,应该计算风险级别,即如果某个事物被利用,风险有多大。风险级别可以通过讨论哪些资产更有价值以及如果同一资产被损害或被盗,对组织会有什么影响来确定。
这可能因组织而异。例如,对于某个公司而言,pdf文件可能是公开可用的信息,而对其他公司而言,可能是高度机密的。
#5. 优先处理风险
一旦你评估了风险级别,就可以很容易地对它们进行优先处理。
你应该首先专注于保护什么?最有可能发生的攻击和可能造成最大伤害的攻击,对吗?
像其他事物一样,这可能是主观的。但是,如果你可以将风险分类,就可以为它们确定优先顺序。
可以是以下之一:
- 根据与之相关的价值对风险进行优先处理。
- 根据硬件、软件和其他外部因素(如供应商、航运服务等)筛选风险。
- 通过预测某个风险成为现实的未来行动来筛选风险。
让我在这里澄清一下这三点:
如果一个风险价值为100万美元,另一个风险价值为10亿美元,显然会更加关注后者。
其次,如果你的业务目标依赖于硬件而不是外部因素,你会更加优先考虑它们。
同样地,如果某个特定风险需要大规模行动,那么它应该具有更高的优先级。
#6. 实施控制措施
当我们讨论实施控制措施时,指的是帮助管理风险的安全措施。
这些控制措施可以帮助减少风险,有时甚至可以消除风险。
不管是强制访问控制、严格的密码策略还是防火墙,所有这些措施都有助于帮助您管理风险。
#7. 监控和改进
所有资产、漏洞补丁和潜在风险都必须进行监控,以确定改进的空间。
考虑到网络安全威胁的演变和可能击败坚实的安全策略,重要的是定期检查所有的准备工作。
是的,安全审计有所帮助,但是在审计取得良好结果后不能停止监控。
如果您不进行监控,就会降低对网络威胁的警惕性。
#8. 合规性和法规
虽然完成网络安全评估自然而然地使您的组织遵守特定的标准和法律,但您可能还想进一步了解。
您不应根据合规性要求来进行评估,而是在进行评估后进行微调,以满足让您在不违反任何法律或标准的情况下运营的合规性要求。
例如,如果贵组织与美国的医疗信息打交道,hipaa合规性是必需的。
您可以探索您的企业/组织所在地区的监管要求,然后着手解决这些问题。
#9. 持续改进
无论措施、控制和威胁研究有多好,最终都要依靠不断努力来改进它们。
如果一个组织不想重新审查、改进或进行微小的变更来修复/增强事物,网络安全策略可能会比预期的更早失败。
网络安全风险评估是必不可少的
网络安全风险评估对于各种组织都至关重要。
无论规模大小,无论依赖较少的在线服务还是较多的在线服务,都很重要。评估将帮助与组织相关的管理员、利益相关者或供应商了解保持安全并准备在任何网络攻击后最小化损害所需的资源。
您还可以查看 网络安全检查清单,适用于中小型企业。
