隨著現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型的深入，各種網(wǎng)絡(luò)安全威脅的數(shù)量和復雜度也在快速提升。這些威脅帶來了多方面的網(wǎng)絡(luò)安全風險，包括網(wǎng)絡(luò)安全、法律合規(guī)、隱私保護、業(yè)務(wù)連續(xù)性和財務(wù)影響等。因此，企業(yè)網(wǎng)絡(luò)安全建設(shè)從傳統(tǒng)的安全優(yōu)先轉(zhuǎn)向風險優(yōu)先的新模式勢在必行。

風險優(yōu)先的價值

為了充分理解風險優(yōu)先的價值和優(yōu)點，我們有必要首先分析傳統(tǒng)安全優(yōu)先方法的局限性。安全確實很重要，但它只是組織整體風險生態(tài)中的一個方面。如果企業(yè)只關(guān)注網(wǎng)絡(luò)安全問題，可能會掩蓋很多同樣重要的風險考量因素。

雖然部署防火墻、IPS以及密碼等傳統(tǒng)戰(zhàn)術(shù)性安全措施對保障企業(yè)的數(shù)字業(yè)務(wù)開展非常重要，但它們并不能消除所有風險。而且研究數(shù)據(jù)顯示，那些僅面向已知威脅的被動安全方法會使組織更容易受到新興風險的威脅。此外，一味固守以安全為中心的建設(shè)理念往往會阻礙組織的靈活性和變通性，并忽視了很多非技術(shù)性的網(wǎng)絡(luò)風險，比如一些違規(guī)的行為和人為性的錯誤。

相比之下，風險優(yōu)先的安全策略是指從企業(yè)整體業(yè)務(wù)風險管理的角度，運用科學的手段，系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性。通過開展風險評估，企業(yè)組織可以對重要信息系統(tǒng)所面臨的信息安全風險進行主動式發(fā)現(xiàn)和分析，并對企業(yè)網(wǎng)絡(luò)安全建設(shè)中的薄弱環(huán)節(jié)進行優(yōu)先處理和加固。這樣可以更有效地提升企業(yè)網(wǎng)絡(luò)安全防護水平，增強數(shù)字化發(fā)展的彈性。

安全事件的發(fā)生是有概率的，企業(yè)不能只根據(jù)安全威脅的發(fā)現(xiàn)時間和可能后果，便決定網(wǎng)絡(luò)安全的投入和安全措施的強度。對于一些被實際利用的概率極低的安全風險，即使其具有比較嚴重的爆發(fā)后果，也不需要不計代價地進行修復處置。企業(yè)在開展風險優(yōu)先的安全防護工作中，必須堅持綜合考慮安全事件的后果影響及其可利用性的評價原則，從不同的視角洞察風險，并將有限的資源優(yōu)先用于保護關(guān)鍵性資產(chǎn)和高危漏洞，避免浪費開支。

風險優(yōu)先的關(guān)鍵要素

構(gòu)建風險優(yōu)先的網(wǎng)絡(luò)安全防護模式會涉及資產(chǎn)、威脅、脆弱性等許多基礎(chǔ)性要素，每個要素都有各自的要求和屬性。為了保障建設(shè)工作實現(xiàn)預(yù)定的目標，企業(yè)應(yīng)該做好以下方面的準備：

01、確定風險評估的范圍

一般情況下，風險防護的范圍需要覆蓋整個組織，但這樣也會讓風險評估工作過于繁重。因此，可以先從某些業(yè)務(wù)部門、場所或公司的特定領(lǐng)域開始實施。在進行風險評估之前，為了更好地指導組織有條不紊地評估數(shù)字安全風險，確保緩解控制措施適當且有效，安全人員應(yīng)當充分依據(jù)ISO/IEC 27001標準和NIST SP 800-37等主流安全框架的要求。

02、識別信息資產(chǎn)

構(gòu)建風險優(yōu)先的網(wǎng)絡(luò)安全防護模式，需要明確知道應(yīng)該保護的對象是誰，因此，評估團隊應(yīng)該識別并清點風險評估范圍內(nèi)的所有包括軟件和硬件在內(nèi)的信息資產(chǎn)。對業(yè)務(wù)至關(guān)重要的資產(chǎn)不僅是識別和清點的重點，也同樣是攻擊者的主要目標，所以需要在資產(chǎn)識別的基礎(chǔ)上，盡可能做好系統(tǒng)威脅暴露面的管理。

03、了解威脅利用方法

威脅利用方法是指攻擊者可能使用的攻擊策略、技術(shù)和方法。為了幫助識別各項信息資產(chǎn)可能存在的威脅隱患，企業(yè)安全團隊可以使用MITRE ATT&CK之類的威脅知識庫，直觀地呈現(xiàn)典型攻擊的各種階段和目標，這樣有助于確定他們需要的保護類型。

04、分析潛在風險

分析潛在風險是為了評估風險場景實際發(fā)生的可能性，以及一旦發(fā)生后對組織造成的影響。其中，風險實際發(fā)生的可能性取決于威脅和漏洞的可發(fā)現(xiàn)性、可利用性和可再現(xiàn)性，而影響是指威脅利用漏洞的后果對組織造成的危害程度，應(yīng)在每個場景中評估對機密性、完整性和可用性造成的影響。由于潛在風險分析在本質(zhì)上是非常主觀的，因此對分析師的專業(yè)度和經(jīng)驗積累要求會非常高。

05、優(yōu)先級評估

為了確保安全風險程度是可控的，企業(yè)可以通過使用風險矩陣(風險級別為“可能性乘以影響”)對每個風險場景進行評估和分類，任何高于企業(yè)風險容忍程度的威脅場景都應(yīng)優(yōu)先被處理。

06、持續(xù)發(fā)現(xiàn)風險

隨著新威脅層出不窮，新的系統(tǒng)或活動不斷引入，安全風險評估需要重復進行。因此，需要在每一次的評估工作中，做好可為未來的評估提供可重復的流程和模板。同時，對所有已識別的風險場景需要詳細記錄，并保持定期審查和更新。

實施風險優(yōu)先的最佳實踐

轉(zhuǎn)向風險優(yōu)先的網(wǎng)絡(luò)安全防護模式可以幫助企業(yè)組織從容應(yīng)對不斷變化的網(wǎng)絡(luò)安全環(huán)境。不過在實施這種方法時，企業(yè)需要統(tǒng)一整合不同部門的防護理念、想法、流程和技術(shù)。以下實踐經(jīng)驗可以幫助企業(yè)更好地開展相關(guān)工作。

1、利用定量與定性結(jié)合的評估方法：定性風險評估對于識別威脅趨勢以及了解關(guān)鍵的風險因素必不可少。然而，定性評估方法具有一定的主觀性，而定量評估方法能夠識別關(guān)鍵性的風險因子和其中的高風險因素，幫助組織準確深入地了解整體風險態(tài)勢和威脅程度。通過將定量分析與定性分析相結(jié)合，組織能夠從宏觀和微觀層面全面了解風險，有利于進行科學的安全決策和資源分配。

2、結(jié)合游戲化風險管理技術(shù)：為了鼓勵所有團隊成員積極參與，組織可以在風險管理流程中結(jié)合游戲化技術(shù)。比如說，通過鼓勵合理競爭，各部門可以基于風險管理績效進行競爭，采用績效評分機制，并設(shè)置團隊禮品卡或代金券等獎勵措施，這樣可以激勵員工做好風險管理工作，從而提高組織的整體安全彈性。

3、基于影響確定風險優(yōu)先級：在主流的風險管理框架中，都會強調(diào)基于潛在的風險影響和可能性來確定風險管控的優(yōu)先級，這一點非常重要。組織可以使用定量評分系統(tǒng)，將風險分為高、中、低這三類優(yōu)先級。這使組織能夠有效地分配資源，并集中精力處理對組織業(yè)務(wù)發(fā)展目標構(gòu)成重大威脅的關(guān)鍵風險。

4、提前制定風險緩解計劃：一旦識別了風險并確定了優(yōu)先級，組織應(yīng)制定一份全面的風險緩解計劃。該策略應(yīng)該概述具體行動、控制措施、預(yù)防措施、定期評估和應(yīng)急計劃，以盡量減小可能造成的影響。如果遵循這種井然有序的方法，組織可以主動處理潛在的威脅，減少漏洞，面對威脅做到防患未然。

5、持續(xù)的自動化監(jiān)測：為了實現(xiàn)可連續(xù)的風險監(jiān)測和評估，自動化技術(shù)在確保有效的風險管理中將起到關(guān)鍵性作用。通過部署應(yīng)用自動化技術(shù)，組織就可以及時了解新興風險，并相應(yīng)地調(diào)整處置措施。企業(yè)應(yīng)該將風險優(yōu)先的安全防護策略與不斷變化的業(yè)務(wù)環(huán)境保持一致，這樣組織才能夠采取主動而靈活的方法來規(guī)避風險。

參考鏈接：https://www.darkreading.com/risk/5-best-practices-for-implementing-risk-first-cybersecurity

原文來源：安全牛