如何采用基于風(fēng)險的方法應(yīng)對網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)安全管理及安全分析服務(wù)商Skybox Security公司的高級技術(shù)總監(jiān)David Anteliz對企業(yè)必須從以嚴(yán)重性為中心轉(zhuǎn)變?yōu)橐燥L(fēng)險為中心進(jìn)行了分析和闡述。他指出，采用主動和全面的安全策略可以幫助安全團(tuán)隊?wèi)?yīng)對網(wǎng)絡(luò)安全威脅。

很多企業(yè)的網(wǎng)絡(luò)安全戰(zhàn)略已經(jīng)落后，這并不是什么秘密。調(diào)研機(jī)構(gòu)最近發(fā)布的一份報告發(fā)現(xiàn)，在迅速變化的威脅形勢下，40%的首席安全官認(rèn)為他們的企業(yè)并沒有對網(wǎng)絡(luò)安全做好充分的準(zhǔn)備。這一統(tǒng)計數(shù)據(jù)表明，過去幾年，數(shù)字化轉(zhuǎn)型的步伐加快，網(wǎng)絡(luò)攻擊面擴(kuò)大。

與此同時，網(wǎng)絡(luò)犯罪的復(fù)雜性也在不斷增加，新的漏洞數(shù)量也在不斷增加。即使是更早的漏洞（例如Log4j），在未來幾年仍將對企業(yè)構(gòu)成威脅。

Anteliz表示，全球在2021年公布了20174個新漏洞，高于2020年的18341個，這凸顯出漏洞的數(shù)量快速增長。在過去的一年，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了30多個安全警告，警告企業(yè)防范一些能夠被利用的漏洞，其中許多漏洞影響了各行業(yè)組織。影響許多設(shè)備和企業(yè)的警報的一個例子是Icefall漏洞，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）為此在去年6月發(fā)布了警報提醒公眾。這些警報解決了56個影響全球幾個關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中操作技術(shù)（OT）設(shè)備的漏洞。受到影響的供應(yīng)商包括霍尼韋爾、摩托羅拉、歐姆龍、西門子、艾默生、JTEKT、Bentley Nevad、Phoenix Contract、ProConOS以及Yokogawa等公司。

影響企業(yè)運(yùn)營業(yè)務(wù)的漏洞并不復(fù)雜，導(dǎo)致企業(yè)無法最大限度地減少摩擦，也無法集中精力于健康安全和環(huán)境（HSE）影響。這使得網(wǎng)絡(luò)威脅行為者能夠更快地發(fā)現(xiàn)新的攻擊并將其武器化，從而導(dǎo)致許多漏洞。

網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)董事會擔(dān)憂的一個主要問題。安全團(tuán)隊努力應(yīng)對不斷擴(kuò)大的技能差距、日益分散的網(wǎng)絡(luò)、可見性和補(bǔ)救以及掃描差距所導(dǎo)致工作負(fù)載不斷增加等問題。安全團(tuán)隊的任務(wù)是克服日益嚴(yán)峻的挑戰(zhàn)，發(fā)現(xiàn)和補(bǔ)救具有最高業(yè)務(wù)風(fēng)險的漏洞。數(shù)據(jù)泄露對企業(yè)的業(yè)務(wù)影響可能是巨大的。隨著威脅和壓力的增加，那些繼續(xù)依賴傳統(tǒng)反應(yīng)性網(wǎng)絡(luò)安全方法的企業(yè)將會繼續(xù)落后。

漏洞掃描并不足夠安全

通常使用的“掃描和補(bǔ)丁”策略忽略了現(xiàn)代漏洞管理的關(guān)鍵組件，特別是在設(shè)置修復(fù)優(yōu)先級時。僅靠掃描程序無法提供足夠完整的網(wǎng)絡(luò)拓?fù)湫畔ⅲ瘓髸拱踩\(yùn)營過載，因此無法正確識別企業(yè)面臨的真實風(fēng)險。

采用傳統(tǒng)的方法可能會讓資源有限的團(tuán)隊感到沮喪，例如依賴電子表格和人工評估來獲取漏洞的洞察。這些方法未能包括所有影響漏洞風(fēng)險的因素，導(dǎo)致安全團(tuán)隊無意中將資源浪費(fèi)在網(wǎng)絡(luò)犯罪分子可能永遠(yuǎn)不會發(fā)現(xiàn)或不知道如何利用的問題上。

如果沒有及時、準(zhǔn)確地檢測高風(fēng)險漏洞并確定其優(yōu)先級，安全團(tuán)隊將無法成功降低企業(yè)面臨風(fēng)險，即使他們關(guān)閉了大量漏洞?，F(xiàn)在是采取新方法的時候了，將網(wǎng)絡(luò)安全從被動措施轉(zhuǎn)變?yōu)橹鲃幼R別和降低風(fēng)險的有效流程。

最近美國國家安全局（NSA）和美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布的指南打開了一個新的窗口，強(qiáng)調(diào)了企業(yè)從傳統(tǒng)方法轉(zhuǎn)向漏洞管理的重要性，并指出保護(hù)OT/ICS的傳統(tǒng)方法不能充分解決當(dāng)前對這些系統(tǒng)的威脅。該指南建議創(chuàng)建一個完整的“連接清單”，作為緩解風(fēng)險的關(guān)鍵步驟，還強(qiáng)調(diào)了在黑客攻擊之前消除漏洞暴露風(fēng)險的重要性。為了成功地遵循這些建議，企業(yè)必須采取積極主動的方法來進(jìn)行漏洞管理，學(xué)習(xí)在威脅環(huán)境中識別和優(yōu)先考慮暴露的漏洞。

采用基于風(fēng)險的方法

安全團(tuán)隊?wèi)?yīng)該尋求采用基于風(fēng)險的方法來進(jìn)行漏洞管理，通過使用更復(fù)雜的評估策略、優(yōu)先級和補(bǔ)救功能來增加對消除網(wǎng)絡(luò)犯罪分子可見的漏洞的關(guān)注。

基于風(fēng)險的網(wǎng)絡(luò)安全方法對于任何網(wǎng)絡(luò)風(fēng)險管理計劃都是必不可少的。通過量化風(fēng)險的概率和將產(chǎn)生的影響，企業(yè)可以就是否減輕、接受或轉(zhuǎn)移風(fēng)險做出明智的決定。這種方法可以幫助企業(yè)更有效地分配資源，這比以往任何時候都更重要，并更快速有效地響應(yīng)網(wǎng)絡(luò)威脅?；陲L(fēng)險的管理還使安全優(yōu)先級與業(yè)務(wù)保持一致，并幫助安全領(lǐng)導(dǎo)者在他們的觀點(diǎn)和結(jié)果上更具戰(zhàn)略性。

基于風(fēng)險的網(wǎng)絡(luò)安全戰(zhàn)略有多個方面，其中，企業(yè)應(yīng)該關(guān)注成功實施的三個關(guān)鍵組成部分：

·漏洞分析：通過進(jìn)行漏洞分析，企業(yè)可以識別可利用的漏洞，并在企業(yè)的網(wǎng)絡(luò)配置和安全控制中關(guān)聯(lián)數(shù)據(jù)，以確定網(wǎng)絡(luò)攻擊在哪里構(gòu)成最高風(fēng)險，該策略決定了可以用來訪問易受網(wǎng)絡(luò)攻擊的攻擊向量或網(wǎng)絡(luò)路徑。

·風(fēng)險評分：網(wǎng)絡(luò)風(fēng)險評分為企業(yè)評估安全態(tài)勢提供了一個客觀的衡量標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)考慮了一系列風(fēng)險因素，包括關(guān)鍵資產(chǎn)脫機(jī)的財務(wù)影響、威脅情報的可利用性、曝光率和資產(chǎn)重要性。風(fēng)險評分能夠使企業(yè)在對手破壞系統(tǒng)時量化每天的業(yè)務(wù)成本。

·漏洞評估和優(yōu)先級：該策略允許具有復(fù)雜環(huán)境和有限資源的企業(yè)在最重要的地方通過優(yōu)先考慮構(gòu)成最大風(fēng)險的漏洞來實現(xiàn)這一點(diǎn)。為了確定嚴(yán)重程度，漏洞評估和優(yōu)先級可以自動考慮威脅情報、資產(chǎn)場景和攻擊路徑分析。

基于風(fēng)險的網(wǎng)絡(luò)安全管理方法具有變革性，使企業(yè)能夠?qū)Ｗ⒂谄渥钪匾馁Y產(chǎn)，并主動預(yù)防威脅。自動化解決方案使快速有效地實現(xiàn)基于風(fēng)險的方法成為可能，并為安全團(tuán)隊節(jié)省寶貴的時間，還提供了持續(xù)監(jiān)控風(fēng)險和實時自動響應(yīng)變化的能力。最近的一項行業(yè)基準(zhǔn)研究發(fā)現(xiàn)，在2021年沒有出現(xiàn)數(shù)據(jù)泄露的企業(yè)中，48%是基于風(fēng)險的網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)者。