美国国家标准与技术研究院(NIST)制定了网络安全框架,作为一套指导方针,提供了组织可以在其网络安全工作中使用的结果。NIST分类包括识别、保护、检测、响应和恢复。
Pondurance公司是一家管理检测和响应服务提供商,拥有全天候安全运营中心,其服务线与这五个类别保持一致。这样,组织就可以很容易地了解服务线可以做什么,以及Pondurance公司如何围绕它们开发一个整体计划。Pondurance认为,您的网络安全方法应该与组织的目标、结果和风险保持一致,使基于风险的网络安全方法成为防范网络威胁的最佳策略。
在最近的一次网络研讨会上,Pondurance公司首席信息安全官兼服务副总裁DustinHutchison讨论了Pondurance基于风险的网络安全方法。基于风险的方法侧重于组织的特定网络风险,并考虑组织想要实现的目标和需要保护的内容。他定义了术语,并讨论了五个类别中每个类别所涉及的步骤。他回顾Dustin对识别类别的解释,其中包括对资产和风险进行优先级排序。
优先级资产
为了防止网络攻击,组织需要识别其每个数字资产。毕竟,在保护这些资产免受网络攻击之前,组织必须知道它拥有哪些资产。特别是必须了解IT库存,对资产进行分类,并知道关键数据所在的位置。
- IT库存包括对所有与互联网连接的设备、端点、日志、网络、软件应用程序、云计算等进行核算,这可能是一项艰巨的任务,特别是对于收集和存储大量敏感数据的大型组织而言。随着近年来攻击面的扩大,系统中可能存在的漏洞或弱点的数量也在增加。因此,您的组织必须识别每个设备,以便准确地了解可能存在的任何漏洞。
- 资产分类,包括信息的机密性、完整性和可用性(CIA),是由数据的敏感性和暴露的数据在发生攻击时对网络的潜在影响决定的。Dustin定义了这些资产分类术语,并解释了Pondurance公司如何帮助对组织的数据进行分类。
- 了解关键数据的位置很重要,因为这是威胁行为者最终想要利用的。您的组织必须知道任何个人身份信息、受保护的健康信息、IP信息和其他关键数据在系统中的位置,以确保其免受网络攻击。
风险进行优先排序
一旦您的组织对资产进行了优先级排序,您将需要对风险进行优先级排序。没有一家公司可以消除所有的风险,但你可以专注于减少风险的地方。问问你自己,你的组织愿意承担什么样的风险,什么样的风险会给你的组织带来最大的风险,什么样的风险需要最多的保护。
为了定义风险,Dustin使用了“风险=可能性x影响”的公式,这意味着风险的变化取决于攻击发生时的可能性和影响程度。风险可以通过对安全、收入、声誉、法规遵从性和其他因素的影响来衡量。然而,并非所有的风险都是平等的。达斯汀用一个医院的例子来说明,在不同的情况下,风险什么时候高,当对病人的潜在影响更大时,风险就会增加。
在对风险进行优先级排序时,执行风险评估是在威胁参与者之前主动发现漏洞和弱点的最佳方法。Pondurance使用风险评估和网络风险管理工具(如MyCyberScorecard)来准确衡量和优先考虑风险。风险评估分析您的整个网络,以确定组织容易受到攻击的地方。达斯汀强调,一个组织永远不可能只做一次风险评估,因为不幸的是,网络环境在不断发展和变化。新的风险总是存在的。
在考虑了所有网络风险的优先级之后,Pondurance可以继续与组织合作,按照重要性对风险进行排序,首先预防当前问题,然后提供持续的解决方案。这个排名提供了一个指导方针,说明如何向前推进,并就在何处分配资源以获得最大效果做出明智的决定。
结论
基于风险的方法使组织的网络安全工作与其目标、结果和风险保持一致,以提供可用于抵御网络威胁的最佳策略。识别资产和风险并对其进行优先排序是该策略的第一步。