現代企業如何持續降低網絡風險
責編:gltian |2023-07-31 13:53:20網絡風險顯然已經成為“全球所有組織的明顯和現實的危險”。雖然有一些方法可以降低網絡風險,但并非所有與網絡安全相關的風險都可以消除。我們必須理解網絡風險是一個不斷變化的參數,需要不斷分析并且難以量化。
并非每個與風險相關的網絡安全舉措都能顯著降低風險。有時,隨著時間的推移,小的舉措會產生累計效應而顯著降低風險,并且對組織的成本很低。這些小舉措與常規的網絡安全盡職調查活動相結合,值得探索。
總是有風險需要識別
例如,有一個組織在網絡安全方面資金充裕、管理較成熟、并且在審計方面有著良好歷史,已經開展了詳細的風險分析項目和業務影響分析(BIAs),補丁執行速度快,端點管理良好,所有憑據都需要多因素身份驗證 (MFA),執行了頻繁的滲透測試,員工訓練有素,且風險水平是企業可以容忍和接受的。事實上,與垂直行業相比,該組織的風險低于許多類似組織。這是否意味著這個組織根本沒有風險?答案是否定的,同時這也不代表企業不能被破壞。如果威脅行為者針對其網絡,這樣的組織仍可能遭受相當大的損害和經濟損失。
降低網絡風險的第一步是了解企業存在哪些網絡風險來源。面對網絡風險,無人能幸免。漏洞和弱點(通常是人為的)是網絡和數字世界固有的。無論企業花費多少錢或他們的網絡安全團隊多么有才華,他們永遠無法消除所有風險。組織應始終嘗試盡一切可能消除風險,即使是以最小的方式。微小的變化和改進可能會產生重大影響。
人員配置問題放大了風險
適當的網絡安全防御由許多層組成。某些層可能會根據戰術而改變。許多層會隨著時間的推移來來去去。有些層需要很少的時間且不需額外的資金,而其他層在時間和費用方面開支巨大。大型項目的最大瓶頸有時不是預算,而是人員配置。一些最好的網絡項目需要許多人為一個共同的目標工作數月。除了完成日常工作外,員工往往沒有精力協助額外的重大、耗時項目的完成。缺乏足夠的人員可能會導致關鍵安全改進計劃需要更長的時間來完成。
過去,一些網絡專業人士會利用當地大學實習生來協助大型、繁瑣和資源密集型網絡項目。這對雙方來說都是雙贏的。學院或大學很高興為學生提供一個現實世界的項目,學生則有機會獲得寶貴的經驗。
風險是流動的
與理解風險永遠無法消除同樣重要的是,理解它是一個移動的目標。風險不斷波動。組織往往將風險視為停滯的,且每年只需要審查一次,尤其是在內部或外部審計之前。一旦審計結束,直到下一個審計周期才會考慮降低風險、分析和改進。事實上,一些組織不會考慮進行任何更改,除非審計發現建議更改。
在當今瞬息萬變的網絡安全世界中,流動性至關重要。威脅形勢在不斷變化。組織百分之九十的風險來自威脅團隊為獲取經濟利益而發起的攻擊。這一事實使得即使在截然不同的垂直行業中,威脅形勢也非常相似。對于大多數沒有商業機密(如圖表、公式、專利信息、秘密知識產權)的組織來說,威脅形勢由幾個組成部分組成:
- 機密數據丟失
- 網絡功能和/或網絡服務或電子商務功能的丟失
- 無法訪問網絡和/或數字資源
- 與機密數據泄露相關的聲譽和/或法律問題
威脅情報是關鍵
了解網絡風險和威脅形勢變化的最佳方法是培養一種思維方式,即不斷尋求方法制定和改進威脅情報整體策略。制定和保持威脅情報策略是成熟網絡防御中最重要但最容易被忽視的層級之一。
了解威脅組織正在計劃什么、他們如何攻擊以及是什么讓他們成功(或不成功)是響應不斷變化的威脅形勢的最重要驅動因素之一。從本質上講,當人們了解威脅形勢在不斷發展時,他們就可以理解經濟利益驅動了大多數攻擊,并使用威脅情報來制定針對微小變化的策略,以主動防御威脅組織實時使用的策略。
例如,假設一家金融機構每天從多個來源接收威脅情報。該機構收到一條情報說威脅組織正在成功部署針對其他金融機構的勒索軟件。威脅情報包含可用于執行對策的信息。對于每個威脅,都可以啟動一定的對策。在某些情況下,威脅情報可能包含與 MITRE ATTACK 等框架相關的信息,這些信息允許目標根據 Internet 協議 (IP) 地址、統一資源定位器 (URL)、端口、哈希、啟發式或技術等因素迅速構建對策。
在其他情況下,可以提示快速修補漏洞。有時,網絡安全人員可以在郵件網關上阻止某些信息,向最終用戶發送通知或向員工提供其他培訓。
小改變帶來大不同
每個威脅情報公告和相應的對策都有助于降低風險。此外,其他細微更改可以降低風險,例如防火墻外圍的地理阻止。在 2023 年,大多數組織可以根據 IP 地址阻止某些國家/地區在外圍發送和接收數據包。無論被封鎖國家的黑名單是短還是長,如果研究和實施得當,這都會產生重大影響。
降低風險的另一種方法是企業與員工協作,圍繞某些IT工作流程開發手動流程,以便在技術資源不可用時仍然可以開展業務。
通常,安全團隊會用一些較小的想法來改進基于網絡事件的警報、日志記錄和遙測。無論多小的建議都應得到重視,都要(始終如一地)進行細微的更改,以降低風險并使組織的安全態勢成熟。領導層應始終鼓勵一個有效、成熟的網絡安全團隊尋找并實施額外的防御層。事實上,改進的想法可以作為一種有趣的比賽來管理。
結論
良好的防御有許多層次,必須適應不斷的變化。如果一個組織未能更新其防御措施,它將落后并失去動力。企業的改進頻率永遠不要低于威脅團隊。否則,它將輸給威脅行為者。
來源:ISACA