激增的網(wǎng)絡(luò)攻擊面，龐大的漏洞量，復(fù)雜的威脅場景以及新的業(yè)務(wù)需求等諸多因素，都在呼吁新的網(wǎng)絡(luò)風(fēng)險管理模型的出現(xiàn)和運(yùn)用。

[[252574]]

當(dāng)前所使用的網(wǎng)絡(luò)風(fēng)險管理模式顯然已經(jīng)無法適應(yīng)時代的發(fā)展需求。雖然網(wǎng)絡(luò)風(fēng)險管理對于企業(yè)高管而言比以往任何時候都更為重要，但是鑒于不斷激增的攻擊面，龐大的漏洞量以及復(fù)雜的威脅場景等因素，對于CISO和網(wǎng)絡(luò)安全團(tuán)隊(duì)而言，想要有效地實(shí)現(xiàn)網(wǎng)絡(luò)風(fēng)險管理卻變得更為困難。

即將發(fā)布的ESG最新研究表明，過去發(fā)揮過作用的網(wǎng)絡(luò)風(fēng)險管理模型如今已經(jīng)不再是一種合適的選擇，以下是部分調(diào)查結(jié)果提要：

企業(yè)管理者的參與程度遠(yuǎn)遠(yuǎn)超過以往。幾年前，企業(yè)高管的目標(biāo)并不是獲取真正強(qiáng)大的安全性，他們想要的只是足夠好的安全性就夠了。當(dāng)時的安全專業(yè)人士對這些并未付諸全力的網(wǎng)絡(luò)安全工作感到遺憾和失落，他們迫切渴望擁有具備網(wǎng)絡(luò)安全專業(yè)知識的首席執(zhí)行官，能夠真正投資于強(qiáng)大的網(wǎng)絡(luò)安全控制和監(jiān)督工作。ESG數(shù)據(jù)表明，如今企業(yè)高管和董事會的參與度和網(wǎng)絡(luò)安全需求都要遠(yuǎn)勝以往。這迫使CISO和信息安全團(tuán)隊(duì)收集和分析更多的網(wǎng)絡(luò)風(fēng)險數(shù)據(jù)，并以業(yè)務(wù)友好型方式將其呈現(xiàn)給用戶。數(shù)據(jù)表明，這已經(jīng)推動了一種新的、更全面的網(wǎng)絡(luò)風(fēng)險管理模式的出現(xiàn)。

網(wǎng)絡(luò)安全支出持續(xù)增加，但也出現(xiàn)越來越多的限制。網(wǎng)絡(luò)安全預(yù)算每年都在增長，并且這種趨勢還會持續(xù)下去。事實(shí)上，企業(yè)高管們確實(shí)愿意增加支出以保護(hù)他們的組織，但同時他們也希望更好地了解他們的錢究竟花到了什么地方?獲得了哪些投資回報?

例如，如果預(yù)算增加，也就是CISO明年要求120萬美元網(wǎng)絡(luò)安全支出而不是原計(jì)劃的100萬美元，那么首席財(cái)務(wù)官(CFO)就會希望了解這筆錢用到了哪些地方?企業(yè)為此獲得了哪些額外保護(hù)?企業(yè)高管、GRC經(jīng)理和網(wǎng)絡(luò)安全專業(yè)人員正試圖通過使用模糊指標(biāo)分析不完整數(shù)據(jù)來弄清楚如何衡量網(wǎng)絡(luò)安全支出的投資回報率。這里迫切需要改進(jìn)。

所有網(wǎng)絡(luò)風(fēng)險管理投入都在快速增長，基本的網(wǎng)絡(luò)風(fēng)險管理公式如下所示：

所以，這就是問題所在——所有的一切都在迅速增長。整體攻擊面(即設(shè)備、數(shù)據(jù)、基于云的工作負(fù)載、應(yīng)用程序等)正在增長，從而導(dǎo)致更多的安全漏洞。例如，ESG研究中的一大亮點(diǎn)就是，各組織業(yè)務(wù)合作伙伴對第三方風(fēng)險管理的需求日益增長，以防止發(fā)生類似OPM和Target的間接攻擊事件。

與此同時，威脅也正變得更具針對性和復(fù)雜性。就其產(chǎn)生的后果而言，企業(yè)將需要處理更多的風(fēng)險類型，包括財(cái)務(wù)風(fēng)險、操作風(fēng)險以及聲譽(yù)風(fēng)險等等。將所有這些變化疊加在一起，網(wǎng)絡(luò)風(fēng)險管理工作量就會不斷增加并且變得更為專業(yè)化，而不良的網(wǎng)絡(luò)風(fēng)險管理實(shí)踐所造成的后果必然是高風(fēng)險、高成本的。

根本不存在網(wǎng)絡(luò)風(fēng)險管理基準(zhǔn)這樣的事情。風(fēng)險管理任務(wù)——例如漏洞掃描、第三方風(fēng)險審計(jì)以及滲透測試等——始終都是以定期(每月一次、每季度一次、每年多次等)和獨(dú)立的方式進(jìn)行。通常而言，這些活動是由審計(jì)師、法律法規(guī)甚至業(yè)務(wù)合作伙伴進(jìn)行指導(dǎo)，而不是任何具有凝聚力和整體性風(fēng)險管理策略進(jìn)行指導(dǎo)。

這就是該方法的問題所在——一切都在不斷變化，網(wǎng)絡(luò)風(fēng)險管理的每個方面都是相互關(guān)聯(lián)的。因此，當(dāng)一件事發(fā)生變化時，它就會影響其他一切。您如何做到在任何時間點(diǎn)對網(wǎng)絡(luò)風(fēng)險管理進(jìn)行基準(zhǔn)測試?答案是您不能!這也就意味著，我們必須接受這種認(rèn)識，并努力進(jìn)行持續(xù)的風(fēng)險管理測量。

該研究為我們描繪了一幅清晰的圖景：網(wǎng)絡(luò)風(fēng)險管理對于管理人員來說變得越來越重要，但對于CISO和網(wǎng)絡(luò)安全團(tuán)隊(duì)來說則更為困難。

顯然，當(dāng)前的網(wǎng)絡(luò)風(fēng)險管理模式已被打破，必須做出改變，而這種變化很快就會出現(xiàn)在我們面前。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文