自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

網(wǎng)絡安全風險管理的五個實用技巧

作者:xiang11
安全 應用安全
無論是剛剛在做網(wǎng)絡安全風險管理還是已經(jīng)非常成熟,企業(yè)都應該盡可能遵循這些策略,逐步增強網(wǎng)絡安全防護體系。

某種程度上,網(wǎng)絡安全風險管理和健康醫(yī)療保險有一定的相通之處,比如每一項保險措施都提供了保護你和身邊免受各種經(jīng)濟損失(比如醫(yī)院看病)的手段,但我們相信,不少保險條款的存在是為了減少各種損失發(fā)生的可能性(例如預防性醫(yī)療保險)。

即便購買這些健康保險并不能讓投保人避免遭受不幸,但如果發(fā)生了不幸的事件,它卻可以為投保人提供一份保障和解決問題的途徑。

網(wǎng)絡安全風險管理也是如此。

在當下的商業(yè)環(huán)境中,企業(yè)擁有有幾個基礎的網(wǎng)絡安全策略正在變得越來越重要。無論是剛剛在做網(wǎng)絡安全風險管理還是已經(jīng)非常成熟,企業(yè)都應該盡可能遵循這些策略,逐步增強網(wǎng)絡安全防護體系。

[[427235]]

1. 建設網(wǎng)絡安全框架

ISO 27001網(wǎng)絡安全框架是定義了信息安全管理系統(tǒng)(ISMS)最佳實踐的國際框架,可以有效幫助企業(yè)解決業(yè)務風險問題,并有效增強整體的網(wǎng)絡防護能力。

除此之外這里還有其他幾個網(wǎng)絡安全框架可供參考,比如國家標準和技術研究所的網(wǎng)絡安全框架(NIST CSF),它可以為企業(yè)那些降低或解決網(wǎng)絡安全風險的必要動作提供深度支持;互聯(lián)網(wǎng)安全中心(CIS)也發(fā)布過相關框架——關鍵安全控制,其總共包含了20項關鍵安全控制措施,分為關鍵建議和最佳實踐兩部分,可以有效幫助企業(yè)降低網(wǎng)絡攻擊成功的可能性。

2. 建立風險評估手冊/檢查清單

充分的貫徹風險評估機制,確保了公司在未來可能發(fā)生的互聯(lián)網(wǎng)攻擊中有所準備,而優(yōu)秀的風險評估機制也需要經(jīng)得起時間的考驗。

事實上,隨著軟件的更新,用戶的下載和卸載,企業(yè)的IT系統(tǒng)和網(wǎng)絡正在不斷發(fā)生各種變化。所有的這些都有可能成為新漏洞的滋生地,這些系統(tǒng)基本都會有這些變化,也要對新風險保持領先地位。

因此,在準備進行風險評估時,企業(yè)應該遵循以下幾個要點:

  • 從廣義戰(zhàn)略上概述風險評估的范圍,包括任何重要的前期假設和預期性約束條件;
  • 確定將要使用的具體的信息來源;
  • 描述將要使用的風險計算和分析手段;
  • 確保不會觸碰任何影響企業(yè)正常運轉的法律法規(guī),因為每一項法規(guī)都有一套關于評估和報告的要求。

3. 利用威脅情報界定風險的優(yōu)先級

威脅情報可以及時為企業(yè)提供目前最有可能影響業(yè)務發(fā)展的威脅信息,同時威脅情報還可以讓安全團隊對現(xiàn)有的風險評估框架進行關鍵性修改,防止新的網(wǎng)絡攻擊威脅對企業(yè)造成傷害。

對威脅情報信息進行收集、評估和調(diào)查,可以有效增強系統(tǒng)的安全性,也有助于信息團隊更快地作出應對網(wǎng)絡威脅的決策。在這個過程中比較依賴于數(shù)據(jù),比如網(wǎng)絡攻擊組織的詳細信息,以及他們最新的攻擊策略,技術和程序 (TTPs),曾使用的攻擊向量,以及已知的危險指標。

4. 漏洞滲透性測試

想要真正保護企業(yè)免受網(wǎng)絡攻擊,參與者也需要像攻擊者一樣進行思考,具備攻擊者思維,以此預測和尋找企業(yè)業(yè)務存在的潛在漏洞。一些企業(yè)選擇使用漏洞掃描儀進行漏洞的篩查,但是這種自動化的掃描并不容易篩查出新出現(xiàn)的一些漏洞,也很難檢測出隱藏的比較深的BUG。此外,在處理大型基礎設施時漏洞掃描儀經(jīng)常出現(xiàn)誤報的情況。

在尋找漏洞時,人類的創(chuàng)造力至關重要,這也是為什么很多公司越來越傾向于滲透測試的原因所在。滲透測試允許安全人員像“攻擊者”一樣進入并攻擊他們的系統(tǒng)和網(wǎng)絡,并以此獲得相應的漏洞。這些安全研究人員高度專業(yè)化,且全部都是在企業(yè)允許的情況下進行,不會對企業(yè)造成損傷。

定期進行滲透測試也是企業(yè)網(wǎng)絡風險管理的關鍵組成部分之一。

5. 合理化的工作=加強網(wǎng)絡安全投資回報率

網(wǎng)絡風險管理的優(yōu)勢在于,在尋求完全實現(xiàn)網(wǎng)絡風險管理過程中,它能為組織提供區(qū)分防護性能差距和覆蓋范圍的能力。因此,IT和安全團隊應盡可能進行工具合理化,以更低的成本不斷增強網(wǎng)絡安全防護能力。

企業(yè)顯然應當定期設置相應的安全防護目標,然后系統(tǒng)性的評估當前的安全基礎設施,并與設置的安全目標進行比較。而企業(yè)的每一比在安全控制上的投入,都要實現(xiàn)組織預期的防御能力。在這個過程中,那些多余的、不適合企業(yè)風險管理的工具,可以在業(yè)務中逐步刪除、合并或重組。

參考來源:https://threatpost.com/tips-cybersecurity-risk-management/174968/

 

責任編輯:趙寧寧 來源: FreeBuf
網(wǎng)絡安全風險管理信息安全
相關推薦

2018-12-25 08:58:46

2013-09-13 09:29:18

2023-04-14 17:42:41

2015-12-21 10:53:38

網(wǎng)絡邊界安全信息安全策略

2024-08-02 13:24:19

2023-04-10 14:14:58

2021-10-22 06:02:47

網(wǎng)絡安全風險管理網(wǎng)絡風險

2023-07-29 00:13:50

2021-10-05 09:02:14

網(wǎng)絡安全管理

2023-08-03 00:04:30

風險管理安全治理

2022-08-26 15:20:26

網(wǎng)絡安全漏洞企業(yè)治理

2023-10-11 00:03:09

安全風險量化

2011-08-29 16:19:08

惠普

2021-09-20 11:36:15

B端UX設計師中斷

2024-03-19 14:38:44

2021-10-11 14:56:41

網(wǎng)絡安全數(shù)據(jù)安全保險

2024-05-22 09:29:43

2022-08-08 13:58:17

網(wǎng)絡安全網(wǎng)絡攻擊

2012-03-07 14:46:29

2009-09-04 10:27:28

Linux實用技巧linux操作系統(tǒng)linux
點贊
收藏

51CTO技術棧公眾號