在當(dāng)今網(wǎng)絡(luò)環(huán)境中，風(fēng)險(xiǎn)管理絕非小事一樁。 防火墻作為企業(yè)主要網(wǎng)絡(luò)防御手段的日子早已一去不復(fù)返。 如今的企業(yè)正在向云端遷移，每周都會(huì)向其網(wǎng)絡(luò)中添加新用戶和新設(shè)備，每天都會(huì)創(chuàng)建數(shù) TB 的數(shù)據(jù)，并且在其 IT 環(huán)境中使用數(shù)十乃至數(shù)百個(gè)第三方軟件和系統(tǒng)。 與此同時(shí)，攻擊者正在不斷改進(jìn)他們的方法，著力利用這些變化，同時(shí)還增加攻擊的次數(shù)和復(fù)雜程度。

為了應(yīng)對(duì)這些趨勢(shì)變化，業(yè)務(wù)領(lǐng)導(dǎo)者必須能夠收集企業(yè)的風(fēng)險(xiǎn)領(lǐng)域，并將其置于相應(yīng)的情境下優(yōu)先考慮，以便將風(fēng)險(xiǎn)降至最低，并基于零信任原則執(zhí)行安全策略。

是什么讓風(fēng)險(xiǎn)管理對(duì)當(dāng)今的企業(yè)如此具有挑戰(zhàn)性

- 比較風(fēng)險(xiǎn)的主觀定義：安全生態(tài)系統(tǒng)由各種工具組成，這些工具旨在保護(hù)數(shù)據(jù)、設(shè)置和強(qiáng)制執(zhí)行用戶權(quán)限、識(shí)別和阻止威脅以及修復(fù)漏洞等。 許多現(xiàn)代安全工具都為用戶提供了風(fēng)險(xiǎn)分析功能。 這些分析具有主觀性，它們依賴于不同的風(fēng)險(xiǎn)定義，并使用不同的變量。 比較不同工具的風(fēng)險(xiǎn)數(shù)據(jù)所存在的難處，可能是理解企業(yè)整體風(fēng)險(xiǎn)狀況時(shí)所面臨的一大障礙。

- 衡量和量化風(fēng)險(xiǎn)：重要的財(cái)務(wù)和戰(zhàn)略決策是在考慮潛在風(fēng)險(xiǎn)的情況下制定的，但量化安全風(fēng)險(xiǎn)可能極具挑戰(zhàn)性。 假設(shè)是所有風(fēng)險(xiǎn)分析的核心，包括威脅事件發(fā)生概率的假設(shè)、威脅利用已知漏洞以達(dá)到最大效果的假設(shè)，以及您的防御系統(tǒng)抵御威脅能力的假設(shè)。 如果沒有在整個(gè)企業(yè)中應(yīng)用一組一致的假設(shè)，就不可能準(zhǔn)確地衡量總體風(fēng)險(xiǎn)。

- 優(yōu)先補(bǔ)救風(fēng)險(xiǎn)領(lǐng)域：如果沒有一致的方法來(lái)衡量、比較和量化風(fēng)險(xiǎn)，業(yè)務(wù)領(lǐng)導(dǎo)者就將依靠直覺來(lái)決定要優(yōu)先補(bǔ)救哪些風(fēng)險(xiǎn)領(lǐng)域。 由于并非基于數(shù)據(jù)，他們的直覺可能是錯(cuò)誤的，并有可能導(dǎo)致公司出現(xiàn)財(cái)務(wù)損失。

- 跟蹤補(bǔ)救的有效性并逐步應(yīng)用所學(xué)知識(shí)：如上所述，風(fēng)險(xiǎn)管理不僅僅關(guān)乎減少損失，而且還要以經(jīng)濟(jì)有效的方式來(lái)做到這一點(diǎn)。 如果沒有量化，業(yè)務(wù)領(lǐng)導(dǎo)者就無(wú)法采取切實(shí)可行的方法來(lái)評(píng)估他們?cè)谒渴鸬陌踩ぞ呋蛩M建的團(tuán)隊(duì)上取得的投資回報(bào)。 他們也無(wú)法隨著時(shí)間的推移，衡量為化解威脅而建立的流程所產(chǎn)生的影響。 

零信任模型能為安全風(fēng)險(xiǎn)管理做些什么？

為了成功實(shí)施零信任方法，安全領(lǐng)導(dǎo)者需要構(gòu)建一個(gè) IT 基礎(chǔ)架構(gòu)，將來(lái)自整個(gè)企業(yè)的信息編織在一起，進(jìn)而提供必要的環(huán)境，幫助驗(yàn)證所請(qǐng)求的連接是否可信。要生成零信任安全所需的環(huán)境，理想的方法就是遵循以下四個(gè)指導(dǎo)原則

1. 定義環(huán)境：企業(yè)需要了解在整個(gè)組織范圍內(nèi)哪些用戶、數(shù)據(jù)和資源已互聯(lián)互通。 定義環(huán)境包括根據(jù)風(fēng)險(xiǎn)發(fā)現(xiàn)資源并加以分類。

2. 驗(yàn)證和強(qiáng)制執(zhí)行：請(qǐng)求訪問資源的每個(gè)實(shí)例都需要不斷進(jìn)行驗(yàn)證和持續(xù)監(jiān)控，確保它與相關(guān)權(quán)限保持一致。

3. 解決事件：面對(duì)層出不窮的威脅、不斷變化的狀況，企業(yè)必須做出調(diào)整并不斷演變，這將要求企業(yè)在解決事件的同時(shí)，盡可能地降低對(duì)業(yè)務(wù)連續(xù)性造成的影響。 這包括面向用戶、設(shè)備和網(wǎng)絡(luò)做出改變、化解威脅以及報(bào)告合規(guī)性

4. 分析和改進(jìn)：零信任意味著自適應(yīng)；隨著威脅的性質(zhì)不斷演變，企業(yè)的 IT 生態(tài)系統(tǒng)須適應(yīng)新的業(yè)務(wù)需求，安全和 IT 領(lǐng)導(dǎo)者必須審查和調(diào)整他們的戰(zhàn)略，從而順應(yīng)不斷變化的現(xiàn)實(shí)。 這個(gè)持續(xù)改進(jìn)的過(guò)程應(yīng)該以最大限度減少業(yè)務(wù)連續(xù)性干擾的方式進(jìn)行。

零信任策略是解決整個(gè)企業(yè)內(nèi)的風(fēng)險(xiǎn)并明確其優(yōu)先級(jí)的有效方法。 對(duì)于希望最大限度降低企業(yè)潛在損失風(fēng)險(xiǎn)的業(yè)務(wù)領(lǐng)導(dǎo)者來(lái)說(shuō)，他們應(yīng)該著重通過(guò)統(tǒng)一的安全分析平臺(tái)，將自身 IT 環(huán)境中已部署的各種安全工具所產(chǎn)生的信息連接起來(lái)。 由于其中一些解決方案隨附預(yù)先存在的風(fēng)險(xiǎn)分析功能，因此業(yè)務(wù)領(lǐng)導(dǎo)者應(yīng)部署一個(gè)解決方案來(lái)收集這些來(lái)源所產(chǎn)生的風(fēng)險(xiǎn)數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理以便于比較，并關(guān)聯(lián)數(shù)據(jù)以發(fā)掘洞察

理想的風(fēng)險(xiǎn)管理解決方案將會(huì)通過(guò)通用算法運(yùn)行不同的風(fēng)險(xiǎn)數(shù)據(jù)，提供分析功能，解釋風(fēng)險(xiǎn)事件可能產(chǎn)生的影響和程度。 該解決方案應(yīng)提供深入鉆取工具，用于調(diào)查特定的風(fēng)險(xiǎn)領(lǐng)域，并且與安全編排、自動(dòng)化與響應(yīng) (SOAR) 解決方案相集成，從而加快問題修復(fù)，并盡可能地降低對(duì)業(yè)務(wù)連續(xù)性造成的影響。

最后，為了實(shí)現(xiàn)持續(xù)改進(jìn)，理想的解決方案將向用戶展示，作為先前補(bǔ)救策略所帶來(lái)的結(jié)果，風(fēng)險(xiǎn)趨勢(shì)會(huì)如何隨著時(shí)間的推移而變化。 這種反饋循環(huán)必不可少；安全領(lǐng)導(dǎo)者將擁有必要的可見性，用于確定其事件響應(yīng)行動(dòng)的效力并根據(jù)需要做出調(diào)整。

*立即前往2021全新安全專區(qū)，掌握最新安全技術(shù)趨勢(shì) 

歷史精彩文章推薦

*IBM安全歷史精彩文章推薦

關(guān)于IBM Security介紹

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗(yàn)。IBM Security 在全球守護(hù)95%的全球五百?gòu)?qiáng)企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團(tuán)，包括50家全球最大的金融和銀行機(jī)構(gòu)中的49家、15家最大的醫(yī)療機(jī)構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機(jī)構(gòu)發(fā)布的12份不同的分析報(bào)告中，有12項(xiàng)技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。