什么是網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估？ 

網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估是評(píng)估組織的威脅態(tài)勢(shì)、漏洞以及其領(lǐng)域中對(duì)公司資產(chǎn)構(gòu)成風(fēng)險(xiǎn)的網(wǎng)絡(luò)漏洞的過程。網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估使公司能夠清楚地了解他們?cè)诰W(wǎng)絡(luò)威脅環(huán)境中面臨的挑戰(zhàn)，并且是將網(wǎng)絡(luò)安全視為分層、多步驟操作的綜合風(fēng)險(xiǎn)管理方法的一部分。這是制定旨在保護(hù)組織、其數(shù)字資產(chǎn)、IT 服務(wù)和人力資本免受網(wǎng)絡(luò)威脅的安全計(jì)劃的關(guān)鍵的第一步。  

“網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估用于識(shí)別、估計(jì)和優(yōu)先考慮因信息系統(tǒng)的運(yùn)營(yíng)和使用而對(duì)組織運(yùn)營(yíng)、資產(chǎn)、個(gè)人、其他組織和國(guó)家造成的網(wǎng)絡(luò)風(fēng)險(xiǎn)?！?nbsp;（NIST 風(fēng)險(xiǎn)評(píng)估指南）

網(wǎng)絡(luò)風(fēng)險(xiǎn)與信息、數(shù)據(jù)或系統(tǒng)的安全性、機(jī)密性、完整性或可用性的喪失有關(guān)，并反映了這些可能對(duì)組織產(chǎn)生的潛在不利影響。惡意行為者試圖利用網(wǎng)絡(luò)威脅，主要是為了經(jīng)濟(jì)利益和吹噓的權(quán)利。 

為什么數(shù)字時(shí)代需要網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估服務(wù)？ 

數(shù)字化轉(zhuǎn)型帶來(lái)了一系列由組織采用的技術(shù)帶來(lái)的風(fēng)險(xiǎn)。其中包括第三方應(yīng)用程序、大數(shù)據(jù)、物聯(lián)網(wǎng)、云服務(wù)、社交媒體資產(chǎn)和移動(dòng)應(yīng)用程序。企業(yè)對(duì)數(shù)字服務(wù)的使用越深入，遭受網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)就越高，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估服務(wù)的需求就越大。 

為什么要進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估？ 

網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估使公司能夠清楚地了解他們?cè)诰W(wǎng)絡(luò)威脅環(huán)境中面臨的挑戰(zhàn)。全面的風(fēng)險(xiǎn)評(píng)估將涵蓋組織面臨的兩種網(wǎng)絡(luò)威脅： 

外部威脅 

這些是由組織外部的惡意行為者使用以下一種或多種黑客策略造成的：網(wǎng)絡(luò)釣魚、惡意軟件和勒索軟件。這些攻擊可能針對(duì)組織的任何安全域，包括遠(yuǎn)程訪問、安全策略和程序、網(wǎng)絡(luò)級(jí)別、數(shù)據(jù)管理、服務(wù)器級(jí)別、端點(diǎn)、供應(yīng)鏈或云安全。 

內(nèi)部威脅  

這些是由組織內(nèi)部人員或經(jīng)批準(zhǔn)訪問組織的人員造成的，例如員工和第三方供應(yīng)商。這些威脅是糟糕的安全協(xié)議和安全培訓(xùn)不足的結(jié)果，并且是由希望傷害組織的員工實(shí)施的，或者是那些只是作為進(jìn)入公司的入口而不知道他們間接造成的傷害的員工所實(shí)施的。 

為什么網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估是必要的第一步？  

CRA 識(shí)別公司面臨的外部和內(nèi)部網(wǎng)絡(luò)威脅。只有當(dāng)一家公司能夠充分了解其威脅態(tài)勢(shì)后，才能設(shè)計(jì)出應(yīng)對(duì)威脅的安全計(jì)劃。全面的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估不僅概述了公司面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)，還允許安全團(tuán)隊(duì)根據(jù)嚴(yán)重程度對(duì)風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序，使他們能夠首先將注意力和資源用于最緊迫的威脅。  

何時(shí)進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估 

網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估不是一旦完成就可以擱置的一次性項(xiàng)目。如果公司要保持他們?cè)诘谝淮?CRA 后取得的安全改進(jìn)，他們將需要定期執(zhí)行這些評(píng)估，以了解威脅形勢(shì)發(fā)生了什么變化，并相應(yīng)地修改他們的安全計(jì)劃。  

“風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理不是一次性的，而是作為 一個(gè)循環(huán)重復(fù)的連續(xù)過程，即識(shí)別風(fēng)險(xiǎn)、制定解決這些風(fēng)險(xiǎn)的計(jì)劃、根據(jù) 這些計(jì)劃采取行動(dòng)以及監(jiān)測(cè)行動(dòng)結(jié)果?！?nbsp;（SANS 研究所白皮書：安全項(xiàng)目管理和風(fēng)險(xiǎn)）  

誰(shuí)來(lái)執(zhí)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估？ 

安全提供商可能會(huì)提供不同的方法來(lái)進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估，方法從關(guān)注攻擊向量到威脅建模不等。無(wú)論安全團(tuán)隊(duì)采用何種方法，網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估最終都應(yīng)涵蓋組織的整個(gè)攻擊面。  

CRA 可以由內(nèi)部安全團(tuán)隊(duì)執(zhí)行，也可以外包給第三方安全提供商。這將取決于組織的規(guī)模、安全團(tuán)隊(duì)的規(guī)模、專業(yè)水平、預(yù)算以及監(jiān)管方面的考慮，例如需要外部方執(zhí)行 CRA。 

全面網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的5個(gè)步驟 

我們相信詳細(xì)的增量方法可以提供最高級(jí)別的可見性和監(jiān)控?；谶@種方法，網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估可以大致分為五個(gè)步驟： 

1.了解組織現(xiàn)有的安全計(jì)劃 

通過對(duì) IT 和管理層的問卷調(diào)查和訪談，評(píng)估團(tuán)隊(duì)將了解公司必須保護(hù)的關(guān)鍵業(yè)務(wù)資產(chǎn)，以及公司目前用于保護(hù)機(jī)密數(shù)據(jù)的安全措施、流程、程序和合規(guī)要求、知識(shí)產(chǎn)權(quán)、領(lǐng)域和場(chǎng)所。   

2.定義公司的威脅 

在此階段，評(píng)估團(tuán)隊(duì)將收集有關(guān)公司威脅態(tài)勢(shì)的信息，并估計(jì)這些威脅影響組織的可能性。為了全面了解公司面臨的威脅，評(píng)估團(tuán)隊(duì)將調(diào)查所有可能想要攻擊公司的威脅行為者，包括國(guó)家支持的行為者、勒索軟件團(tuán)伙、支付信息后的犯罪分子以及企圖竊取的競(jìng)爭(zhēng)對(duì)手知識(shí)產(chǎn)權(quán)。 

3. 識(shí)別公司漏洞和攻擊路徑 

在評(píng)估的這個(gè)階段，團(tuán)隊(duì)將結(jié)合其獲得的關(guān)于公司必須保護(hù)的資產(chǎn)的知識(shí)，以及它發(fā)現(xiàn)的漏洞，并確定每個(gè)漏洞如何導(dǎo)致攻擊者進(jìn)入組織并通過其系統(tǒng)到達(dá)關(guān)鍵業(yè)務(wù)資產(chǎn)。然后，評(píng)估團(tuán)隊(duì)將建議繪制這些攻擊路線，以便組織可以清楚地了解每個(gè)漏洞可能如何影響每個(gè)關(guān)鍵資產(chǎn)，以及阻止每個(gè)攻擊路線將如何幫助保護(hù)這些資產(chǎn)。 

在選擇網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估提供商時(shí)，公司應(yīng)詢問提供商的映射解決方案，以確保此可視化過程是評(píng)估的一部分。

4. 可視化攻擊的后果 

在繪制出組織的威脅態(tài)勢(shì)并且評(píng)估團(tuán)隊(duì)清楚地了解公司的安全計(jì)劃之后，是時(shí)候?qū)烧叻旁谝黄饋?lái)估計(jì)公司將如何處理攻擊了。這是評(píng)估的關(guān)鍵部分，因?yàn)樗尠踩I(lǐng)導(dǎo)者和管理層盡可能準(zhǔn)確地了解他們現(xiàn)有安全計(jì)劃的有效性，以及攻擊的潛在后果（包括收入損失、對(duì)正在進(jìn)行的業(yè)務(wù)的損害、聲譽(yù)損壞、私人數(shù)據(jù)丟失、知識(shí)產(chǎn)權(quán)丟失）。 

5. 確定緩解計(jì)劃 

我們討論了網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估如何根據(jù)最相關(guān)的威脅與組織最寶貴的資產(chǎn)的關(guān)系以及它們被攻擊的可能性來(lái)確定最相關(guān)的威脅。然而，安全團(tuán)隊(duì)仍然需要知道要緩解什么以及首先要處理哪些威脅。 

在此階段，優(yōu)先級(jí)排序過程用于幫助安全團(tuán)隊(duì)充實(shí)緩解計(jì)劃，該計(jì)劃根據(jù)嚴(yán)重性首先傾向于最關(guān)鍵的漏洞。 

組建網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì) 

全面的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估包括由受過定位漏洞和攻擊路線培訓(xùn)的安全專家進(jìn)行的多項(xiàng)檢查和分析過程。獲勝的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)將包括紅隊(duì)和藍(lán)隊(duì)、網(wǎng)絡(luò)威脅情報(bào)分析師、威脅獵手和漏洞檢查員，以及能夠獲取這些數(shù)據(jù)并將其轉(zhuǎn)化為可量化指標(biāo)的分析師。 

網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的結(jié)果應(yīng)提供一個(gè)框架，公司可以在此框架上推進(jìn)網(wǎng)絡(luò)風(fēng)險(xiǎn)量化過程，在該過程中，發(fā)現(xiàn)的風(fēng)險(xiǎn)與業(yè)務(wù)指標(biāo)相關(guān)聯(lián)，從而為風(fēng)險(xiǎn)分配貨幣價(jià)值。  

網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估可以做什么？ 

網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估可以發(fā)現(xiàn)大量漏洞和網(wǎng)絡(luò)漏洞，這些漏洞和漏洞存在于組織的不同部分，跨越多個(gè)安全領(lǐng)域，并且嚴(yán)重程度各不相同。  選擇網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估提供商時(shí)，重要的是要考慮多種因素，包括： 

• 可視化和演示 
• 緩解計(jì)劃和跟蹤 
• 成本敏感的修復(fù)計(jì)劃  
• 風(fēng)險(xiǎn)量化能力 
• 動(dòng)態(tài)且可調(diào)整以適應(yīng)不斷變化的威脅形勢(shì)  
• 敏捷性和可擴(kuò)展性潛力 

網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的未來(lái) 

根據(jù)Gartner關(guān)于IT和網(wǎng)絡(luò)安全的最新報(bào)告，到2025年，受監(jiān)管行業(yè)中超過60%的組織將采用專門的安全風(fēng)險(xiǎn)管理，其中網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估是第一步。  

我們已經(jīng)公布了關(guān)于如何在 2023 年進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的提示，并將隨著安全形勢(shì)的變化和市場(chǎng)上新威脅的出現(xiàn)而繼續(xù)更新這些提示。無(wú)論新玩家進(jìn)入競(jìng)技場(chǎng)，無(wú)論他們帶來(lái)什么威脅，風(fēng)險(xiǎn)評(píng)估流程都將繼續(xù)定位并優(yōu)先考慮組織面臨的風(fēng)險(xiǎn)。