美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定了網(wǎng)絡(luò)安全框架，作為一套指導(dǎo)方針，提供了組織可以在其網(wǎng)絡(luò)安全工作中使用的結(jié)果。NIST分類包括識別、保護(hù)、檢測、響應(yīng)和恢復(fù)。

Pondurance公司是一家管理檢測和響應(yīng)服務(wù)提供商，擁有全天候安全運(yùn)營中心，其服務(wù)線與這五個類別保持一致。這樣，組織就可以很容易地了解服務(wù)線可以做什么，以及Pondurance公司如何圍繞它們開發(fā)一個整體計(jì)劃。Pondurance認(rèn)為，您的網(wǎng)絡(luò)安全方法應(yīng)該與組織的目標(biāo)、結(jié)果和風(fēng)險保持一致，使基于風(fēng)險的網(wǎng)絡(luò)安全方法成為防范網(wǎng)絡(luò)威脅的最佳策略。

在最近的一次網(wǎng)絡(luò)研討會上，Pondurance公司首席信息安全官兼服務(wù)副總裁DustinHutchison討論了Pondurance基于風(fēng)險的網(wǎng)絡(luò)安全方法?；陲L(fēng)險的方法側(cè)重于組織的特定網(wǎng)絡(luò)風(fēng)險，并考慮組織想要實(shí)現(xiàn)的目標(biāo)和需要保護(hù)的內(nèi)容。他定義了術(shù)語，并討論了五個類別中每個類別所涉及的步驟。他回顧Dustin對識別類別的解釋，其中包括對資產(chǎn)和風(fēng)險進(jìn)行優(yōu)先級排序。

優(yōu)先級資產(chǎn)

為了防止網(wǎng)絡(luò)攻擊，組織需要識別其每個數(shù)字資產(chǎn)。畢竟，在保護(hù)這些資產(chǎn)免受網(wǎng)絡(luò)攻擊之前，組織必須知道它擁有哪些資產(chǎn)。特別是必須了解IT庫存，對資產(chǎn)進(jìn)行分類，并知道關(guān)鍵數(shù)據(jù)所在的位置。

• IT庫存包括對所有與互聯(lián)網(wǎng)連接的設(shè)備、端點(diǎn)、日志、網(wǎng)絡(luò)、軟件應(yīng)用程序、云計(jì)算等進(jìn)行核算，這可能是一項(xiàng)艱巨的任務(wù)，特別是對于收集和存儲大量敏感數(shù)據(jù)的大型組織而言。隨著近年來攻擊面的擴(kuò)大，系統(tǒng)中可能存在的漏洞或弱點(diǎn)的數(shù)量也在增加。因此，您的組織必須識別每個設(shè)備，以便準(zhǔn)確地了解可能存在的任何漏洞。
• 資產(chǎn)分類，包括信息的機(jī)密性、完整性和可用性(CIA)，是由數(shù)據(jù)的敏感性和暴露的數(shù)據(jù)在發(fā)生攻擊時對網(wǎng)絡(luò)的潛在影響決定的。Dustin定義了這些資產(chǎn)分類術(shù)語，并解釋了Pondurance公司如何幫助對組織的數(shù)據(jù)進(jìn)行分類。
• 了解關(guān)鍵數(shù)據(jù)的位置很重要，因?yàn)檫@是威脅行為者最終想要利用的。您的組織必須知道任何個人身份信息、受保護(hù)的健康信息、IP信息和其他關(guān)鍵數(shù)據(jù)在系統(tǒng)中的位置，以確保其免受網(wǎng)絡(luò)攻擊。

風(fēng)險進(jìn)行優(yōu)先排序

一旦您的組織對資產(chǎn)進(jìn)行了優(yōu)先級排序，您將需要對風(fēng)險進(jìn)行優(yōu)先級排序。沒有一家公司可以消除所有的風(fēng)險，但你可以專注于減少風(fēng)險的地方。問問你自己，你的組織愿意承擔(dān)什么樣的風(fēng)險，什么樣的風(fēng)險會給你的組織帶來最大的風(fēng)險，什么樣的風(fēng)險需要最多的保護(hù)。

為了定義風(fēng)險，Dustin使用了“風(fēng)險=可能性x影響”的公式，這意味著風(fēng)險的變化取決于攻擊發(fā)生時的可能性和影響程度。風(fēng)險可以通過對安全、收入、聲譽(yù)、法規(guī)遵從性和其他因素的影響來衡量。然而，并非所有的風(fēng)險都是平等的。達(dá)斯汀用一個醫(yī)院的例子來說明，在不同的情況下，風(fēng)險什么時候高，當(dāng)對病人的潛在影響更大時，風(fēng)險就會增加。

在對風(fēng)險進(jìn)行優(yōu)先級排序時，執(zhí)行風(fēng)險評估是在威脅參與者之前主動發(fā)現(xiàn)漏洞和弱點(diǎn)的最佳方法。Pondurance使用風(fēng)險評估和網(wǎng)絡(luò)風(fēng)險管理工具(如MyCyberScorecard)來準(zhǔn)確衡量和優(yōu)先考慮風(fēng)險。風(fēng)險評估分析您的整個網(wǎng)絡(luò)，以確定組織容易受到攻擊的地方。達(dá)斯汀強(qiáng)調(diào)，一個組織永遠(yuǎn)不可能只做一次風(fēng)險評估，因?yàn)椴恍业氖?，網(wǎng)絡(luò)環(huán)境在不斷發(fā)展和變化。新的風(fēng)險總是存在的。

在考慮了所有網(wǎng)絡(luò)風(fēng)險的優(yōu)先級之后，Pondurance可以繼續(xù)與組織合作，按照重要性對風(fēng)險進(jìn)行排序，首先預(yù)防當(dāng)前問題，然后提供持續(xù)的解決方案。這個排名提供了一個指導(dǎo)方針，說明如何向前推進(jìn)，并就在何處分配資源以獲得最大效果做出明智的決定。

結(jié)論

基于風(fēng)險的方法使組織的網(wǎng)絡(luò)安全工作與其目標(biāo)、結(jié)果和風(fēng)險保持一致，以提供可用于抵御網(wǎng)絡(luò)威脅的最佳策略。識別資產(chǎn)和風(fēng)險并對其進(jìn)行優(yōu)先排序是該策略的第一步。