网络安全

关于网络安全风险评估的四点建议

很难知道多少网络安全支出足以将风险降低到一个可接受的水平。什么是足够的,还需要什么?网络安全风险评估(CRA)可以提供帮助。本文着重介绍了四点建议。

Erez Ravina和Atanu Niyogi著 2020年9月16日
Courtesy: Keagan Gay, CFE Media and Technology

学习目标

  • 网络安全风险评估(CRA)可以帮助公司确定他们需要把工作重点放在哪里,并提高公司的安全性。
  • 明智地使用资源和获得专家的帮助可以帮助减少CRA过程中的不确定性。

网络安全风险评估(CRA)是组织识别、分析和评估在网络攻击或数据泄露情况下可能面临的风险的过程。制造商和流程设施面临网络安全损害收入和声誉的风险;网络安全风险评估应该是任何组织风险管理过程的一部分。

网络安全及相关问题继续困扰着企业的业务连续性目标。可以认为它反映了组织的安全要求。和安全一样,很难知道多少网络安全支出足以将风险降低到可接受的水平。多少升级,多少架构改变,多少训练才足够?

要消除这种担忧,网络安全风险评估可能会有很大帮助。虽然有许多CRA框架,但这些步骤可以帮助那些刚起步的人。

1.不要恐慌。

虽然企业可能不知道,但即使他们不知道,他们也很有可能受到潜在网络攻击的影响。

然而,在这种情况下,最不应该做的就是恐慌。适当的CRA系统将帮助人们做出正确的决定,包括优先考虑工作重点,从而利用所需的资源。

2.明智地使用资源:

确定了优先级后,下一步就是优化使用资源。为此,需要根据业务的性质及其独特的需求来制定目标。一个理想的网络安全风险评估框架要求将潜在风险分为以下等级:

基本的层面上-这应包括最基本和最容易预防的安全风险的考虑

中级水平—对常见的攻击进行风险防范

先进水平-包括保护组织的威胁模型中指向的所有威胁

持续的风险管理-负责持续监控威胁情况,并在发现新风险时进行预防

除上述措施外,其他补充措施包括:

  • 摆脱所有低挂的果实——这确保了最好的投资回报(ROI),因为它更容易解决,不需要太多资源。低挂成果包括安全补丁和更新、恶意软件保护、公开访问资源和内部服务的认证方法等。
  • 应该对风险进行分析和规范化,以反映对组织和整个行业的“真实”暴露。“Real”,可以是您可能发现的任何漏洞(CVE)的默认值,通常是更高或更低。
  • 投资于检测:公司必须了解部署的安全措施的有效性和最终结果。早些时候似乎无关紧要的事件和袭击现在可能需要重新评估。
  • 建立应对网络攻击和数据泄露的响应和恢复程序:准备一份全面而紧凑的行动清单,以便员工能够记住并在紧急需要时采取行动。一份500页的政策遵从性文件在紧急情况下是没有用的。
  • 对员工进行IT/网络安全意识培训:黑客在网络钓鱼和社会工程攻击上获得最佳投资回报率。为了防止人为失误的可能性,公司需要对员工进行网络攻击方面的培训和教育。

3.每次都做对:持续的循环

一般来说,网络安全风险评估报告的寿命很短,甚至在准备好之前就已经过时了。尽管如此,这份报告仍然有效,而且可能是确保采取最佳方法保护一个组织免受网络攻击的唯一途径。

为了使这一过程具有操作性和价值,它需要在尽可能自治的部分进行。一个常见的错误是,组织只有一个涵盖整个业务的年度全面的端到端网络安全风险评估。

最好的方法是形成一个网络安全风险评估的连续循环,包括公开或外部暴露的资源和内部资源的漏洞评估和安全渗透测试。如前所述,其目的是识别可能受到网络攻击影响的各种信息资产,分配适当的风险级别,并应用安全措施和控制,以最大限度地减少和控制成功的网络攻击的结果。

4.必要时寻求网络安全帮助

虽然用户可以自己做,但最好是与拥有网络安全风险评估专业知识的公司合作。如果网络安全顾问在适当的细分市场有知识和工作经验,这也是很好的,因为它提供了如下优势:

  • 帮助选择正确的网络安全框架
  • 提供监管标准的指导
  • 告知预期的基准分数
  • 如果合作公司帮助实施网络安全风险评估产生的流程和控制,则会有额外的好处。

进行网络安全风险评估或改变解决问题的方法永远不会太迟或太早。

苦涩的事实是,公司最终会在网络安全上花很多钱——或者如果询问专家,与公司可能面临的潜在风险相比,这太少了。网络安全风险评估可以帮助公司在投资方面做出明智的决定。你需要做出明智的决定,平衡风险和防范网络威胁的花费。决定花多少钱更像是一门艺术,而不是一门科学。

Erez Ravina高级安全架构师在哪里L&T技术服务,以色列。Atanu他现为L&T技术服务公司网络安全实务主管。L&T技术服务公司是CFE媒体内容合作伙伴。《控制工程》、《CFE媒体与技术》副主编Chris Vavra编辑cvavra@cfemedia.com

更多的答案

关键词:网络安全,网络安全风险评估

网络安全风险评估(CRA)帮助公司确定他们需要集中精力的地方,并提高公司的安全性。

利用资源从专家那里获得帮助有助于减少CRA过程中的不确定性。

考虑一下这个

是什么在进行网络安全风险评估后遇到的最大挑战或障碍是什么?


Erez Ravina和Atanu Niyogi
作者简介:Erez Ravina是以色列L&T技术服务公司的高级安全架构师。拉维纳在提供整体安全解决方案方面拥有20年的经验,使企业能够在竞争激烈和复杂的技术环境中实现其目标。他是为复杂的端到端系统(包括云部署、终端用户设备、应用程序和企业IT)设计安全性的专家。Atanu Niyogi是L&T技术服务公司网络安全业务主管。拥有超过15年的经验,Niyogi曾在多个物联网、云计算和分析项目中担任技术架构师。在他目前的角色,他帮助企业建立健全的网络安全战略。Niyogi是物联网安全方面的专家,对构建产品和OT安全及解决方案有浓厚兴趣。