如何使用基于风险的方法应对网络安全威胁

为什么组织必须从以严重性为中心的观点转变为以风险为中心的观点，通过主动和全面的安全策略将优势还给安全团队。

网络安全策略落后已不是什么秘密。在快速变化的威胁形势下，最近的一份报告发现 40% 的首席安全官认为他们的组织没有做好充分准备。

该统计数据涉及在过去几年中数字化转型工作如何加速以及攻击面如何扩大。

同时，网络犯罪分子的复杂性也越来越高，新漏洞的数量不断增加。甚至更早的漏洞，例如今年早些时候被命名为地方性漏洞的 Log4j，在未来几年仍将对组织构成威胁。

今年早些时候，Skybox Research Lab 透露，2021 年发布了 20,174 个新漏洞，高于 2020 年的 18,341 个，突显出漏洞在野外增加的速度有多快。

在过去的一年里，CISA 发布了 30 多个警报，警告组织注意已知被利用的漏洞，其中许多漏洞影响着广泛的行业。影响许多设备和组织的警报示例之一是Icefall 漏洞，CISA 在 6 月提醒公众注意。

这些警报解决了影响全球多个关键基础设施环境中的操作技术 (OT) 设备的 56 个漏洞。受影响的供应商包括霍尼韦尔、摩托罗拉、欧姆龙、西门子、艾默生、JTEKT、Bentley Nevada、Phoenix Contract、ProConOS 和 Yokogawa 等知名企业。

影响这些设备的漏洞并不复杂，无法最大限度地减少摩擦并专注于健康安全和环境 (HSE) 影响。这使威胁行为者能够更快地发现新漏洞并将其武器化，从而导致许多漏洞。

网络安全已成为董事会层面的关注点。安全团队努力应对由不断扩大的技能差距、日益分散的网络、可见性和补救以及扫描差距驱动的不断增加的工作量。

安全团队的任务是解决发现和修复具有最高业务风险的漏洞这一日益严峻的挑战。违规的业务影响对组织来说可能是巨大的。随着威胁和压力的增加，那些继续依赖传统的网络安全被动方法的人将继续落后。

漏洞扫描器是不够的

常用的“扫描和修补”策略忽略了现代漏洞管理的关键组成部分，尤其是在设置修复优先级时。仅靠扫描仪无法提供足够完整的网络拓扑感知，使安全操作超载并发出警报，因此无法正确识别公司的真实风险。

传统方法，例如依靠电子表格和手动评估来深入了解漏洞，可能会让资源受限的团队感到沮丧。这些方法未能包括影响漏洞风险的所有元素，导致安全团队无意中将资源浪费在网络犯罪分子可能永远不会发现或不知道如何利用的问题上。

如果不及时准确地检测高风险漏洞并确定其优先级，安全团队将无法成功降低公司面临的风险，即使他们正在关闭大量漏洞。是时候采用一种新方法，将网络安全从一种被动措施转变为一种有效流程，从而主动识别和降低风险。

最近的NSA和CISA指南强调组织从传统方法转向漏洞管理的重要性，指出保护 OT/ICS 的传统方法不足以解决当前对这些系统的威胁。这些组织建议创建一个完整的“连接清单”作为缓解的关键步骤。

该指南还强调了在黑客攻击之前解决漏洞暴露风险的重要性。为成功遵循这些建议，组织必须通过学习识别整个威胁环境中暴露的漏洞并确定其优先级，从而采取主动的漏洞管理方法。

采用基于风险的方法

安全团队应寻求采用基于风险的漏洞管理方法，方法是更加关注使用更复杂的评估策略、优先级排序和补救功能来消除网络犯罪分子可见的漏洞。

基于风险的网络安全方法对于任何网络风险管理计划都是必不可少的。通过量化风险的概率及其将产生的影响，组织可以就是否减轻、接受或转移该风险做出明智的决定。

这种方法可以帮助组织更有效地分配资源，这比以往任何时候都更加重要，并且可以更快、更有效地响应威胁。基于风险的管理还将安全优先级与业务保持一致，并帮助安全领导者在他们的观点和结果上更具战略性。

虽然基于风险的网络安全策略有多个方面，但组织应关注三个关键组成部分以成功实施：

• 暴露分析：通过进行暴露分析，组织可以识别可利用的漏洞并关联组织网络配置和安全控制中的数据，以确定网络攻击在何处构成最高风险。此策略确定可用于访问易受攻击系统的攻击向量或网络路径。  
  
  
• 风险评分：网络风险评分为组织提供了一种客观的衡量标准，用于评估安全态势，其中考虑了一系列风险因素，包括关键资产离线的财务影响、威胁情报的可利用性、风险暴露和资产重要性。如果对手破坏系统，风险评分允许组织量化每天的业务成本。
  
  
• 漏洞评估和优先级排序：该策略允许具有复杂环境和有限资源的组织通过对构成最大风险的漏洞进行优先级排序，在最重要的地方将他们的努力归零。为确定严重性，漏洞评估和优先级排序可以自动考虑威胁情报、资产上下文和攻击路径分析。
  
  

基于风险的网络安全管理方法具有变革性，使组织能够专注于其最重要的资产，摆脱救火模式，并主动领先于威胁。

自动化解决方案可以快速有效地实施基于风险的方法，并为安全团队节省宝贵的时间。它们还提供了持续监控风险并自动实时响应变化的能力。

最近的一项行业基准研究发现，在 2021 年没有违规的组织中，有 48% 是基于风险的网络安全领域的领导者。