面向初学者的网络安全(二)(1)https://developer.aliyun.com/article/1507723
十二、基于风险的网络安全和堆叠风险
从所有案例研究中应明显的是,任何因网络安全严重违规而受到惩罚的组织都缺乏对他们所承担风险的清晰理解。这些组织明显承认他们缺乏对其活跃风险的联系和了解。
有效的网络安全管理依赖于准确捕捉和升级优先风险。如果重要问题或问题没有在个体层面得到一致捕捉,并在必要时得到适当升级,执行管理团队将在一个不知情的环境中运作,对真正的差距及其比较优先级没有概念。
在本章中,我们涵盖了:
- 什么是网络安全风险?
- 如何捕捉和管理个体风险?
- 如何处理测量、监控和管理风险集群:
- 风险登记
- 风险评估
- 如何应用基于风险的网络安全管理。
单独管理风险,虽然重要,但如果由于网络安全系统的缺陷而无法进行集体风险的概述,仍会产生问题。
当组织因入侵和数据丢失而遭受重大财务损失时,总是存在一系列独立且未解决的风险。我们将这称为堆叠风险,并将在本章的网络风险登记部分更详细地讨论这个主题。
| 堆叠风险 - 允许看似独立的潜在问题(风险)在同一数字领域中累积的现象。如果没有足够的识别和解决,个体风险可能形成一种有毒的问题积累,可以一起利用以创建一个远远大于个体组件所暗示的风险。巨型违规通常是堆叠风险与有动机的攻击者结合的结果。 |
在我们探讨风险是什么之前,考虑人们在理解任何类型风险时所存在的一般问题和偏见是有用的。
考虑以下项目以及你认为它们对生命构成的威胁的相对大小,根据它们每年在北美造成的死亡人数:
- 自动售货机
- 棕熊袭击。
- 软玩具。
- 左撇子。
如果没有任何指标或分析,我们很容易对这些事物所带来的真正危险产生扭曲的印象。
实际上,每年在北美,自动售货机(当人们摇晃它们以取回松动物品时)造成的死亡人数比棕熊还要多。软玩具造成的死亡人数比棕熊或自动售货机还要多。据信,左撇子导致这些因素中死亡人数最多,因为左撇子使用为右撇子设计的设备时会发生事故。
(1991 年心理学家戴安·哈尔彭和斯坦利·科伦进行的一项备受争议的研究显示,左撇子和右撇子的寿命存在显著差异。后来,许多人对该研究提出了质疑,因为它似乎包含了一些统计异常。然而,基于其他研究,社会科学家和流行病学家一致认为,使用为右撇子设计的设备的左撇子确实会导致他们发生更多的事故。)
- 根据美国消费品安全委员会的数据,2012 年美国记录了 11 起与软玩具有关的死亡案件。
- 每年有两到三人因自动售货机事故在美国丧生。
- 每年北美地区平均有一人被棕熊杀死。
- 由于没有记录左撇子的死亡人数,所以对此无法得出结论。
这与网络安全有何关联?
在网络安全中也存在同样的问题;如果没有准确了解某些风险背后的数据,我们就可能会在安全工作和预算的重点方面犯错。
没有对风险的全面了解,作为一名网络安全经理,我可能会倾向于优先考虑在数据加密上的支出,因为它涵盖了大量潜在的攻击面。然而,如果我对问题有全面的可见性,并且了解某些对策的比较成本和收益,我可以轻松确定前二十个或更多的优先级更高、影响更大、成本更低的因素应该优先解决。
由于未解决的风险造成的损失最大,因此有必要全面而连贯地了解整体风险,以准确理解网络安全的优先事项应该在哪里。
当风险孤立呈现时,无法理解它们的比较优先级。
在我们讨论整体的、全面的观点之前,我们仍然需要了解捕捉和管理个别风险的基础知识。
什么是网络安全风险?
任何有可能对我们使用的电子设备或它们存储或交易的信息造成不利影响的事物都可以被视为网络安全风险。请记住,对网络环境的风险可以来自技术和非技术来源。
例如,如果一个组织存在着未能定期提供安全意识培训的问题,这仍然可能构成网络安全风险,因为这可能导致员工形成不良的使用习惯,进而促使更多的恶意软件攻击成功。
本书前面我们已经看过威胁、漏洞和其他空白。当这些因素有足够的发生概率并且有能力造成显著不利影响时,它们中的每一个都可能成为风险的来源。
这是因为风险的唯一两个关键因素是:
- 问题发生的概率(也称为潜在、可能性或机会)。
- 影响足以引起重视的程度。
衡量概率的方法有很多种。最有效的方法是确保所有可能性表达或发生某事的机会都被转化为百分比值。风险分配的初始概率百分比不需要完全正确也是不可能的或不必要的。这是因为随着对风险的信息增长,分配给每个风险的百分比值将越来越准确。
衡量影响的方法也有很多种。最有效的方法是将潜在中断的成本转化为反映以下两点的财务金额:(i)问题发生后修复或恢复的成本,以及(ii)问题可能给组织带来的总成本。
请记住,由于中断、收入损失或品牌损害给组织造成的成本往往对财务影响估计贡献最高。
在这两种情况下,如果没有数字值,就不可能以任何有意义的方式评估风险。这是因为记录和监控风险的人否则将无法以共同的标准比较风险。
例如,如果我有一个风险(风险 A)可能造成一百万美元的损失,另一个风险(风险 B)可能造成一千万美元的损失,它们可能都被认为是‘非常高’的影响,这取决于组织的规模和预算。只有通过具体的数字,我才能确定其中一个风险比另一个高十倍,因此更有可能成为更高优先级的解决方案。
风险管理者通常使用一个简单的数学公式来帮助确定优先事项。通过将风险的概率(%)与潜在影响($)相乘,我可以得出一个调整后的风险数值,可以帮助我确定风险的优先级。
- 风险 A 发生的概率为 75%,如果发生,成本为一百万美元。
0.75 x 1,000,000 = $0.75m
- 风险 B 发生的概率为 5%,如果发生,成本为一千万美元。
0.05 x 10,000,000 = $0.5m
尽管风险 B 可能具有更高的潜在财务影响,但通过结合概率,我们可以确定风险 A 更有可能发生的情况下,我们应该首先解决风险 A。
但是,还有第三个关键参数需要考虑:接近性。
接近性是一个时间度量,帮助评估我们预计风险何时会变得活跃和成问题。
例如,我们可能在六个月后推出与风险 A 相关的新服务,但风险 B 可能是已经存在的一个空白或问题。在这种情况下,我们可能合理地选择更早解决即时风险,而不是尚未成为活动问题的风险。
捕捉关于风险的基本数字信息是管理风险的关键步骤之一。
确定某事是否构成风险的基本要素是具有足够的概率和影响,使该项变得足够重要以进行跟踪。这就是所谓的重要性。
| 重要性 - 具有足够重要性或规模以引起关注。 |
通常情况下,组织越大,被视为具有足够重要性被记录和管理为风险的财务影响就越大。
如果我在单个应用程序中识别出一个个别的、关键的漏洞,只有当它可能(单独)对我的组织造成重大影响时,才有可能被视为风险。我仍然需要确保通过正常流程将其管理到闭环,但我不需要要求将其跟踪为风险。
但是,我也可能确定同样的关键漏洞可能存在于大量其他应用程序中,因此需要紧急调查。在这种情况下,如果我认为集体影响显着,我将将其升级为风险。
每个组织都会定义其重要性阈值,通常为一定的财务金额。如果一个差距或问题可能给组织带来超过$x 的财务风险(其中 x 是组织确定的重要性阈值),则应将其纳入风险管理流程。
本章的风险登记部分还有更多关于重要性的信息。
如何捕获和管理个别风险?
当报告风险时,重要的是有效地进行管理。
有效管理个别风险需要一致的方法来捕获和管理每个风险。使用一致的流程创建的风险信息可以更容易地进行比较、连接、升级(如果需要)和后续优先处理。
有几种风险框架可供选择,包括 ISO 31000(国际标准化组织的风险管理方法)、COSO(来自特雷德韦委员会支持组织的委员会)、企业风险管理框架和 ISACA CRISC(信息系统控制风险认证)。
所有上述框架都值得探索,可以根据个人或组织的偏好进一步探索。对于我们的目的,我们将研究所有风险框架共享的核心概念。
三个关键要素是:
- 所有权:确保每个活跃的风险都有明确的负责人。
- 生命周期:定义并使用一致的风险生命周期,以确定风险处于何种状态。
- 风险信息:确保捕获足够的关于风险的信息,包括其概率和影响。
所有权
每个个别风险必须有一个明确定义的所有者,他承担管理风险的责任。单点责任在这里和整个安全框架中一样重要。其他人可以并将帮助管理和控制风险,但必须有一个具体负责管理风险直至最终关闭的人。
生命周期
所有个别风险都有一个生命周期。它们被发现,调查,分析,处理并根据需要关闭。最简单的风险生命周期可能只考虑风险是“开放的”(仍然是潜在威胁)还是“关闭的”(不再是潜在关注)。
您的风险生命周期阶段越精细,以后区分仍在调查中的新风险与其他风险在风险管理过程中进展更多的风险就会更容易。
一个有用的基本生命周期阶段集合是:
- 已识别
- 调查中
- 分析
- 处理中
- 监控
- 已关闭
这些不需要按顺序进行。例如,有些风险可能被报告(识别),调查,发现不是风险,并关闭。
风险信息
除了对风险的简要描述外,捕获其他关键信息也很重要。如前一节所述,确保捕获有关概率和影响的信息至关重要。一开始这并不重要,因为风险的信息应在其生命周期中逐渐澄清(或详细说明)。
当以使风险的影响更容易在以后分析时捕获风险信息时,风险信息更有效。例如,与其仅在自由文本中记录影响信息,当可以利用多选列表时,这将更有用。如下所示,这可以允许风险所有者选择可能受到影响的多个因素或系统:
- 丧失关键服务
- 丧失关键产品
- 品牌/组织形象
- 客户数据
- 公司数据
- 员工数据
- 业务流程
- 财务流程
- 内部应用程序
- 外部应用程序
- 法规或法律合规性
- 知识产权
其他标准风险信息可能包括接近程度(风险可能发生的时间)和可管理性(风险所有者认为组织在选择控制风险时的能力)。
通常,还记录了谁报告了风险以及何时(日期和时间)发生这种情况的信息。
风险所有者还(在分析过程中)确定哪种或哪些风险管理方法是适当的。这些方法被称为风险对策或风险处理选项。通常有多达 5 种主要处理风险的方法:
- 预防。这涉及消除风险的根本原因,从而防止风险出现。例如,风险管理人员可能决定不采用已知会引发风险的特定技术组件。这有时被认为是一种规避风险的形式。
- 减少。这意味着减少某件事以减少其潜在影响。例如,减少系统存储的记录数量可以减少其潜在的损失曝光。
- 接受。接受风险意味着不采取任何行动,如果其潜在概率和影响足够低以至于可以吸收,并且采取其他风险处理方法过于昂贵。
- 应急。这意味着创建一个备用计划,以帮助减少风险发生时的影响。例如,如果处于风险之中的系统失败,具有替代功能的另一个系统或流程可以接管,这就构成了一个应急计划。
- 转移。将风险转移给他人意味着让他人承担责任。例如,风险所有者可能选择购买针对潜在损失的保险。
在许多情况下,可能会选择多种风险处理选项。例如,风险所有者可能选择做某事的少一些(减少)并且还要为剩余风险投保(转移)。
有关如何记录有关个别风险的附加信息的灵活性很大。为了使风险信息可用,关键步骤是以一致的方式捕获上述关键信息,然后通过适当的风险列表(称为风险登记表)分享它。
网络风险登记表
| 风险登记表 - 包含每个潜在重大损失或损害曝光的条目的中央库。通常,会有一个最低重要性阈值;例如,必须达到或超过一个最低潜在财务损失值,才需要在库中记录一个条目。如果风险确实发生,它在技术上就变成了一个问题(而不是风险)。项目可以继续在风险登记表中进行跟踪,直到成功管理了影响并解决了根本原因,以至于风险不太可能再次发生。 |
尽管风险登记表只是一个风险列表,但如果使用一致的格式捕捉每个风险的关键信息,它可以提供简单的方法来识别:
- 报告的相似或相同的风险。
- 可以组合的风险(堆叠风险),以创建对安全景观的某部分造成更多潜在问题的整体问题,而不仅仅是个别风险所暗示的。
- 应该解决的比较风险优先级。
关于网络风险登记表的重要之处在于它记录了可能对数字景观造成重大伤害或中断的任何重要风险。这意味着任何可能对网络安全生态系统产生重大影响的因素都应该在这里进行管理和监控。
大型组织通常要求不同的人管理不同规模的风险。只要有一个过程将风险升级到明确定义的重要性水平以上,以引起网络安全经理的注意,这是完全可以的。
在这种情况下,对于每个人的权限级别,仍然最好使用单一风险登记簿,并简单地限制对登记簿的访问或可见性。这将有助于确保更容易识别整体风险趋势和模式,并且已经以标准格式记录了升级的风险。
使用单一风险登记簿的另一个原因是帮助识别堆叠风险。
请记住,堆叠风险发生在不同的个别风险可以累积地以意想不到的方式影响组织的数字化景观的一部分时。例如,组织中的三个不同部门可能报告了三个分别影响攻击面或相同业务流程、应用程序或物理位置的风险。只有在同一位置记录了这些信息,风险管理者才能建立联系并报告这些模式。
捕获和管理风险登记簿方法构建得越智能,风险管理者在管理网络安全优先事项和使组织免受攻击、入侵或其他故障方面就越具见识和效果。
例如,高级网络风险登记簿将允许风险所有者从多项选择列表中选择应用程序、关键业务流程、资产、站点和其他关键参数。这样,不同的风险管理者可以使用相同的变量分析针对这些参数的风险模式。
网络风险登记簿是一种反应性、持续进行的运营机制,帮助风险管理者了解任何时间点的整体风险位置。
风险登记簿的实用性取决于风险所有者如何认真更新它,以及其风险信息选择的工程化程度。
风险登记簿的一个主要好处是,由于已记录了每个风险的重要性(影响和概率)和接近程度,管理者可以就最需要关注和最需要迅速解决的优先事项做出知情决策。
尽管风险登记簿非常有用,但仅依赖于一种反应性风险管理技术是不够的。我们现在将了解一下什么是风险评估,以及如何利用它更主动地识别漏洞。
风险评估
| 风险评估 - 一种用于主动检测现有或计划活动、资产、服务、应用程序、系统或产品中潜在危险或漏洞的系统化过程。 |
风险评估是一种主动方法,确保风险定期分析和考虑任何高价值目标。
风险评估旨在确定可能危害正在审查的特定目标的任何重大风险。它们提出的问题和捕获的信息取决于正在评估的目标类型。例如,如果我正在对一个应用进行网络风险评估,我的问题可能是为了帮助我理解该应用是否可从互联网访问,它持有多少记录,它所传输或存储的信息是否包含个人或金融数据,它是否具有预期的关键安全控制,它过去是否遇到问题或损失,它使用的技术等等。
这些信息帮助我了解该应用作为目标的吸引力,如果受到损害可能造成的损害有多大,以及是否已经采取了足够的安全措施。
尽管风险评估过程因其目标而异,但其目标始终是回答相同的基本问题:
- 目标的价值和敏感程度是多少?
- 是否已经考虑并解决了正确的风险?
- 还有哪些差距(如果有的话)需要解决?
在某物投入使用之前和定期的、明确定义的间隔(例如,每次发布更新或每年,以较早者为准)都应进行风险评估。
良好的网络安全实践确保对数字化景观中至关重要的目标进行风险评估。这些目标特别包括:
- 技术服务(内部或外部)。
- 新的硬件,特别是网络连接的设备。
- 软件应用程序。
- 新的数据交换连接(入站或出站)。
- 任何数据存储位置。
- 网络访问点和其他网关。
- …
风险评估结果有助于积极了解适用于影响组织网络安全状况的特定流程或组件的风险收集。
如果在评估过程中发现超过组织物质性阈值的风险,则也应在风险登记中记录下来。
这些评估有助于推动一种一致且积极的方法,尽早识别风险,当风险成本较低且更容易管理时。
如何应用基于风险的网络安全管理
许多组织可能无法负担得起充分保护其数字景观中的所有内容。这意味着将努力集中在保护创造最高业务收入的项目上,或者如果受到损害,将对业务收入产生最大影响的项目上,变得至关重要。
这被称为采用基于风险的方法,因为它使用每个可能受损项的潜在影响和价值来帮助确定其优先级。
| 基于风险的 – 一种方法,考虑到故障的财务影响,以及其发生的概率和接近程度,以确定其相对重要性和优先级以进行处理。 |
在预算和资源有限的情况下,有必要逐步进行(i)了解业务的真正优先事项是什么,(ii)优化环境以最大化安全性提供的价值和覆盖范围,以及(iii)提供适当的安全控制。
在尝试保护一个新的或之前不安全的环境时,与其试图在第一次尝试中保护所有内容,一个网络安全经理更可能采用更快速、基于风险的方法来:
- 首先确定最有价值的信息目标。
- 确定信息需要流经和传输到的数字资产。
- 验证信息在何时何地需要的业务案例。
- 考虑组织面临的威胁以及它们发生的概率。
- 最小化任何敏感数据的影响,基于业务案例。
- 然后可以高效地添加适当的安全控制。
如果已经有一个维护良好、建立的风险登记表和一套风险评估流程,新经理可以利用这些信息来帮助验证优先级并实施具有正确优先级的行动。
当风险捕获和评估流程尚未实施或成熟时,新的网络安全经理通常会开始对组织进行高级风险评估。该过程的简化版本将在下一章中介绍。
十三、你的网络暴露有多严重?
在审计了许多公司的“深度”安全性之后,我发现,大多数企业最需要关注的漏洞是那些某人可以轻易驾驶卡车通过的漏洞。
解决这些不足的一种方法是使用提供逻辑、逐步指导的现有框架逐步设置所有正确的控制措施。 NIST、COBIT、COSO、UK Cyber Essentials 等框架在实施有效的组织范围方法方面都具有比较优势,并且在方法上存在重叠。
尽管这些框架都提供了评估和解决安全漏洞的有效方法,但还有一些更快捷、更简便的方法可以确定组织当前的网络安全状态。 您可能可以回答这些问题,即使您曾在组织内任职,但与安全部门无关:
- 员工和供应商的安全培训是否是强制性和定期的,并且是否包括关于如何不经意地将恶意软件带入公司的信息?
- 如果个人设备上的组织邮件包含某些敏感信息或已被分类为“机密”或更高安全级别,员工是否无法访问组织邮件?
- 员工是否需要使用两个或三个以上的用户名和密码才能访问主要的业务应用程序?
- 员工是否可以在未经许可的情况下将组织未提供的设备插入主网络(无线或其他)?
- 关键系统或应用程序在工作日内是否会崩溃(其可用性受到干扰)?
- 员工和承包商是否对他们的组织持有积极的支持态度; 它是否普遍被认为是一个良好的工作场所?
- 过去 12 个月,组织是否已经成功避免了网络安全漏洞或其他电子数据损失,而这些事件曾经引起外部关注?
- 安全是否扩展到云服务、移动设备、供应商服务、社交媒体群组和其他数字领域,而这些领域的安全仍然是组织合法责任的范围?
如果您对以上问题的两个或两个以上回答都是“否”,那么您所考虑的组织很可能存在重大的网络安全漏洞。 这并不是一个详尽的测试,但它确实表明了确定一个组织是否存在重大网络安全漏洞可能是一项相当容易的任务,而且几乎不需要内部信息。
这些问题的答案本身并不构成足够的证据,以便将其呈现给组织的执行决策者作为投资于网络安全的业务案例。 提出对这种投资的全面论证需要采取更有结构的方法,以创建对关键业务目标和收入来源的理解,以及至少对它们依赖的主要技术和技术相关流程进行基本的网络安全分析。
在本章中,我们将简要探讨如何识别网络安全不足的主要症状,并将它们转化为一个有意义的业务案例,以帮助激励批准正确的投资来解决这些问题。
这只是一个可以作为组织级别风险评估的一部分使用的非常基本的框架。 它应该只被用作一个起点。
我已经在许多不同的公司中应用了这些方法,它们总是有效的。 通常我只有十天或更少的时间来整理这些信息。 以业务为重点、以风险为基础的方法来分析影响组织网络安全的主要因素,使得捕获和呈现当前状态的一致概览相对容易。
理解的第一个和最重要的关键细节是了解组织的主要业务和收入生成目标是什么。 这可以通过了解企业依赖的主要服务或产品以及审视定义组织前进计划的战略意图来实现。
除非捕获这些信息,否则将无法有效地通知关键决策者发现的任何差距。 至关重要的是,任何问题都以其潜在的业务影响背景呈现。 如果它们纯粹以技术或程序上的缺陷呈现,这些决策者通常会忽视它们。
例如,如果我说我们真的需要投资于$X,以便安全架构师帮助协调和减少我们的攻击面积,一个非技术性的、执行决策者将无法理解这种无形概念的相关性。
但是,如果我以可能性、成本、影响和对业务运营、客户访问和品牌声誉的干扰等方面来呈现相同的问题,这将使这个决策者更容易做出适当的投资决策。 如果我还包括通过改进安全架构可能实现的额外业务收入好处,那么我的案例将更有说服力,因为更好的安全架构可以通过保护对客户和公司都重要的数据来提供更可信赖和健壮的客户体验。 提供以业务为重点的真实例子和数字是获得必要投资的唯一途径。
了解公司的业务目标和它们创造的价值,让网络安全专业人员能够理解现有的防御措施是否足够并且是否适合公司。
应该评估的第一项与网络安全治理有关。记住,这意味着寻找一个负责网络安全管理的单一责任点(一个人),他坐在主管委员会上,或直接向主要执行委员会汇报。所有与安全相关的政策和程序是否在他们的控制之下?他们的角色是否要求他们确保网络安全在业务运营期间得到一贯考虑和管理。
我不打算在本章列出所有的执行、政策和程序要求,但以下治理问题可以作为一个起点:
- 是否有安全指导委员会?他们的权限是否包括网络安全?
- 是否定期编制网络安全状态报告?是否涵盖所有主要的防御措施类别?是否提供给适当的管理人员?
- 网络安全部门的责任是否明确定义?网络安全的主要学科是否得到代表?
- 是否有网络安全政策?
- 是否有企业级安全架构文件?
- 安全架构是否超越网络,覆盖组织信息涉及的所有领域(云端、移动端,…)?
- 是否有安全意识培训程序和计划?是否包括有关可能导致恶意软件感染的实践警告?
- 是否有维护的风险管理程序(或系统),允许轻松识别与数据或电子设备相关的风险?
- 是否有部署新产品、服务和技术的风险评估流程?是否充分考虑了网络安全因素?
- …
也很重要的是检查任何政策、程序或培训文件(如果有)是否定期更新并且是否积极发送给适当的人员阅读和遵守。
下一步是检查是否有可用和可访问的攻击面关键组件清单。具体来说,这应该包括:
- 是否有组织使用的所有主要应用程序的单一集中列表?每个应用程序条目是否标识了业务所有者、用户数量、它管理的信息类型(财务、个人、信用卡,…)?
- 是否有供应商清单,包括技术供应商和其他可能代表组织使用技术的供应商?
- 是否有数字设备清单由组织负责?这些设备的安全状态是否可以检查;例如,验证设备是否运行最新软件?
- 是否包括一个‘批准’的安全设备类型清单?
- 批准设备的安全配置是否有文档记录并且是否适当?
- 所有组织负责的电子个人数据的位置是否都被追踪和管理?
- …
请记住,为了满足单一要求而设置多个系统会产生漏洞。 例如,如果有四个跟踪应用程序清单的系统,这肯定是低效和无效的,因为人员将无法在一个地方查询有关应用程序的信息,或以完全相同的方式捕获此信息。
一旦确定了已经存在(或不存在)的主要治理和管理机制,就可以相对于每个主要产品或服务来查看组织风险。
为了对组织进行快速风险评估而言;
- 如果一家公司生产大量的产品和服务,最好的做法是评估前五或前十名;
- 如果这些产品和服务依赖于共同的系统,将它们视为产品或服务组是评估和理解基础业务原理和网络安全状态的最实际的方式。
- 如果有大量的站点(物理位置)和数据中心,评估一小部分站点是开始的最佳方式。
一次只考虑一个主要产品或服务很重要,要看它们的作用(业务目标),它们使用的电子数据,就像水管工跟踪水流一样,要查看信息流经的所有电子位置。 这将帮助了解潜在的攻击面,需要进一步调查的地方,它们依赖的应用程序,操作它们的人(包括供应商)以及确保网络安全始终被考虑和应用的程序。
考虑每个应用程序使用的数据类型。 应用程序是否包含必须受到更高安全级别保护的信息? 如果数据包含个人、财务或机密信息,则可以合理地预期控制措施会更加严格。
只有了解数据的类型和数量,并分析它流向何处,才能希望确定可能被破坏的地方。
例如,当检查客户关系管理(CRM)系统时,发现另一家供应商每周也会拿走一份完整的信息副本进行分析。 如果我们只检查了主要的 CRM 应用程序和提供商,我们会发现数据受到了很好的保护。 通过检查其他(意外的)位置,我们发现了一些高优先级的安全漏洞和纠正措施!
对于每个确定的位置,应考虑我们在本书中介绍的所有常规网络安全检查。它是否配置安全,是否有访问控制,是否监控以确保运行最新的反恶意软件,信息是否被正确分类,设备是否始终及时地从制造商处更新补丁等等。
应检查管理这些电子位置的程序控制。操作这些位置的工作人员是否需要定期参加安全意识培训课程?访问权限是否根据每个人所需的最少权限管理?行政和运营角色是否分离?
对其整体网络安全状况进行良好的组织评估就像一本好书:它有一个开头,一个中间和一个结尾。
在开头,您需要了解业务需求和重点,然后确定所有主要内容(治理政策、流程和系统)是否已经到位。
在中间,会检查一组关键产品和服务的代表性样本,以了解它们依赖的应用程序、人员、供应商和数字设备。这个阶段还涉及确定业务数据走向的每一步是否都有正确的主要网络安全控制。
一旦确定了任何漏洞,应记录下来,并记录解决问题的纠正措施。
在此过程结束时,您将能够汇总一份总结网络安全状况的报告(是否已经就位)。请记住,这样一份报告的一个重要元素是解释这些漏洞如何可能影响业务收入和运营的翻译。
当我们开始这一章时,我们提到组织遭受重大漏洞时,通常存在重大漏洞。尽管这种审查可能也会识别出非常小的问题,但请记住,执行者不想要或不需要这些细节;他们需要的是大致情况。
评估必须以主要因素的摘要形式呈现给执行者,同时解释它们的潜在业务影响以及可以修复它们的关键纠正措施(和成本)。详细信息应仅提供给感兴趣的人。
通常,风险和漏洞之所以未得到解决,仅仅是因为它们只被提出为技术或程序性漏洞。除非将这些问题以其对业务收入的影响来呈现,否则它们不太可能被解决。
执行报告的一个示例格式可能包括以下主要状态:
- 治理:
- 网络安全执行管理和升级结构。
- 网络安全报告(包括主要风险)。
- 网络安全政策和程序状况。
- 网络安全架构状况。
- 网络安全人员配置。
- 运营:
- 所有信息资产(内部和外部)都集中列入清单,并定期评估。
- 存储电子信息的位置有遵循的信息分类流程。
- 主要业务应用程序和数据存储位置正在积极监控。
- 身份和访问权限得到有效和集中管理。
- 数字设备清单保持与安全状态。
- 已定义并遵循了基线安全配置。
- 适当的安全要求已嵌入到应用程序的开发和/或采购中。
- 有效的安全事件和事件管理(SIEM)流程已经就位。
- 正在监控网络入侵和恶意软件感染率,并且任何趋势或高峰都会触发适当的警报。
- 及时有效地进行补丁管理。
- 用户权限设置为最低可能水平以满足工作要求。
- 高级防火墙正在运作。
- 已就位并运行了有效的反恶意软件解决方案(并在所有预期的设备上运行)。
- 移动设备管理已就位(并在所有预期的设备上运行)。
- 关键系统已就位技术应急计划(业务连续性和灾难恢复计划)。
- 已就位确保未经业务证明而保留电子信息的数据保留和归档政策或程序。
- 合规:
- 一个定期风险评估的计划已就位,并跟踪攻击面的所有关键部分。
- 在 Internet 面向的应用程序投入使用之前以及应用任何更新之前进行了渗透测试。
- 包括针对网络安全相关政策和流程的检查的审核或评估程序是有效的并且已就位。
使用这些检查表相对容易评估组织是否存在可能允许未经授权访问的重大和公开风险。 更难的任务是将这些差距转化为清晰突出任何可能的业务和收入后果的与业务相关的语言。
糟糕的网络安全通常是公司高级管理层不了解问题的更大问题的症状,以及这些问题可能造成的极端个人和专业损害。
上述项目并不是详尽列表;它们旨在帮助快速评估管理安全电子数据和设备安全的主要因素,这是任何组织所依赖的功能。
面向初学者的网络安全(二)(3)https://developer.aliyun.com/article/1507730
