网络安全和网络威胁这俩词儿常与网络风险搞混,而且经常被交换使用,但它们真心天差地别。这几个概念之间的差异在哪儿?到底是什么真正定义了公司的网络风险态势、内部风险态势和公司风险环境中的威胁可利用性呢?
上月在旧金山举行的 2017 RSA 大会,可谓安全行业的一个剪影。最大的收获是:几十年对着清单打勾勾的合规驱动式安全方法之后,“风险”终于成为了安全的新合规。终端用户和厂商都在谈论风险,各种形式的风险。
虽然这是个好的发展趋势,本次大会依然表现出了存在于网络风险、网络安全和网络威胁之间内在联系上的混淆。某厂商甚至宣称“威胁就是新风险”。而这在风险专家看来,就是明晃晃的无知。什么才真正定义了网络风险?网络风险是由多种因素构成,包括合规形势、威胁、漏洞、可达性和业务关键性。
我们必须认识到一个事实,那就是:仅仅关注来自内部安全情报的发现,比如漏洞扫描、配置管理数据库、SIEM系统等等,会导致修复行动的偏差和资源分配的不足。2014的“贵宾犬”漏洞就是个很好的例子。国家漏洞数据库(NVD)给该漏洞打的通用安全漏洞评分(CVSS)是5.5分,而满分是10,这就造成大多数公司都选择不对其进行修复。
通常,公司企业仅修复 CVSS 7分及其以上的漏洞——为了能够应对自身环境中持续的漏洞攻击。然而,如果企业早知道几十万“贵宾犬”漏洞利用被执行,他们大概就会修改自己对该漏洞的评估了。
安全事件的发生需要两个条件:必须出现某种形式的漏洞(例如:软件缺陷或不安全编程;IT基础设施的不安全配置;不安全业务运营;内部人或其他人恶意进行或误操作的风险行为),以及得有威胁利用该漏洞。
一般情况下,安全人员无法直接控制威胁。因此,公司更倾向于专注已知的更显眼的事实——漏洞和控制失败,而忽略网络风险评估中的威胁因素。但是,随着过去几年漏洞数量的大幅增长,如果不审查漏洞被利用的影响和可能性,几乎不可能修复所有漏洞。关键在于,为什么要分配资源去修复根本没有相关威胁且不可及的漏洞呢?
鉴于威胁就是利用漏洞的人,该关系必须是风险评估过程中的一个关键因素。它可再不能被当成拖油瓶来看待了。事实上,高级安全运营团队采用威胁情报来获得威胁人士(比如黑客、有组织犯罪团伙,或者国家支持的攻击者)的能力、当前活动和潜在计划方面的洞见。
一旦内部安全情报与外部威胁数据(比如漏洞利用、恶意软件、威胁人士、信任情报)融合,这些发现就必须与业务关键性相联系起来,这样才能确定安全漏洞的真正风险,以及它们对业务的最终影响。
总之,网络风险,是公司在外部威胁上下文中,对内部安全漏洞潜在暴露面的整体视图。网络风险管理除了带来运营优势,还更好地关联起了各方利益相关者,比如董事会、高管层、业务部门,以及安全和IT运营团队,甚至内部/外部审计员。
本文转自d1net(转载)
