随着企业数字化转型的深入,各类网络安全风险的数量和复杂程度也在快速增加。在此背景下,现代企业的安全管理团队需要及时转变防护思维,从传统安全事件发生后的被动应对模式转变为事前网络安全风险评估,实现对未知安全威胁的主动防范。风险评估的目标网络安全风险评估是指从风险管理的角度,运用科学手段对网络和信息系统面临的威胁和脆弱性进行系统分析。通过开展风险评估工作,企业组织可以发现、识别和定性评估重要信息系统面临的信息安全风险。同时,企业可以根据评估结果,更有针对性地进行威胁管控和处置,重点加强企业网络安全建设中的薄弱环节。这样可以更有效地提高企业网络安全防护水平。安全事件的发生是大概率的,不能仅根据安全威胁的发现时间和可能造成的后果来判断网络安全的投入和安全措施的强度。对于一些实际被利用概率极低的安全隐患,即使爆发后果比较严重,也没有必要不计成本修复。企业在进行网络安全风险评估时,必须坚持综合考虑安全事件后果及其可用性的评估原则。网络安全风险评估还要求组织确定关键业务目标并确定对实现这些目标至关重要的信息资产,然后确定可能对这些资产产生不利影响的网络攻击,以准确了解相关业务面临的威胁环境.让业务部门和安全团队共同做出最优处置决策,实施合理的安全管控措施,将整体风险隐患降低到企业可接受的范围内。风险评估的关键要素进行网络安全风险评估涉及资产、威胁、漏洞等诸多基本要素,每个要素都有自己的要求和属性。为确保风险评估工作达到预定的实际效果,企业在评估中应做好以下工作要素:要素一:确定评估范围风险评估首先应确定评估范围。通常,风险评估的范围需要涵盖整个组织,但这会使评估变得过于繁琐。因此,从某些业务部门、站点或公司的特定领域开始,例如支付处理或Web应用程序。在开始风险评估工作之前,需要尽可能全面地了解业务部门的需求和意见,这有助于了解各种网络资产和流程的重要性、风险隐患、评估影响和风险承受能力。在进行风险评估之前,为了更好地指导组织有序地评估信息安全风险并确保缓解控制适当有效,评估人员还应审查主流安全框架,如ISO/IEC27001和NISTSP800-37。要素2:识别信息资产为了有效地进行网络安全风险评估,有必要清楚地知道应该保护谁。因此,评估组应对风险评估范围内的包括软件和硬件在内的所有信息资产进行识别和清点。对业务至关重要的资产不仅是识别和清查的重点,也是攻击者的主要目标。因此,需要在资产识别的基础上,尽可能做好系统威胁暴露管理。通过信息资产盘点,不仅可以方便地可视化资产和流程之间的连接路径,还可以了解网络的入口和出口点,更容易识别隐藏的威胁。要素3:了解威胁利用方法威胁利用方法是指犯罪分子可能用来对组织资产造成损害的策略、技术和方法。为了帮助识别各种信息资产可能受到的威胁,在风险评估中应使用MITREATT&CK等威胁知识库,将典型攻击的各个阶段和目标可视化,这有助于确定他们需要的保护类型。要素4:分析潜在风险分析潜在风险的目的是评估风险情景实际发生的可能性以及发生时对组织的影响。在网络安全风险评估中,实际风险发生的可能性应取决于威胁和漏洞的可发现性、可利用性和可重现性,而不是取决于历史经验的应用。影响是指利用漏洞的威胁对组织造成的损害程度,应该在每个场景中评估对机密性、完整性和可用性的影响。这部分的评估具有很强的主观性,因此评估人员的专业水平和经验非常重要。要素5:确定风险的优先级每个风险情景都可以使用风险矩阵进行分类(风险级别是“可能性乘以影响”)。为确保企业网络安全风险水平可控,任何高于约定容忍水平的威胁场景都应优先处理。有三种方法可以做到这一点:第一种是避免,如果风险大于收益,那么立即停止这项活动可能是正确的做法;二是分流,通过网络保险或将某些业务外包给第三方,与其他方分担部分风险;第三是缓解,部署安全控制以降低风险程度。5x5风险矩阵图元素6:记录所有风险网络安全风险评估是一项重要且持续的工作。随着新威胁的出现和新系统或活动的引入,需要重复进行安全风险评估。因此,有必要在每项评估工作中为以后的评估提供可重复的流程和模板。同时,有必要在风险登记册中记录所有已识别的风险情景。保持定期审查和更新,以确保管理层始终了解其网络安全风险的最新信息,主要包括:风险场景、识别日期、现有安全控制、当前风险等级、处理方案、进展、残留风险和风险处置责任人们等待。
