许多组织的网络安全策略已经落后,这已经不是什么秘密了。该研究公司最近的一份报告发现,40%的首席安全官认为,在快速变化的威胁形势下,他们的组织没有为网络安全做好充分准备。这一统计数据表明,过去几年数字化转型步伐加快,网络攻击面扩大。与此同时,网络犯罪越来越复杂,新漏洞的数量也在增加。即使是较旧的漏洞,如Log4j,在未来几年仍将对企业构成威胁。Anteliz表示,2021年全球公布了20,174个新漏洞,高于2020年的18,341个,这凸显了漏洞数量的快速增长。在过去的一年里,美国网络安全和基础设施安全局(CISA)发布了30多条安全警报,警告公司存在可利用的漏洞,其中许多漏洞影响了各行各业的组织。影响许多设备和企业的警报示例之一是Icefall漏洞,美国网络安全和基础设施安全局(CISA)去年6月为此发布了警报以提醒公众。这些警报解决了影响全球多个关键基础设施环境中的操作技术(OT)设备的56个漏洞。受影响的供应商包括Honeywell、Motorola、Omron、Siemens、Emerson、JTEKT、BentleyNevad、PhoenixContract、ProConOS和Yokogawa等公司。影响公司运营的漏洞还不够复杂,不足以最大程度地减少摩擦并将精力集中在对健康、安全和环境(HSE)的影响上。这使网络威胁参与者能够更快地发现新攻击并将其武器化,从而导致许多漏洞。网络安全已成为公司董事会的主要关注点。安全团队努力应对因不断扩大的技能差距、日益分散的网络、可见性和补救措施以及扫描差距而导致的不断增加的工作量。安全团队的任务是克服日益严峻的挑战,即发现和修复构成最高业务风险的漏洞。数据泄露对企业的业务影响可能是巨大的。随着威胁和压力的增加,那些继续依赖传统反应性网络安全方法的企业将继续落后。漏洞扫描不够安全常用的“扫描和修补”策略忽略了现代漏洞管理的一个关键组成部分,尤其是在确定修复优先级时。扫描仪本身无法提供足够完整的网络拓扑图,并且警报可能会使安全操作过载,无法正确识别业务的真正风险。采用传统方法,例如依靠电子表格和人工评估来获得漏洞洞察力,对于资源有限的团队来说可能会令人沮丧。这些方法未能包括影响漏洞风险的所有因素,导致安全团队无意中将资源浪费在网络犯罪分子可能永远不会发现或不知道如何利用的问题上。如果不及时准确地检测高风险漏洞并确定优先级,安全团队将无法成功降低业务风险,即使他们关闭了大量漏洞。现在是采取新方法的时候了,将网络安全从被动措施转变为主动识别和减轻风险的有效流程。美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)的最新指南打开了一个新窗口,强调了企业从传统方法转向漏洞管理的重要性,并指出保护OT/ICS的重要性。不能充分解决当前对这些系统的威胁。该指南建议创建一个全面的“连接清单”作为降低风险的关键步骤,并强调在黑客攻击之前消除漏洞暴露风险的重要性。为了成功遵循这些建议,组织必须采取主动的漏洞管理方法,学习识别威胁环境中暴露的漏洞并确定其优先级。采取基于风险的方法安全团队应寻求采用基于风险的方法来管理漏洞,并通过使用更复杂的评估策略、优先级排序和修复功能,更加关注消除网络犯罪分子可见的漏洞。基于风险的网络安全方法对于任何网络风险管理计划都是必不可少的。通过量化风险的概率及其影响,组织可以就是否减轻、接受或转移风险做出明智的决定。这种方法可以帮助企业更有效地分配资源,这比以往任何时候都更加重要,并且可以更快、更有效地响应网络威胁。基于风险的管理还将安全优先级与业务保持一致,并帮助安全领导者在他们的观点和结果上更具战略性。基于风险的网络安全策略有多个方面,其中,组织应关注成功实施的三个关键组成部分:?漏洞分析:通过执行漏洞分析,组织可以识别可利用的漏洞并关联控件中的数据以确定网络攻击的位置最高风险,该策略确定可用于访问易受攻击的网络攻击的攻击向量或网络路径。?风险评分:网络风险评分为组织评估其安全态势提供了一种客观衡量标准,它考虑了一系列风险因素,包括使关键资产脱机的财务影响、威胁情报可用性、暴露程度和资产重要性。性别。风险评分使组织能够量化对手破坏系统的日常业务成本。?漏洞评估和优先级排序:该策略允许具有复杂环境和有限资源的企业通过对构成最大风险的漏洞进行优先级排序来在最重要的地方执行此操作。为了确定严重性,漏洞评估和优先级排序可以自动考虑威胁情报、资产场景和攻击路径分析。基于风险的网络安全管理方法具有变革性,使组织能够专注于最重要的资产并主动预防威胁。自动化解决方案可以快速有效地实施基于风险的方法,为安全团队节省宝贵的时间,还提供持续监控风险和自动实时响应变化的能力。最近的一项行业基准研究发现,在2021年不会发生数据泄露的企业中,有48%是基于风险的网络安全领域的领导者。
