趋势与观点 | 网络安全审计的六个步骤和六大收益
20世纪80年代,美国空军创造了"网络安全(cybersecurity)"一词用于描述计算机网络的保护。1985年,美国空军发表了一篇关于该主题的论文,并首次在公开论坛上使用这一术语。
进入20世纪90年代,随着互联网的普及,美国政府成立了美国国家标准与技术研究院(NIST),负责制定网络安全标准。1997年,NIST出版了第一版关于信息系统安全控制措施的特别出版物(SP)800-53。
近年来网络攻击变得越来越频繁和复杂,网络安全一词现在广泛用于描述包括硬件、软件、数据和人员在内,对计算机系统和网络各个方面的保护。
随着越来越多的日常生活转移到网上,个人和财务信息成为网络攻击目标的风险也越来越大。因此,网络安全正成为企业、政府和个人面临的关键问题。他们必须采取措施保护自己的系统和网络,降低网络攻击的风险。第一步措施是执行网络安全审计。
网络安全审计可帮助各种规模的组织识别和降低网络安全风险,是对组织信息安全控制措施的系统性检查,确定这些措施是否能有效保护敏感数据和系统。
网络安全审计对于组织实现6个业务目标至关重要:
-
识别和降低风险---网络安全审计可用于协助组织识别安全漏洞和风险,包括识别需要保护的资产、可能对这些资产构成风险的威胁以及可能被攻击者利用的漏洞。通过识别和解决这些风险,组织可以降低受到攻击的可能性。
-
保护敏感信息---组织可利用网络安全审计实现保护敏感信息的目标,包括确保加密敏感数据、仅限授权人员访问敏感数据,以及制定安全程序保护敏感数据免遭未经授权的访问、使用、披露、破坏、修改或销毁。
-
遵守法规---组织定期执行网络安全审计,会更加确信自己没有违反任何安全法规。网络安全审计有助于确保组织遵守特定行业的法规,如《支付卡行业数据安全标准(PCI DSS)》或《美国健康保险便携性和责任法案(HIPAA)》。通过遵守这些法规,组织可以降低被监管机构处罚的风险。
-
改善安全态势---网络安全审计可帮助组织确定如何改善安全态势。审计有助于发现安全控制方面的漏洞、过时的安全政策或员工培训的缺乏。组织通过改进安全态势,可降低网络攻击的风险。
-
赢得客户信任---客户越来越关注个人数据的安全。因此,网络安全审计可帮助组织赢得客户的信任。组织通过定期执行网络安全审计,可向客户证明他们的安全受到了重视。
-
保持业务连续性---网络安全审计可确保组织的关键系统和数据受到保护,降低因网络事件而中断业务运营的风险。
为帮助组织保护数字资产免受网络攻击,网络安全审计必须考虑到信息资产的分类方式。信息资产的重要性因其分类而异。重要程度高的资产需要更严格的控制措施,并更多地保证这些控制措施的有效性和效率。
理解和执行网络安全审计
网络安全审计是对组织的IT基础设施执行的系统地检查,旨在识别并最终用于降低安全风险。网络安全审计的范围因组织的规模和复杂程度而异。
不过所有网络安全审计通常都涵盖以下方面:
-
信息安全政策和程序---审计师必须审查组织的信息安全政策和程序,确保它们是最新的、全面的和有效实施的。
-
物理安全(实体安全)---审计师应评估组织的实体安全控制措施,如访问控制、周界安全和视频监控。
-
网络安全(network security)---还必须评估组织的网络安全控制措施,可能包括防火墙、入侵检测系统(IDS)和漏洞扫描。
-
应用安全---输入验证、输出编码、会话管理以及身份和访问管理(IAM)等应用安全控制措施应纳入审计之中。
-
用户安全---审计师必须评估组织的用户安全控制措施(如密码管理、培训、意识)。
此外,审计师还可能审查组织的事件响应计划、灾难恢复计划和业务连续性计划。
执行网络安全审计的六个步骤
网络安全审计通常包括6个步骤:
-
制定审计计划并确定审计范围。在执行审计之前,审计师应清楚了解组织的IT环境、目标和风险。审计师还必须了解网络安全框架和最佳实践。
-
收集信息、观察结果和数据。可通过以下方式完成:
o 风险评估---评估组织的IT基础设施,确定潜在的安全风险,包括确定需要保护的资产、可能对这些资产构成风险的威胁以及可能被攻击者利用的漏洞。
o 漏洞扫描工具---可用于识别组织IT基础设施中的任何安全漏洞。包括操作系统、应用程序和网络基础设施中的漏洞。
o 渗透测试---可模拟真实世界中对组织IT基础设施的攻击,有助于识别任何可能被攻击者利用的安全漏洞。 -
评估组织网络安全控制措施的有效性。需要评估的控制措施可包括访问、加密和事件响应控制措施。
-
审查已收集的数据,确定任何潜在的安全漏洞或风险。审计师还应评估组织的安全控制措施在缓解这些漏洞和风险因素方面的有效性。
-
将审计结果记录在报告中,并提出改进建议。报告应简明扼要,通俗易懂。报告还应包括可由组织实施,以改善其安全状况的改进建议。
-
后续跟进审计结果,确保组织落实改进建议。审计师应跟踪组织安全状况的进展,并根据需要提出进一步的改进建议。
网络安全审计的结果通常记录在审计报告中。审计报告确定审计期间发现的任何安全风险因素,并可用于针对如何缓解这些风险源提出建议。
结论
定期网络安全审计对于确保组织的安全控制措施是最新的、漏洞得到识别和解决,以及数据得到妥善保护至关重要。
网络安全审计通过以下方式执行:规划和确定审计范围;收集信息、观察结果和数据;评估组织网络安全控制措施的有效性;审查数据并确定潜在的安全漏洞或风险;记录审计结果;以及提出改进建议。组织通过投资于定期的网络安全审计,可降低网络攻击和数据泄露的风险,改善安全态势,并增强客户的信心和信任。
编者按:本文于2024年1月16日首次发表于ISACA官网News and Trends/Industry News。文章内容仅代表作者本人观点。
作者:OSMAN AZAB,CISA,CISM,CRISC,CGEIT,CSAC,信息系统审计、安全、控制、风险和治理专家,拥有38年以上的工作经验。Osman是ISACA®Engage平台上公认的审计、鉴证和治理专题领导者,并参与审核了多个ISACA复习手册和工作实践。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:姚凯(Kevin Yao),CISA,CISM,CRISC,CGEIT,CDPSE,ISACA微信公众号特邀通讯员,关注IT安全,隐私保护和数字化。