趋势与观点 | 组织如何持续降低网络风险
网络风险显然已经成为“全球所有组织的明显和现实的危险”。虽然有一些方法可以降低网络风险,但并非所有与网络安全相关的风险都可以消除。我们必须理解网络风险是一个不断变化的参数,需要不断分析并且难以量化。
并非每个与风险相关的网络安全举措都能显著降低风险。有时,随着时间的推移,小的举措会产生累计效应而显著降低风险,并且对组织的成本很低。这些小举措与常规的网络安全尽职调查活动相结合,值得探索。
总是有风险需要识别
例如有一个拥有成熟、资金充足的网络安全,在审计方面有着良好历史的组织,已经开展了详细的风险分析项目和业务影响分析(BIAs),补丁执行速度快,端点管理良好,所有凭据都需要多因素身份验证 (MFA),执行了频繁的渗透测试,员工训练有素,且风险水平是企业可以容忍和接受的。事实上,与垂直行业相比,该组织的风险低于许多类似组织。这是否意味着这个组织根本没有风险?答案是否定的,同时这也不代表企业不能被破坏。如果威胁行为者针对其网络,这样的组织仍可能遭受相当大的损害和经济损失。
降低网络风险的第一步是了解企业存在哪些网络风险来源。面对网络风险,无人能幸免。漏洞和弱点(通常是人为的)是网络和数字世界固有的。无论企业花费多少钱或他们的网络安全团队多么有才华,他们永远无法消除所有风险。组织应始终尝试尽一切可能消除风险,即使是以最小的方式。微小的变化和改进可能会产生重大影响。
人员配置问题放大了风险
适当的网络安全防御由许多层组成。某些层可能会根据战术而改变。许多层会随着时间的推移来来去去。有些层需要很少的时间且不需额外的资金,而其他层在时间和费用方面开支巨大。大型项目的最大瓶颈有时不是预算,而是人员配置。一些最好的网络项目需要许多人为一个共同的目标工作数月。除了完成日常工作外,员工往往没有精力协助额外的重大、耗时项目的完成。缺乏足够的人员可能会导致关键安全改进计划需要更长的时间来完成。
过去,一些网络专业人士会利用当地大学实习生来协助大型、繁琐和资源密集型网络项目。这对双方来说都是双赢的。学院或大学很高兴为学生提供一个现实世界的项目,学生则有机会获得宝贵的经验。
风险是流动的
与理解风险永远无法消除同样重要的是,理解它是一个移动的目标。风险不断波动。组织往往将风险视为停滞的,且每年只需要审查一次,尤其是在内部或外部审计之前。一旦审计结束,直到下一个审计周期才会考虑降低风险、分析和改进。事实上,一些组织不会考虑进行任何更改,除非审计发现建议更改。
在当今瞬息万变的网络安全世界中,流动性至关重要。威胁形势在不断变化。组织百分之九十的风险来自威胁团队为获取经济利益而发起的攻击。这一事实使得即使在截然不同的垂直行业中,威胁形势也非常相似。对于大多数没有商业机密(如图表、公式、专利信息、秘密知识产权)的组织来说,威胁形势由几个组成部分组成:
-
机密数据丢失
-
网络功能和/或网络服务或电子商务功能的丢失
-
无法访问网络和/或数字资源
-
与机密数据泄露相关的声誉和/或法律问题
威胁情报是关键
了解网络风险和威胁形势变化的最佳方法是培养一种思维方式,即不断寻求方法制定和改进威胁情报整体策略。制定和保持威胁情报策略是成熟网络防御中最重要但最容易被忽视的层级之一。
了解威胁组织正在计划什么、他们如何攻击以及是什么让他们成功(或不成功)是响应不断变化的威胁形势的最重要驱动因素之一。从本质上讲,当人们了解威胁形势在不断发展时,他们就可以理解经济利益驱动了大多数攻击,并使用威胁情报来制定针对微小变化的策略,以主动防御威胁组织实时使用的策略。
例如,假设一家金融机构每天从多个来源接收威胁情报。该机构收到一条情报说威胁组织正在成功部署针对其他金融机构的勒索软件。威胁情报包含可用于执行对策的信息。对于每个威胁,都可以启动一定的对策。在某些情况下,威胁情报可能包含与 MITRE ATTACK 等框架相关的信息,这些信息允许目标根据 Internet 协议 (IP) 地址、统一资源定位器 (URL)、端口、哈希、启发式或技术等因素迅速构建对策。
在其他情况下,可以提示快速修补漏洞。有时,网络安全人员可以在邮件网关上阻止某些信息,向最终用户发送通知或向员工提供其他培训。
小改变带来大不同
每个威胁情报公告和相应的对策都有助于降低风险。此外,其他细微更改可以降低风险,例如防火墙外围的地理阻止。在 2023 年,大多数组织可以根据 IP 地址阻止某些国家/地区在外围发送和接收数据包。无论被封锁国家的黑名单是短还是长,如果研究和实施得当,这都会产生重大影响。降低风险的另一种方法是企业与员工协作,围绕某些IT工作流程开发手动流程,以便在技术资源不可用时仍然可以开展业务。
通常,安全团队会用一些较小的想法来改进基于网络事件的警报、日志记录和遥测。无论多小的建议都应得到重视,都要(始终如一地)进行细微的更改,以降低风险并使组织的安全态势成熟。领导层应始终鼓励一个有效、成熟的网络安全团队寻找并实施额外的防御层。事实上,改进的想法可以作为一种有趣的比赛来管理。
结论
良好的防御有许多层次,必须适应不断的变化。如果一个组织未能更新其防御措施,它将落后并失去动力。企业的改进频率永远不要低于威胁团队。否则,它将输给威胁行为者。编者按: 本文于2023年4月11日首次发表 于ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。
作者:作者:PATRICK BARNETT, CISA, CISM, CEH, CISSP, PCI QSA, PCIP,Secureworkssh事故响应首席顾问。
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。