采用基于風險的方法應對網(wǎng)絡安全威脅

闞哲

網(wǎng)絡安全已經(jīng)成為企業(yè)董事會擔憂的一個主要問題。安全團隊努力應對不斷擴大的技能差距、日益分散的網(wǎng)絡、可見性和補救以及掃描誤差導致工作負載不斷增加等問題。安全團隊的任務是克服日益嚴峻的挑戰(zhàn)，發(fā)現(xiàn)和補救具有最高業(yè)務風險的漏洞。因為如果發(fā)生數(shù)據(jù)泄露對企業(yè)的業(yè)務影響可能是巨大的。

很多企業(yè)的網(wǎng)絡安全戰(zhàn)略已經(jīng)落后，這并不是什么秘密。調(diào)研機構最近發(fā)布的一份報告顯示，在迅速變化的威脅形勢下，40 %的首席安全官認為他們的企業(yè)并沒有對網(wǎng)絡安全做好充分的準備。這一統(tǒng)計數(shù)據(jù)表明，過去幾年，隨著數(shù)字化轉型的步伐加快，網(wǎng)絡攻擊面已在擴大。

與此同時，網(wǎng)絡犯罪的復雜性在不斷增加，新的漏洞數(shù)量也在不斷增加。即使是更早的漏洞（例如Log4j），在未來幾年仍將對企業(yè)構成威脅。

Anteliz表示，全球在2021年公布了20 174個新漏洞，高于2020年的18 341個，這凸顯出漏洞的數(shù)量快速增長。在過去的一年，美國網(wǎng)絡安全和基礎設施安全局（CISA）發(fā)布了30多個安全警告，警告企業(yè)防范一些能夠被利用的漏洞，其中許多漏洞影響了各行業(yè)組織。影響許多設備和企業(yè)的警報的一個例子是Icefall漏洞，CISA為此在2022年6月發(fā)布了警報提醒公眾。這些警報解決了56個影響全球幾個關鍵基礎設施環(huán)境中操作技術（OT）設備的漏洞。受到影響的供應商包括霍尼韋爾、摩托羅拉、歐姆龍、西門子、艾默生、JTEKT、Bentley Nevad、Phoenix Contract、ProConOS以及Yokogawa等公司。

影響企業(yè)運營業(yè)務的漏洞并不復雜，導致企業(yè)無法最大限度地減少摩擦，也無法集中精力于健康安全和環(huán)境（HSE）影響。這使得網(wǎng)絡威脅行為者能夠更快地發(fā)現(xiàn)新的攻擊并將其武器化，從而導致許多漏洞。

網(wǎng)絡安全已經(jīng)成為企業(yè)董事會擔憂的一個主要問題。安全團隊努力應對不斷擴大的技能差距、日益分散的網(wǎng)絡、可見性和補救以及掃描差距所導致工作負載不斷增加等問題。安全團隊的任務是克服日益嚴峻的挑戰(zhàn)，發(fā)現(xiàn)和補救具有最高業(yè)務風險的漏洞。數(shù)據(jù)泄露對企業(yè)的業(yè)務影響可能是巨大的。隨著威脅和壓力的增加，那些繼續(xù)依賴傳統(tǒng)反應性網(wǎng)絡安全方法的企業(yè)將會繼續(xù)落后。

漏洞掃描并不足夠安全

通常使用的“掃描和補丁”策略忽略了現(xiàn)代漏洞管理的關鍵組件，特別是在設置修復優(yōu)先級時。僅靠掃描程序無法提供足夠完整的網(wǎng)絡拓撲信息，警報會使安全運營過載，因此無法正確識別企業(yè)面臨的真實風險。

采用傳統(tǒng)的方法可能會讓資源有限的團隊感到沮喪，例如依賴電子表格和人工評估來獲取漏洞的洞察。這些方法未能包括所有影響漏洞風險的因素，導致安全團隊無意中將資源浪費在網(wǎng)絡犯罪分子可能永遠不會發(fā)現(xiàn)或不知道如何利用的問題上。

如果沒有及時、準確地檢測高風險漏洞并確定其優(yōu)先級，安全團隊將無法成功降低企業(yè)面臨風險，即使他們關閉了大量漏洞?，F(xiàn)在是采取新方法的時候了，將網(wǎng)絡安全從被動措施轉變?yōu)橹鲃幼R別和降低風險的有效流程。

最近美國國家安全局（NSA）和CISA發(fā)布的指南打開了一個新的窗口，強調(diào)了企業(yè)從傳統(tǒng)方法轉向漏洞管理的重要性，并指出保護OT/ICS的傳統(tǒng)方法不能充分解決當前對這些系統(tǒng)的威脅。該指南建議創(chuàng)建一個完整的“連接清單”，作為緩解風險的關鍵步驟，還強調(diào)了在黑客攻擊之前消除漏洞暴露風險的重要性。為了成功地遵循這些建議，企業(yè)必須采取積極主動的方法來進行漏洞管理，學習在威脅環(huán)境中識別和優(yōu)先考慮暴露的漏洞。

采用基于風險的方法

安全團隊應該尋求采用基于風險的方法來進行漏洞管理，通過使用更復雜的評估策略、優(yōu)先級和補救功能來增加對消除網(wǎng)絡犯罪分子可見的漏洞的關注。

基于風險的網(wǎng)絡安全方法對于任何網(wǎng)絡風險管理計劃都是必不可少的。通過量化風險的概率和將產(chǎn)生的影響，企業(yè)可以就是否減輕、接受或轉移風險做出明智的決定。這種方法可以幫助企業(yè)更有效地分配資源，這比以往任何時候都更重要，可更快速有效地響應網(wǎng)絡威脅?；陲L險的管理還使安全優(yōu)先級與業(yè)務保持一致，并幫助安全領導者在他們的觀點和結果上更具戰(zhàn)略性。

基于風險的網(wǎng)絡安全戰(zhàn)略有多個方面，其中，企業(yè)應該關注以下3個關鍵組成部分。

漏洞分析：通過進行漏洞分析，企業(yè)可以識別可利用的漏洞，并在企業(yè)的網(wǎng)絡配置和安全控制中關聯(lián)數(shù)據(jù)，以確定網(wǎng)絡攻擊在哪里構成最高風險，該策略決定了可以用來訪問易受網(wǎng)絡攻擊的攻擊向量或網(wǎng)絡路徑。

風險評分：網(wǎng)絡風險評分為企業(yè)評估安全態(tài)勢提供了一個客觀的衡量標準，該標準考慮了一系列風險因素，包括關鍵資產(chǎn)脫機的財務影響、威脅情報的可利用性、曝光率和資產(chǎn)重要性。風險評分能夠使企業(yè)在對手破壞系統(tǒng)時量化每天的業(yè)務成本。

漏洞評估和優(yōu)先級：該策略允許具有復雜環(huán)境和有限資源的企業(yè)在最重要的地方通過優(yōu)先考慮構成最大風險的漏洞來實現(xiàn)這一點。為了確定嚴重程度，漏洞評估和優(yōu)先級可以自動考慮威脅情報、資產(chǎn)場景和攻擊路徑分析。

基于風險的網(wǎng)絡安全管理方法具有變革性，使企業(yè)能夠專注于最重要的資產(chǎn)，并主動預防威脅。自動化解決方案可以快速有效地實現(xiàn)基于風險防范的方法，為安全團隊節(jié)省寶貴的時間，還提供了持續(xù)監(jiān)控風險和實時自動響應變化的能力。最近的一項行業(yè)基準研究發(fā)現(xiàn)，在2021年沒有出現(xiàn)數(shù)據(jù)泄露的企業(yè)中，48 %是基于風險的網(wǎng)絡安全領域的領導者。