做好网络安全风险管理必备的5种能力

news2024/11/16 13:48:04

网络安全风险管理和网络安全防护是两个密切相关但不可互换的概念,网络安全防护侧重于应对攻击和响应正在发生的安全事件,而网络安全风险管理则强调从更全面的视角去评估企业的安全状况和面临的威胁态势,包括了从对组织运营、商誉、财务和合规等多个方面整体应对各种可能发生的网络威胁。

由于网络安全风险具有多面性,因此组织在开展相关风险管理时,也需要一系列广泛的能力支撑,才能有效管控各种特定的风险因素。

资产管理能力

网络风险管理工作始于全面的网络资产洞察与管理。如果连网络资产都不能全面识别,其应用时的风险保护也就无从谈起。企业在管理网络资产时的常见挑战包括全面洞察混合IT环境、重复的IT资产数据梳理以及过时的资产数据库。

据企业战略集团(ESG)在2023年的研究报告《安全卫生和态势管理仍然很分散而复杂》显示,几乎所有(95%)的受访者都会在管理企业的IT资产库存方面面临挑战,近三分之一(32%)的受访者表示使用了十种以上的数据库、系统和工具来管理网络资产。这是需要解决的常见问题。

为了全面洞察组织的网络资产以加强保护,企业应该采用支持统一视图的产品,比如通过借助API连接到配置管理数据库收集数据的安全资产管理系统、攻击面管理工具和漏洞管理平台等。最好的选择就是为基于角色的用例添加数据分析、风险评分和灵活的接口。

基于业务的风险识别能力

风险管理团队应该准确理解,开展网络安全风险管理是为了更好地实现业务发展目标,因此网络安全风险管理的基础要求是要从业务发展的角度识别风险,了解当前网络安全风险的业务环境。从业务发展视角识别现有的安全风险和潜在的安全威胁至关重要,这将决定后续的风险管理工作中需要做多少,以及需要保护的重点是什么。

在ESG的报告中也指出,超过一半(56%)的受访企业表示,很难从业务开展的视角了解哪些资产更加关键和重要。不过,目前主流的网络安全厂商,尤其是漏洞管理和开发安全相关的厂商已开始在其方案中添加这项能力,帮助企业从业务视角对关键IT资产和应用软件进行分类,从而整合业务环境功能。

风险量化能力

只要不影响业务的稳定发展,每个组织可以接受和承担一定程度的网络安全风险。如果经过量化评估的网络安全风险在可承受的范围内,企业的管理者就可以在一定时期内接受该风险,而将注意力和防护资源投入到更需要重视的高优先级风险中。因此,网络风险量化是企业开展网络安全风险管理时不可或缺的能力。需要借助专业的安全工具访问关键数据,比如IT资产数据和相关漏洞。

风险量化需要将业务环境和业务相关成本联系起来,以便从经济损失方面计算和量化风险,方便企业领导者就是否投资于保护环境安全的资源做出明智的决定。网络风险量化还有望改变传统安全防护的游戏规则,因为企业可以有效地管理和拥有风险量化数据,以便更快地做出决策,无需定期进行费力又费钱的安全风险评估。

风险优先级评估能力

通过风险优先级评估,企业管理者和安全团队可以更加合理地分配风险防护资源,聚焦于关键性风险,以最具性价比的方式将风险控制在企业可以接受的范围内。风险优先级评估可以借助风险评分系统(EPSS)来实现,主要考察因素包括风险危害范围界定、风险严重程度、修复难易度和危害记录报告等。

此外,安全团队在评估风险优先级时还应该寻找整合其他重要方面的选项,包括支持业务环境和显示风险活跃度的威胁情报。这使安全团队能够解决最关键的IT资产和应用软件方面风险最高的安全隐患,从而发挥出最大的作用。

持续的风险监控能力

网络安全风险管理是一个整体性工作,也是一个持续的流程。实现持续地网络安全风险监控对于发现新的威胁和安全漏洞至关重要。企业应该积极利用自动化技术,将其量化预警信息或风险暴露状况统一整合起来,提升企业预测潜在风险的能力。实现控制环境与未知风险之间的协同,是开展网络安全风险管理的核心关注点之一。

在过去,安全团队会定期或临时(可能每月或每季度)执行阶段性的渗透测试或漏洞扫描,使用多种类型的工具来执行扫描、生成结果、修复已发现的问题,并持续重复这个过程。随着安全供应商将持续监控概念整合到产品中,我们看到这方面迎来了发展。工具能够持续、自动化地运行之所以很重要,是由于它从根本上消除了传统扫描之间的时间间隔,也减少了手动扫描所需的工作量。

德迅云安全-风险评估

帮助企业系统分析资产所面临的威胁,及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度。并提出有针对性的抵御威胁的防护对策、整改措施。为防范和化解风险提供科学依据。

为什么要做风险评估?

更准确地认识风险

系统地评估资产风险事件发生的概率大小和概率分布,及发生后损失的严重程度。帮助区分主要风险和次要风险。

保证规划的合理性和可行性

正确反映各风险对信息安全的不同影响,使规划的结果更合理可靠,使在此基础上制定的计划具有现实的可行性。

合理选择高效的风险对策组合

风险对策会付出一定代价,需将不同风险对策的适用性与不同风险的后果结合考虑,使不同风险选择适宜的风险对策,形成高效的风险对策组合。

风险评估内容

第一步:评估准备

1.项目成员人、工具包、访谈表单、流程;
2.制定风险评估方案;
3.了解应用系统、主机、数据库、网络环境、安全设备、组织架构、管理制度等。

第二步:技术评估

1.基线评估:对主机、网络设备、数据库、中间件(账户安全、访问控制、网络安全等27项);
2.应用评估:安全功能、日常维护(身份认证、访问权限控制、传输安全等12项);
3.渗透测试:业务系统、APP程序、微信小程序(信息泄露、注入漏洞、逻辑错误等15项)。

第三步:管理评估

1.技术管理评估:物理环境、通信与操作管理、访问控制、系统开发与维护、业务连续性;
2.组织管理评估:安全策略、组织安全、资产分类与控制、人员安全、符合性。

第四步:评估报告

1.列出在风险评估工作中,发现的重要资产分布、脆弱性分布及综合威胁分布;
2.详细描述安全风险现状及评估分析结果;
3.提出风险控制方案,为之后的加固整改提出合理化建议。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1992143.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

值得注意!家里有带毛发动物就有浮毛?宠物空气净化器一键净化

上次跟朋友逛完街去她家,她家热情的哈基米开门就一个猛冲,我朋友接住就是一顿猛亲,亲猫一时爽,汗液粘着猫毛,粘得满手臂、满脸都是,看得鼻炎星人头皮发麻...好多养宠物的都说,梳毛根本不管用&am…

关于let 、const和Object.freeze的使用记录

let和const的使用差异 let对象变量,可以修改对象属性,可以给变量重新赋值 const对象变量,可以修改对象属性,不可以给变量重新赋值 Object.freeze()返回一个不可变对象,需要接收返回值。不会改变原参数的性质

LVS详解及其NAT模式与DR模式部署(全网最详细!!!)

文章目录 LVS集群概念集群和分布式 LVS运行原理LVS简介LVS专业术语工作原理LVS调度算法ipvsadm常用命令 LVS工作模式及其原理NAT模式DR模式TUN模式fullnet模式 部署NAT模式集群案例DR模式(企业中最常用)LVS持久链接(session回话问题解决&…

SimpleITK C++版在windows 下编译

一般都是用python 版的SimpleITK,因为项目需要集成到C Qt上,然后ITK用起来又不如SimpleITK方便,所有就编译了C版的Sitk,下面记录下过程。 版本对应 SimpleITK 编译需要ITK ,而且不同版本需要对应不同的ITK,sitk 2.2.1 对应ITK 5…

基于Hadoop的海量电商用户行为分析及机器学习购买预测研究【购物行为分析、100万条数据案例项目】

文章目录 有需要本项目的代码或文档以及全部资源,或者部署调试可以私信博主引言研究背景国内外研究现状研究目的研究意义 关键技术理论介绍Hadoop集群搭建及数据准备Hadoop全套组件搭建数据集介绍数据预处理 基于大数据的电商用户行为指标分析HIve准备数据表flume配…

在哪些行业中,3D 技术发挥了重要作用?

3D技术目前常见于行业或领域中的应用,主要包括3D数字孪生、3D打印等。3D数字孪生技术作为一种前沿技术,在多个行业中发挥着重要作用,它通过创建物理实体的数字化副本,实现对实体的实时监控、预测和优化。以下是一些3D数字孪生技术…

【总结】TCP/IP四层模型的理解

在开始之前放上一张本文章的核心图片,要一直记住图中的内容!!! 一、概念理解 首先我们知道分析网络的时候有两种模型,一种是OSI七层模型,另一种就是TCP/IP四层模型。一般来说,我们常用的就是TC…

医疗工厂网络同步时钟,子母钟系统结构,可使用十年以上

在医疗和工业领域,准确的时间信息对于确保各项工作的高效运行至关重要。网络同步时钟系统因其高精度、易维护等特点,成为现代医疗工厂不可或缺的时间管理工具。本文将详细介绍网络同步时钟系统的优点及其技术细节。 一、网络同步时钟优点 网络同步时钟系…

工业设计用什么CAD软件?SolidWorks 成为您创意实现的得力助手

随着科技的发展,工业设计已经进入了数字化时代。对于设计师来说,选择一款高效、功能全面的设计软件至关重要。在市场上众多的CAD(计算机辅助设计)软件中,SolidWorks因其出色的性能和广泛的适用性而备受青睐。本文将介绍…

各地区搭子群扩列群h5公众号小程序app开源版开发

各地区搭子群扩列群多开h5公众号小程序app开源版开发 多端应用,源码开源支持自主二开;域名授权。 搭子群和扩列群通常是用来帮助人们找到志同道合的朋友或活动伙伴的社交平台。这些平台可以采用H5页面、微信公众号、小程序或独立的应用程序等形式。下面…

winform 设置TabControl中tab标签的宽度

问题: tabpage标签太挤了,标签间的间隔也不明显。解决方法: 将TabControl的SizeMode属性设为Fixed设置ItemSize的大小(width) 调整后效果:

暗区突围端游下载不了/下载失败/下载太慢的有效解决办法分享

暗区突围端游的第一次测试已经过去了一段时间了,毕竟是第一次测试,当时还是有很多问题的,比如说很多玩家根本拿不到测试资格,还有些是因为游戏优化太差,卡的就玩不了。现在这些问题通通不用担心了,端游在13…

和鲸科技助力 Datathon 会前培训成功举行,“理-工-医-信”跨学科合作,以数据驱动医疗实践

2024 年 8 月 3 日,由解放军总医院和中国生物医学工程学会临床医学工程分会共同举办的第五届“解放军总医院—麻省理工学院医疗大数据学术交流及 Datathon 活动”会前培训班于线上圆满收官,和鲸科技为会前培训班提供全程技术平台支持,该培训班…

掌握 4个SD 卡数据恢复技巧,避免数据丢失!

SD 卡作为一种常见的存储设备,里面通常存放着完美的照片、视频、文档等重要数据。但是,在生活中SD 卡数据丢失的情况时有发生,非常令人崩溃。那今天咱们就来讨论一下4个有效恢复SD卡数据的方法! 1、福昕estore 直通车&#xff1a…

软硬链接和动静态库

为什么一定要提供路径呢? 因为要根据路径找到文件 一切与路径相关的问题都是方便用户去访问文件 软硬链接 给我康康 软链接是这样的: ln -s file_target1.txt file_soft.link 软链接有独特的innode 这是硬链接: ln file_target2.txt …

免费【2024】springboot 高校毕业生离校管理系统的设计与实现

博主介绍:✌CSDN新星计划导师、Java领域优质创作者、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和学生毕业项目实战,高校老师/讲师/同行前辈交流✌ 技术范围:SpringBoot、Vue、SSM、HTML、Jsp、PHP、Nodejs、Python、爬虫、数据可视化…

BIMRender渲染器插件上线 |一款免费的模型实时渲染插件

说到模型渲染和渲染软件 我猜你肯定遇到过下面这些问题: ● 投入产出比低:项目汇报需要高质量的渲染效果图,又不希望在低使用频率的渲染软件投入时间和高昂的成本,专门安装它们似乎并不划算; ● 操作复杂:…

湖北建筑特种作业人员“秘籍”:取证、延期、注销全攻略

湖北建筑特种作业人员“秘籍”:取证、延期、注销全攻略 湖北建筑施工特种作业人员 特种作业人员考核取证、继续延期、变更注销等全部事项都已下放到各市州主管部门。也就是说在湖北省报考建筑电工、焊工、架子工、信号工、起重机械司机、施工升降机等可以就近选择。…

2024高中生必备物品有哪些?学生党速看这五件好物

新的一年开学季又来临了,许多同学还在犹豫要为开学准备哪些物品呢?今天小编整理了五件高中生必备物品,学生党请收下这份清单,从学习用品到生活用品、从智能产品到健康防护,这些小物都在学习生活中发挥着重要作用&#…

Java程序设计:Java 网络聊天室服务器端

网络编程相关内容见上一篇:Java程序设计:Java网络编程实验 目录 1 实验名称 2 实验目的 3 实验源代码 4 实验运行结果图 5 总结 1 实验名称 Java 网络聊天室服务器端 2 实验目的 继续熟练掌握在eclipse中调试代码 掌握Java面向对象思想掌握多线程在该项目中的…