如何使用基于風險的方法應對網絡安全威脅

為什麼組織必須從以嚴重性為中心的觀點轉變為以風險為中心的觀點，通過主動和全面的安全政策将優勢還給安全團隊。

網絡安全政策落後已不是什麼秘密。在快速變化的威脅形勢下，最近的一份報告發現 40% 的首席安全官認為他們的組織沒有做好充分準備。

該統計資料涉及在過去幾年中數字化轉型工作如何加速以及攻擊面如何擴大。 

同時，網絡犯罪分子的複雜性也越來越高，新漏洞的數量不斷增加。甚至更早的漏洞，例如今年早些時候被命名為地方性漏洞的 Log4j，在未來幾年仍将對組織構成威脅。

今年早些時候，Skybox Research Lab 透露，2021 年釋出了 20,174 個新漏洞，高于 2020 年的 18,341 個，突顯出漏洞在野外增加的速度有多快。

在過去的一年裡，CISA 釋出了 30 多個警報，警告組織注意已知被利用的漏洞，其中許多漏洞影響着廣泛的行業。影響許多裝置群組織的警報示例之一是Icefall 漏洞，CISA 在 6 月提醒公衆注意。

這些警報解決了影響全球多個關鍵基礎設施環境中的操作技術 (OT) 裝置的 56 個漏洞。受影響的供應商包括霍尼韋爾、摩托羅拉、歐姆龍、西門子、艾默生、JTEKT、Bentley Nevada、Phoenix Contract、ProConOS 和 Yokogawa 等知名企業。

影響這些裝置的漏洞并不複雜，無法最大限度地減少摩擦并專注于健康安全和環境 (HSE) 影響。這使威脅行為者能夠更快地發現新漏洞并将其武器化，進而導緻許多漏洞。 

網絡安全已成為董事會層面的關注點。安全團隊努力應對由不斷擴大的技能差距、日益分散的網絡、可見性和補救以及掃描差距驅動的不斷增加的工作量。

安全團隊的任務是解決發現和修複具有最高業務風險的漏洞這一日益嚴峻的挑戰。違規的業務影響對組織來說可能是巨大的。随着威脅和壓力的增加，那些繼續依賴傳統的網絡安全被動方法的人将繼續落後。

漏洞掃描器是不夠的

常用的“掃描和修補”政策忽略了現代漏洞管理的關鍵組成部分，尤其是在設定修複優先級時。僅靠掃描器無法提供足夠完整的網絡拓撲感覺，使安全操作超載并發出警報，是以無法正确識别公司的真實風險。

傳統方法，例如依靠電子表格和手動評估來深入了解漏洞，可能會讓資源受限的團隊感到沮喪。這些方法未能包括影響漏洞風險的所有元素，導緻安全團隊無意中将資源浪費在網絡犯罪分子可能永遠不會發現或不知道如何利用的問題上。

如果不及時準确地檢測高風險漏洞并确定其優先級，安全團隊将無法成功降低公司面臨的風險，即使他們正在關閉大量漏洞。是時候采用一種新方法，将網絡安全從一種被動措施轉變為一種有效流程，進而主動識别和降低風險。

最近的NSA和CISA指南強調組織從傳統方法轉向漏洞管理的重要性，指出保護 OT/ICS 的傳統方法不足以解決目前對這些系統的威脅。這些組織建議建立一個完整的“連接配接清單”作為緩解的關鍵步驟。

該指南還強調了在黑客攻擊之前解決漏洞暴露風險的重要性。為成功遵循這些建議，組織必須通過學習識别整個威脅環境中暴露的漏洞并确定其優先級，進而采取主動的漏洞管理方法。

采用基于風險的方法 

安全團隊應尋求采用基于風險的漏洞管理方法，方法是更加關注使用更複雜的評估政策、優先級排序和補救功能來消除網絡犯罪分子可見的漏洞。 

基于風險的網絡安全方法對于任何網絡風險管理計劃都是必不可少的。通過量化風險的機率及其将産生的影響，組織可以就是否減輕、接受或轉移該風險做出明智的決定。

這種方法可以幫助組織更有效地配置設定資源，這比以往任何時候都更加重要，并且可以更快、更有效地響應威脅。基于風險的管理還将安全優先級與業務保持一緻，并幫助安全上司者在他們的觀點和結果上更具戰略性。 

雖然基于風險的網絡安全政策有多個方面，但組織應關注三個關鍵組成部分以成功實施：

• 暴露分析：通過進行暴露分析，組織可以識别可利用的漏洞并關聯組織網絡配置和安全控制中的資料，以确定網絡攻擊在何處構成最高風險。此政策确定可用于通路易受攻擊系統的攻擊向量或網絡路徑。   
• 風險評分：網絡風險評分為組織提供了一種客觀的衡量标準，用于評估安全态勢，其中考慮了一系列風險因素，包括關鍵資産離線的财務影響、威脅情報的可利用性、風險暴露和資産重要性。如果對手破壞系統，風險評分允許組織量化每天的業務成本。 
• 漏洞評估和優先級排序：該政策允許具有複雜環境和有限資源的組織通過對構成最大風險的漏洞進行優先級排序，在最重要的地方将他們的努力歸零。為确定嚴重性，漏洞評估和優先級排序可以自動考慮威脅情報、資産上下文和攻擊路徑分析。

基于風險的網絡安全管理方法具有變革性，使組織能夠專注于其最重要的資産，擺脫救火模式，并主動領先于威脅。

自動化解決方案可以快速有效地實施基于風險的方法，并為安全團隊節省寶貴的時間。它們還提供了持續監控風險并自動實時響應變化的能力。

最近的一項行業基準研究發現，在 2021 年沒有違規的組織中，有 48% 是基于風險的網絡安全領域的上司者。