文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何采用基于风险的方法应对网络安全威胁

2024-11-30 18:34

关注

 很多企业的网络安全战略已经落后,这并不是什么秘密。调研机构最近发布的一份报告发现,在迅速变化的威胁形势下,40%的首席安全官认为他们的企业并没有对网络安全做好充分的准备。这一统计数据表明,过去几年,数字化转型的步伐加快,网络攻击面扩大。

 与此同时,网络犯罪的复杂性也在不断增加,新的漏洞数量也在不断增加。即使是更早的漏洞(例如Log4j),在未来几年仍将对企业构成威胁。

 Anteliz表示,全球在2021年公布了20174个新漏洞,高于2020年的18341个,这凸显出漏洞的数量快速增长。在过去的一年,美国网络安全和基础设施安全局(CISA)发布了30多个安全警告,警告企业防范一些能够被利用的漏洞,其中许多漏洞影响了各行业组织。影响许多设备和企业的警报的一个例子是Icefall漏洞,美国网络安全和基础设施安全局(CISA)为此在去年6月发布了警报提醒公众。这些警报解决了56个影响全球几个关键基础设施环境中操作技术(OT)设备的漏洞。受到影响的供应商包括霍尼韦尔、摩托罗拉、欧姆龙、西门子、艾默生、JTEKT、Bentley Nevad、 Phoenix Contract、ProConOS以及 Yokogawa等公司。

 影响企业运营业务的漏洞并不复杂,导致企业无法最大限度地减少摩擦,也无法集中精力于健康安全和环境(HSE)影响。这使得网络威胁行为者能够更快地发现新的攻击并将其武器化,从而导致许多漏洞。

 网络安全已经成为企业董事会担忧的一个主要问题。安全团队努力应对不断扩大的技能差距、日益分散的网络、可见性和补救以及扫描差距所导致工作负载不断增加等问题。安全团队的任务是克服日益严峻的挑战,发现和补救具有最高业务风险的漏洞。数据泄露对企业的业务影响可能是巨大的。随着威胁和压力的增加,那些继续依赖传统反应性网络安全方法的企业将会继续落后。

 漏洞扫描并不足够安全 

通常使用的“扫描和补丁”策略忽略了现代漏洞管理的关键组件,特别是在设置修复优先级时。仅靠扫描程序无法提供足够完整的网络拓扑信息,警报会使安全运营过载,因此无法正确识别企业面临的真实风险。

 采用传统的方法可能会让资源有限的团队感到沮丧,例如依赖电子表格和人工评估来获取漏洞的洞察。这些方法未能包括所有影响漏洞风险的因素,导致安全团队无意中将资源浪费在网络犯罪分子可能永远不会发现或不知道如何利用的问题上。 

如果没有及时、准确地检测高风险漏洞并确定其优先级,安全团队将无法成功降低企业面临风险,即使他们关闭了大量漏洞。现在是采取新方法的时候了,将网络安全从被动措施转变为主动识别和降低风险的有效流程。

 最近美国国家安全局(NSA)和美国网络安全和基础设施安全局(CISA)发布的指南打开了一个新的窗口,强调了企业从传统方法转向漏洞管理的重要性,并指出保护OT/ICS的传统方法不能充分解决当前对这些系统的威胁。该指南建议创建一个完整的“连接清单”,作为缓解风险的关键步骤,还强调了在黑客攻击之前消除漏洞暴露风险的重要性。为了成功地遵循这些建议,企业必须采取积极主动的方法来进行漏洞管理,学习在威胁环境中识别和优先考虑暴露的漏洞。

 采用基于风险的方法

 安全团队应该寻求采用基于风险的方法来进行漏洞管理,通过使用更复杂的评估策略、优先级和补救功能来增加对消除网络犯罪分子可见的漏洞的关注。

 基于风险的网络安全方法对于任何网络风险管理计划都是必不可少的。通过量化风险的概率和将产生的影响,企业可以就是否减轻、接受或转移风险做出明智的决定。这种方法可以帮助企业更有效地分配资源,这比以往任何时候都更重要,并更快速有效地响应网络威胁。基于风险的管理还使安全优先级与业务保持一致,并帮助安全领导者在他们的观点和结果上更具战略性。

 基于风险的网络安全战略有多个方面,其中,企业应该关注成功实施的三个关键组成部分:

 •漏洞分析:通过进行漏洞分析,企业可以识别可利用的漏洞,并在企业的网络配置和安全控制中关联数据,以确定网络攻击在哪里构成最高风险,该策略决定了可以用来访问易受网络攻击的攻击向量或网络路径。

 •风险评分:网络风险评分为企业评估安全态势提供了一个客观的衡量标准,该标准考虑了一系列风险因素,包括关键资产脱机的财务影响、威胁情报的可利用性、曝光率和资产重要性。风险评分能够使企业在对手破坏系统时量化每天的业务成本。

 •漏洞评估和优先级:该策略允许具有复杂环境和有限资源的企业在最重要的地方通过优先考虑构成最大风险的漏洞来实现这一点。为了确定严重程度,漏洞评估和优先级可以自动考虑威胁情报、资产场景和攻击路径分析。

 基于风险的网络安全管理方法具有变革性,使企业能够专注于其最重要的资产,并主动预防威胁。自动化解决方案使快速有效地实现基于风险的方法成为可能,并为安全团队节省宝贵的时间,还提供了持续监控风险和实时自动响应变化的能力。最近的一项行业基准研究发现,在2021年没有出现数据泄露的企业中,48%是基于风险的网络安全领域的领导者。

来源:企业网D1Net内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯