网络安全风险管理策略的15个技巧

每年都会带来新的网络安全威胁、数据泄露、攻击媒介和以前未知的漏洞。网络安全风险管理采用现实世界风险管理的理念，并将其应用于 网络风险。在国际标准化组织（ISO）风险定义为“对目标的不确定性的影响。”风险管理是识别、评估和应对风险的持续过程。要管理风险，您必须评估事件的可能性和潜在影响，然后确定处理风险的最佳方法，例如避免、转移、接受或减轻风险。

为了减轻网络安全风险，您必须最终确定要应用哪些类型的安全控制（预防、阻止、检测、纠正等）。问题是，并非所有风险都可以消除，您也没有无限的预算或人员来应对每种风险。您可以实施一些实用策略来降低网络安全风险。一个强大的网络安全风险管理流程是以一种具有成本效益并有效利用有限资源的方式管理不确定性的影响。理想情况下，风险管理有助于及早识别风险并实施适当的缓解措施，以防止事件或减轻其影响。

制定网络风险管理策略的15个技巧

1. 建立风险管理文化

领导者必须在整个组织中建立网络安全和风险管理文化。通过定义治理结构并传达意图和期望，领导者和经理可以确保适当的员工参与、问责制和培训。网络攻击的平均成本 超过 110 万美元，因此必须建立风险管理文化。除了财务成本之外，还有重大的业务影响——54% 的公司生产力下降，43% 的客户体验不佳，37% 的品牌声誉受损。数据泄露的成本激增， 全球平均成本达到 400 万美元，美国达到 819 万美元。这就是为什么在整个组织中建立以网络安全为中心的文化，从兼职员工到董事会成员，是风险管理的基础。

2. 确保适当的网络卫生

实施良好的网络卫生实践是网络风险管理的起点。网络卫生是 相当于公共卫生文献中个人卫生概念的 网络安全。欧盟 网络和信息安全局 (ENISA) 指出，“网络卫生应与个人卫生一样被看待，一旦适当地融入一个组织，将是简单的日常工作、良好的行为和偶尔的检查，以确保该组织的在线健康状况处于最佳状态"。

我们相信良好的网络卫生实践可以创造出 强大的安全态势，通过安全评级来衡量 。较高的安全等级，更好的安全实践，以及你可以更好的防止数据泄露，网络攻击，网络钓鱼，恶意软件，勒索软件，个人信息的暴露，和其他 网络威胁。

3. 确保您遵守相关规定

风险管理，尤其是第三方风险管理和供应商风险管理，越来越成为监管合规要求的一部分。在您从事医疗保健 (HIPAA) 或金融服务 ( CPS 234、PCI DSS、 23 NYCRR 500 )工作时尤其如此。话虽如此，GDPR、LGPD、 SHIELD Act、 PIPEDA、 CCPA和 FIPA等一般数据保护法的引入 意味着大多数组织都有风险管理要求。

4. 分配责任

总体而言，网络安全和企业风险管理的负担不能完全由您的 IT 安全团队承担。尽管网络安全专业人员尽最大努力确保考虑到所有风险，但没有整个组织的参与，任何安全计划都无法成功实施。您的 信息安全策略 必须确保每位员工都了解潜在风险，尤其是 社会工程攻击， 无论它们是 网络钓鱼、传播恶意软件的电子邮件附件，还是滥用访问控制和 权限提升。通常只需一个小错误，您的 信息安全、 网络安全或数据安全就会受到威胁。

5.注意你的威胁环境

首席信息安全官通常不会考虑他们工作的环境。组织应该考虑投资于 OPSEC 和社交媒体培训，为他们的知名高管提供服务。网络犯罪分子越来越多地使用从 LinkedIn 或 Facebook 等公共资源收集的信息来发动复杂的捕鲸攻击。捕鲸攻击是一种 针对高级管理人员（如 CEO 或 CFO）的网络钓鱼攻击，目的是窃取 公司的敏感信息。这可能包括财务信息或员工的 个人信息。在某些情况下，诈骗者可能会冒充 CEO 或其他公司官员，操纵受害者授权向离岸银行账户进行大额电汇或访问安装恶意软件的欺骗性网站 。

6.投资安全意识培训

要实施您的网络安全计划，您需要经过全面培训的各级员工，他们能够识别风险并运行减轻这些风险所需的流程和程序。一个良好的安全意识计划应该让员工了解有关使用 IT 资产和敏感数据的公司政策和程序。如果员工认为他们发现了安全威胁，他们应该知道与谁联系，并被告知哪些数据不应该通过电子邮件公开。任何组织都需要定期培训，尤其是那些严重依赖第三方供应商或临时员工的组织。美国国家标准与技术研究院 (NIST) 有一本出色的出版物，其中包含模板和指南，说明NIST SP 800-50 中的安全意识培训计划应包含哪些内容 。

7. 分享信息

安全是一项团队运动。所有利益相关者都必须意识到风险，尤其是跨部门共享的风险。必须将有关您的组织担心的网络安全风险的信息传达给所有适当的利益相关者，尤其是参与决策的利益相关者。每个人都需要了解网络攻击的潜在业务影响以及它们如何帮助防止它们。信息共享工具，例如相关指标的仪表板，可以让利益相关者了解并参与其中。考虑投资一种 安全评级工具 ，该工具可以提供非技术利益相关者可以理解的单一、易于理解的指标。

8. 实施网络安全框架

为您的组织实施适当的网络安全框架非常重要。这通常由您的行业采用的标准或法规要求决定。考虑到这一点，最常采用的网络安全框架是：

• 支付卡行业数据安全标准 (PCI DSS)：一种信息安全标准，适用于处理来自主要信用卡计划的品牌信用卡的组织。
• ISO 27001： 最著名和使用最广泛的信息安全标准之一，是 ISO/IEC 27000 系列标准的一部分。它由国际标准化组织 (ISO) 和国际电工委员会 (IEC) 出版。
• CIS 关键安全控制：一组针对网络安全的优先行动 ，形成一套 深度防御 的特定和可操作的最佳实践，以减轻最常见的 网络攻击。独联体控制的一个主要好处是它们优先考虑并专注于少数大大降低网络安全风险的行动 。 在此处阅读有关 CIS 控制的更多信息。
• NIST 网络安全框架： 一个基于美国私营部门组织的现有标准、指南和实践的框架，用于更好地管理和降低网络安全风险。该框架越来越多地被采用为最佳实践，截至 2015 年有 30% 的美国组织使用它，预计到2020 年将上升到 50%。 在此处阅读有关 NIST 网络安全框架的更多信息。

9. 优先考虑网络安全风险

您的组织的预算和人员有限。要确定风险和响应的优先级，您需要一些信息，例如随时间变化的趋势、潜在影响、影响的可能性以及风险何时可能实现（近期、中期、长期）。简而言之，您无法防御所有可能的威胁。

10. 鼓励不同的观点

风险往往是从单一来源的单一观点看待的，例如 渗透测试、人工智能、机器学习算法、个人经验或公司历史的结果。问题是网络犯罪分子很少有同样的观点。恶意行为者更有可能跳出框框思考或使用您的外部 安全态势 来识别系统中您可能没有考虑过的弱点。出于这个原因，鼓励所有学科的团队成员思考和争论不同的攻击场景是很重要的。这种多样化的思维有助于识别更多的风险和潜在的情景。

11.强调速度

当您的组织面临风险时，快速响应可以将影响降至最低。及早识别高风险可以帮助您的团队在被利用之前开始补救过程。这对于敏感数据暴露和凭据泄露尤其重要，它是世界上最好的数据泄漏检测引擎。例如，我们能够在 30 分钟内检测到 AWS 工程师在 GitHub 存储库中公开的数据。我们向 AWS 报告了它，并且回购协议在同一天获得了保护。该存储库包含个人身份文件和系统凭证，包括密码、AWS 密钥对和私钥。

我们之所以能够做到这一点，是因为我们在开放和深层网络上主动发现暴露的数据集，搜索开放的 S3 存储桶、公共 Github 存储库以及不安全的 RSync 和 FTP 服务器。我们的数据泄漏发现引擎不断搜索客户提供的关键字列表，并由我们的分析师团队使用从多年违规研究中收集的专业知识和技术不断完善。

12. 制定可重复的风险评估流程

一个网络安全风险评估 是关于理解，管理，控制，和整个组织的减轻网络风险。可重复的流程是任何组织的风险管理战略和数据保护工作的关键部分。

首先，您需要审核您的数据以回答以下问题：

• 我们收集什么数据？
• 我们如何以及在哪里存储这些数据？
• 我们如何保护和记录数据？
• 我们将数据保留多长时间？
• 谁可以在内部和外部访问数据？
• 我们存储数据的地方是否得到妥善保护？
• 然后，您将定义风险评估的参数。这里有几个很好的问题可以帮助您做出决定：
• 评估的目的是什么？
• 评估的范围是什么？
• 是否有任何我应该注意的可能影响评估的优先事项或限制？
• 我需要访问组织中的谁来获取我需要的所有信息？
• 组织使用什么风险模型进行风险分析？

13. 实施事件响应计划

事件响应计划是一组书面说明，概述了您的组织对数据泄露、 数据泄露、 网络攻击 和安全事件的响应。实施事件响应计划很重要，因为它概述了如何最大限度地减少安全事件的持续时间和影响、识别关键利益相关者、简化 数字取证、缩短恢复时间、减少负面宣传和客户流失。即使是像恶意软件 感染这样的小型网络安全事件，如果不加以控制，也会滚雪球般 演变成更大的问题，最终导致 数据泄露、数据丢失和业务运营中断。

14. 不要忘记您的第三方和第四方供应商

请记住，您的网络风险管理责任并不仅限于您的内部信息技术资产。您需要确保您的第三方供应商及其供应商（第四方）投资于风险缓解。这称为 供应商风险管理 或 第三方风险管理。第三方风险和第四方风险管理 必须是您整体网络风险管理战略的一部分。

15. 使用技术降低网络风险管理的运营开销

安全评级是立即识别高风险供应商和内部资产的好方法。它们是组织安全状况的数据驱动、客观和动态的衡量标准。正如信用评级和 FICO 评分旨在提供对信用风险的量化衡量一样，安全评级旨在提供对网络风险的量化衡量。就像信用评级一样，即使是非技术利益相关者也可以轻松评估特定供应商或资产的安全风险。关键思想是安全等级越高，组织的安全状况就越好。