網路安全風險對企業的營運和維持獲利能力構成重大威脅。為了保護業務,組織實施了一系列網路安全防禦措施,旨在識別、偵測和預防各種威脅。
網路安全風險評估可以測試組織網路防禦的有效性,並為安全團隊提供有關網路風險和脆弱性的見解。
美國國家標準與技術研究所(NIST) 發佈各種資源,包括網路安全最佳實務。其中包括執行網路安全風險評估的六步驟流程。NIST 程序中的六個步驟如下:
網路安全風險評估流程的第一步是識別並記錄與組織 IT 資產相關的脆弱性。這可以包括盤點這些資產並進行評估以確定與每種資產相關的潛在風險和脆弱性。
網路威脅資訊是有助於識別網路安全風險的內部或外部資訊。許多組織(包括 CISA、US-CERT 和網路安全公司)都提供對網路威脅情報來源的存取。此外,組織可以根據過去針對組織及其現有安全架構的網路攻擊來收集內部威脅情報。
有了完整的 IT 資產並了解主要潛在威脅,組織可以搜索內部和外部威脅。 例如,這可能包括掃描系統尋找入侵指示器 (IOC)、尋找記錄檔中的異常行為,以及稽核組態檔是否有不安全設定或未經授權的變更。
不同的網路安全風險對組織有不同的潛在影響。例如,對企業資料庫的勒索軟體感染比對單一使用者工作站的類似攻擊造成的影響更大。識別網絡威脅對組織的影響對於量化它所造成的風險至關重要。
在評估的這一點上,組織清楚地了解其面臨的各種威脅和脆弱性以及每種威脅和脆弱性的潛在影響。它還可以使用網路威脅情報來確定每種類型攻擊的可能性。根據這些信息,可以根據每個個別威脅的可能性和影響的組合來量化風險,
在量化每個威脅的風險和脆弱性後,組織可以列出這些問題的優先順序清單。這些資訊可用於為補救工作提供資訊,以確保盡快解決主要風險,並最大限度地提高修復工作的投資報酬率。
作為評估的一部分,測試人員將使用與真正的網路威脅參與者相同的工具和技術來搜尋脆弱性。在評估結束時,測試人員應該列出他們在測試環境中發現的脆弱性的優先順序清單。這也可能包括有關如何糾正已識別脆弱性的建議。
網路安全風險評估的最終結果本質上是受測試組織糾正其環境脆弱性的行動計劃。然後,企業安全團隊可以採取措施來修復這些問題,從而改善組織對現實世界攻擊的防禦力。
網路安全風險評估提供組織防禦網路威脅的評估。此評估可以使組織受益的一些方式包括:
反映意見