网络威胁和网络攻击不可避免. Cyberrisk, 哪些以前被认为只与网络安全专业人员相关, 现在被认为有可能威胁到整个组织. 依赖技术驱动, 在2019冠状病毒病大流行期间,高效和安全的系统得到了加强, 这使得许多澳门赌场官方下载可以在员工家中办公. 在这个新的工作环境中, 网络攻击的威胁会破坏利益相关者对组织的信任.
毫无疑问,防止网络攻击应该是澳门赌场官方下载的首要任务. 许多网络攻击是可以预测的, 但它们对澳门赌场官方下载的影响程度只能估计. 降低网络风险的能力取决于组织风险管理的有效性. 复杂的, 不同的技术生态系统和相互交织的业务流程创造了各种各样的网络风险来源. 这些可能在频率或对组织的影响方面有所不同.
组织的资源有限, 因此, 我们必须了解网络风险, 评估和量化. 根据对组织的影响对这些活动进行优先排序. 根据ISACA® 白皮书, Cyberrisk量化, 网络风险量化(CRQ)有时被称为网络风险经济学,是许多澳门赌场官方下载用来了解网络风险暴露并使其管理选择合理化的一种技术.”1 这些技术还有助于理解网络风险的不同来源及其影响. 网络安全治理的最佳实践规定,管理层应该提供有关组织面临的网络风险来源的信息,以实现统一的理解水平. CRQ最初是一种应对网络风险的方法,如今已成为大多数澳门赌场官方下载风险管理(ERM)计划不可或缺的一部分.
传统上,风险被量化为概率和影响的乘积. 通常, 标签,如“高”,为这些变量赋以“中”或“低”来进行量化. 然而, 这种标签的分配不是基于精确的测量, 但是受到个人感知的影响. 虽然标签确实允许一些量化,但它不一定反映准确的CRQ.
组织的资源有限, 因此, 我们必须了解网络风险, 评估和量化.
许多业界认可的网络安全标准强调通过系统的风险管理流程准确量化风险的重要性. 风险识别、量化和减轻是风险管理的基本阶段. 通过适当的控制减轻网络风险是实施强有力的网络安全措施的一个固有方面. 控制措施的评价常常等同于风险评价. 适当控制的存在与低风险相关, 而缺乏控制则与高风险有关. 控制在整个风险管理过程中的重要性不容忽视.
然而,CRQ不仅仅是控制质量的评价. 例如,反恶意软件是大多数系统的重要控制. 在密封或气隙系统没有外部接口的情况下, 与其他连接系统相比,这种控制可能不那么重要. 因此, 在没有对环境进行全面评估的情况下对控制措施的有效性进行评估,可能无法产生充分的CRQ.
测量也是CRQ的核心. 用于计算CRQ的元件必须进行正确的测量和量化. 依赖近似有其缺陷. CRQ练习的参与者可能会被要求使用描述性术语描述事件发生的频率,例如“可能”,“often”和“often”.这些单词随后被翻译成数值. 然而,这种技术存在不准确性、偏见和个人认知的问题. 一个被调查者, 例如, 可以将标签“频繁”考虑为60%的时间, 而其他人可能认为是85%甚至更高. 进一步的反应可能会被参与者的偏见和认知所扭曲. 因此,可取的是,采用技术,尽量减少任何偏见的可能性.
网络安全的重要性日益增加,使得组织更愿意投资于网络安全控制和工具,以防止网络攻击. 这些工具中的许多都在持续扫描网络威胁的指标. 应用层防火墙, 例如, 是否总是扫描来往于应用程序的流量. 像其他工具一样,它可以分析大量的数据. 传统上, 这些防火墙被认为是一种网络安全措施,而不是一种测量工具. 各种工具处理的数据可以作为丰富的存储库和CRQ的输入. 处理数据产生参数, 指标和措施可以通过报告或仪表板系统地呈现. 这个概念类似于收集数据的安全信息和事件管理(SIEM)工具, 尽管原因完全不同.
在CRQ计算中包含外部数据源也是有益的. 外部数据,包括安全漏洞报告,如全球威胁情报报告,在与外部世界进行基准测试或在分析组织尚未经历的事件时可能很有用. 因此,内部和外部数据的组合可能是有用的. 各种服务组织根据属于各种组织的公开可见的技术元素或服务提供信息和安全度量. 例如, 无效的传输层安全(TLS)证书是在没有侵入性活动的情况下公开可见的参数. 这样的边界有助于识别与系统相关的安全问题. 这些信息有助于识别和量化网络风险.
自2020年以来,人们一直关注的一个重大网络风险是供应链攻击. 这种网络攻击最初会危及组织为其客户提供的软件解决方案的安全性. 然后,攻击者利用受损的解决方案对购买该软件的客户组织发起网络攻击. 因此, 了解与自己的组织相关的网络风险——以及供应链中跨组织的网络风险——是很重要的. 相关外部数据的可用性和分析有助于评估和衡量与自己的组织和供应链中的组织有关的网络风险和CRQ.
分析网络风险时, 无论是在供应链内还是在自己的组织内, 人们可能会遇到许多衡量网络风险的独特数据元素或参数. 虽然其中一些代表了过去的事件(例如.e.,滞后指标),其他则提出了前瞻性的设想.e.,导联指示器). 滞后指示器在活动或事件发生后度量它, 先行指标试图预测或说明未来结果的可能性. 与网络风险相关的一些领先和滞后指标之间存在有趣的关联. 例如, 许多组织都有有效的漏洞管理程序(vmp),旨在识别和修复IT基础设施和系统中的漏洞. 识别的漏洞代表一个滞后指示器, 因为报告是基于现有的漏洞. 与这些滞后指标有关的信息可以与其他数据结合起来. 漏洞数据, 当与外部扫描尝试或未经授权的网络连接相关的数据组合和相关时, 提供一种非常不同的价值. 此信息可用于预测利用漏洞实施攻击的可能性. 领先指标提供了可量化的信息,对CRQ具有巨大的价值.
结论
CRQ对组织来说很重要, 因为识别和解决网络风险的来源是维持足够的网络安全的基础. CRQ可以帮助澳门赌场官方下载进行网络安全自我评估,并确定纠正措施的优先级. 使用数学测量量表测量数据元素比使用受个人认知影响的定性评估更客观. 实现的各种安全工具为CRQ练习提供了丰富的数据源. 以及内部数据, 外部数据源可以有效地用于识别自己和供应链中其他组织的网络风险.
考虑到大量的数据源, 数据元素, 与CRQ相关的参数和网络风险措施, 将这些元素组织到CRQ仪表板中可以提供有效的监控和数据可视化工具. 实施CRQ需要坚持不懈的努力、经验、专业知识和极大的耐心. 实施CRQ是任何想要建立可持续发展的组织的最佳途径, 合理和可论证的网络风险管理方法.
尾注
1 ISACA®, Cyberrisk量化美国,2021年
桑迪普·戈德伯尔,CISA, CISM, CGEIT, CEH, CISSP
是全球领先的信息技术公司的信息安全副总裁吗. 他撰写了许多关于安全的文章,是一名已出版的作者. 他是ISACA的志愿者® 在国家和国际两级. 他是ISACA浦那(印度)分会的前任主席.