在當今網(wǎng)絡環(huán)境中，風險管理絕非小事一樁。 防火墻作為企業(yè)主要網(wǎng)絡防御手段的日子早已一去不復返。 如今的企業(yè)正在向云端遷移，每周都會向其網(wǎng)絡中添加新用戶和新設(shè)備，每天都會創(chuàng)建數(shù) TB 的數(shù)據(jù)，并且在其 IT 環(huán)境中使用數(shù)十乃至數(shù)百個第三方軟件和系統(tǒng)。 與此同時，攻擊者正在不斷改進他們的方法，著力利用這些變化，同時還增加攻擊的次數(shù)和復雜程度。

為了應對這些趨勢變化，業(yè)務領(lǐng)導者必須能夠收集企業(yè)的風險領(lǐng)域，并將其置于相應的情境下優(yōu)先考慮，以便將風險降至最低，并基于零信任原則執(zhí)行安全策略。

是什么讓風險管理對當今的企業(yè)如此具有挑戰(zhàn)性

- 比較風險的主觀定義：安全生態(tài)系統(tǒng)由各種工具組成，這些工具旨在保護數(shù)據(jù)、設(shè)置和強制執(zhí)行用戶權(quán)限、識別和阻止威脅以及修復漏洞等。 許多現(xiàn)代安全工具都為用戶提供了風險分析功能。 這些分析具有主觀性，它們依賴于不同的風險定義，并使用不同的變量。 比較不同工具的風險數(shù)據(jù)所存在的難處，可能是理解企業(yè)整體風險狀況時所面臨的一大障礙。

- 衡量和量化風險：重要的財務和戰(zhàn)略決策是在考慮潛在風險的情況下制定的，但量化安全風險可能極具挑戰(zhàn)性。 假設(shè)是所有風險分析的核心，包括威脅事件發(fā)生概率的假設(shè)、威脅利用已知漏洞以達到最大效果的假設(shè)，以及您的防御系統(tǒng)抵御威脅能力的假設(shè)。 如果沒有在整個企業(yè)中應用一組一致的假設(shè)，就不可能準確地衡量總體風險。

- 優(yōu)先補救風險領(lǐng)域：如果沒有一致的方法來衡量、比較和量化風險，業(yè)務領(lǐng)導者就將依靠直覺來決定要優(yōu)先補救哪些風險領(lǐng)域。 由于并非基于數(shù)據(jù)，他們的直覺可能是錯誤的，并有可能導致公司出現(xiàn)財務損失。

- 跟蹤補救的有效性并逐步應用所學知識：如上所述，風險管理不僅僅關(guān)乎減少損失，而且還要以經(jīng)濟有效的方式來做到這一點。 如果沒有量化，業(yè)務領(lǐng)導者就無法采取切實可行的方法來評估他們在所部署的安全工具或所組建的團隊上取得的投資回報。 他們也無法隨著時間的推移，衡量為化解威脅而建立的流程所產(chǎn)生的影響。 

零信任模型能為安全風險管理做些什么？

為了成功實施零信任方法，安全領(lǐng)導者需要構(gòu)建一個 IT 基礎(chǔ)架構(gòu)，將來自整個企業(yè)的信息編織在一起，進而提供必要的環(huán)境，幫助驗證所請求的連接是否可信。要生成零信任安全所需的環(huán)境，理想的方法就是遵循以下四個指導原則

1. 定義環(huán)境：企業(yè)需要了解在整個組織范圍內(nèi)哪些用戶、數(shù)據(jù)和資源已互聯(lián)互通。 定義環(huán)境包括根據(jù)風險發(fā)現(xiàn)資源并加以分類。

2. 驗證和強制執(zhí)行：請求訪問資源的每個實例都需要不斷進行驗證和持續(xù)監(jiān)控，確保它與相關(guān)權(quán)限保持一致。

3. 解決事件：面對層出不窮的威脅、不斷變化的狀況，企業(yè)必須做出調(diào)整并不斷演變，這將要求企業(yè)在解決事件的同時，盡可能地降低對業(yè)務連續(xù)性造成的影響。 這包括面向用戶、設(shè)備和網(wǎng)絡做出改變、化解威脅以及報告合規(guī)性

4. 分析和改進：零信任意味著自適應；隨著威脅的性質(zhì)不斷演變，企業(yè)的 IT 生態(tài)系統(tǒng)須適應新的業(yè)務需求，安全和 IT 領(lǐng)導者必須審查和調(diào)整他們的戰(zhàn)略，從而順應不斷變化的現(xiàn)實。 這個持續(xù)改進的過程應該以最大限度減少業(yè)務連續(xù)性干擾的方式進行。

零信任策略是解決整個企業(yè)內(nèi)的風險并明確其優(yōu)先級的有效方法。 對于希望最大限度降低企業(yè)潛在損失風險的業(yè)務領(lǐng)導者來說，他們應該著重通過統(tǒng)一的安全分析平臺，將自身 IT 環(huán)境中已部署的各種安全工具所產(chǎn)生的信息連接起來。 由于其中一些解決方案隨附預先存在的風險分析功能，因此業(yè)務領(lǐng)導者應部署一個解決方案來收集這些來源所產(chǎn)生的風險數(shù)據(jù)，對數(shù)據(jù)進行標準化處理以便于比較，并關(guān)聯(lián)數(shù)據(jù)以發(fā)掘洞察

理想的風險管理解決方案將會通過通用算法運行不同的風險數(shù)據(jù)，提供分析功能，解釋風險事件可能產(chǎn)生的影響和程度。 該解決方案應提供深入鉆取工具，用于調(diào)查特定的風險領(lǐng)域，并且與安全編排、自動化與響應 (SOAR) 解決方案相集成，從而加快問題修復，并盡可能地降低對業(yè)務連續(xù)性造成的影響。

最后，為了實現(xiàn)持續(xù)改進，理想的解決方案將向用戶展示，作為先前補救策略所帶來的結(jié)果，風險趨勢會如何隨著時間的推移而變化。 這種反饋循環(huán)必不可少；安全領(lǐng)導者將擁有必要的可見性，用于確定其事件響應行動的效力并根據(jù)需要做出調(diào)整。

*立即前往2021全新安全專區(qū)，掌握最新安全技術(shù)趨勢 

歷史精彩文章推薦

*IBM安全歷史精彩文章推薦

關(guān)于IBM Security介紹

IBM Security 是 IBM 的信息安全解決方案及服務部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗。IBM Security 在全球守護95%的全球五百強企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團，包括50家全球最大的金融和銀行機構(gòu)中的49家、15家最大的醫(yī)療機構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機構(gòu)發(fā)布的12份不同的分析報告中，有12項技術(shù)解決方案被列為領(lǐng)導者，在產(chǎn)業(yè)中躋身首列。