什么是網(wǎng)絡風險評估？ 

網(wǎng)絡風險評估是評估組織的威脅態(tài)勢、漏洞以及其領域中對公司資產(chǎn)構成風險的網(wǎng)絡漏洞的過程。網(wǎng)絡風險評估使公司能夠清楚地了解他們在網(wǎng)絡威脅環(huán)境中面臨的挑戰(zhàn)，并且是將網(wǎng)絡安全視為分層、多步驟操作的綜合風險管理方法的一部分。這是制定旨在保護組織、其數(shù)字資產(chǎn)、IT 服務和人力資本免受網(wǎng)絡威脅的安全計劃的關鍵的第一步。  

“網(wǎng)絡風險評估用于識別、估計和優(yōu)先考慮因信息系統(tǒng)的運營和使用而對組織運營、資產(chǎn)、個人、其他組織和國家造成的網(wǎng)絡風險?！?nbsp;（NIST 風險評估指南）

網(wǎng)絡風險與信息、數(shù)據(jù)或系統(tǒng)的安全性、機密性、完整性或可用性的喪失有關，并反映了這些可能對組織產(chǎn)生的潛在不利影響。惡意行為者試圖利用網(wǎng)絡威脅，主要是為了經(jīng)濟利益和吹噓的權利。 

為什么數(shù)字時代需要網(wǎng)絡風險評估服務？ 

數(shù)字化轉型帶來了一系列由組織采用的技術帶來的風險。其中包括第三方應用程序、大數(shù)據(jù)、物聯(lián)網(wǎng)、云服務、社交媒體資產(chǎn)和移動應用程序。企業(yè)對數(shù)字服務的使用越深入，遭受網(wǎng)絡威脅的風險就越高，對網(wǎng)絡風險評估服務的需求就越大。 

為什么要進行網(wǎng)絡風險評估？ 

網(wǎng)絡風險評估使公司能夠清楚地了解他們在網(wǎng)絡威脅環(huán)境中面臨的挑戰(zhàn)。全面的風險評估將涵蓋組織面臨的兩種網(wǎng)絡威脅： 

外部威脅 

這些是由組織外部的惡意行為者使用以下一種或多種黑客策略造成的：網(wǎng)絡釣魚、惡意軟件和勒索軟件。這些攻擊可能針對組織的任何安全域，包括遠程訪問、安全策略和程序、網(wǎng)絡級別、數(shù)據(jù)管理、服務器級別、端點、供應鏈或云安全。 

內(nèi)部威脅  

這些是由組織內(nèi)部人員或經(jīng)批準訪問組織的人員造成的，例如員工和第三方供應商。這些威脅是糟糕的安全協(xié)議和安全培訓不足的結果，并且是由希望傷害組織的員工實施的，或者是那些只是作為進入公司的入口而不知道他們間接造成的傷害的員工所實施的。 

為什么網(wǎng)絡風險評估是必要的第一步？  

CRA 識別公司面臨的外部和內(nèi)部網(wǎng)絡威脅。只有當一家公司能夠充分了解其威脅態(tài)勢后，才能設計出應對威脅的安全計劃。全面的網(wǎng)絡風險評估不僅概述了公司面臨的網(wǎng)絡風險，還允許安全團隊根據(jù)嚴重程度對風險進行優(yōu)先排序，使他們能夠首先將注意力和資源用于最緊迫的威脅。  

何時進行網(wǎng)絡風險評估 

網(wǎng)絡風險評估不是一旦完成就可以擱置的一次性項目。如果公司要保持他們在第一次 CRA 后取得的安全改進，他們將需要定期執(zhí)行這些評估，以了解威脅形勢發(fā)生了什么變化，并相應地修改他們的安全計劃。  

“風險評估和風險管理不是一次性的，而是作為 一個循環(huán)重復的連續(xù)過程，即識別風險、制定解決這些風險的計劃、根據(jù) 這些計劃采取行動以及監(jiān)測行動結果。” （SANS 研究所白皮書：安全項目管理和風險）  

誰來執(zhí)行網(wǎng)絡風險評估？ 

安全提供商可能會提供不同的方法來進行網(wǎng)絡風險評估，方法從關注攻擊向量到威脅建模不等。無論安全團隊采用何種方法，網(wǎng)絡風險評估最終都應涵蓋組織的整個攻擊面。  

CRA 可以由內(nèi)部安全團隊執(zhí)行，也可以外包給第三方安全提供商。這將取決于組織的規(guī)模、安全團隊的規(guī)模、專業(yè)水平、預算以及監(jiān)管方面的考慮，例如需要外部方執(zhí)行 CRA。 

全面網(wǎng)絡風險評估的5個步驟 

我們相信詳細的增量方法可以提供最高級別的可見性和監(jiān)控。基于這種方法，網(wǎng)絡風險評估可以大致分為五個步驟： 

1.了解組織現(xiàn)有的安全計劃 

通過對 IT 和管理層的問卷調查和訪談，評估團隊將了解公司必須保護的關鍵業(yè)務資產(chǎn)，以及公司目前用于保護機密數(shù)據(jù)的安全措施、流程、程序和合規(guī)要求、知識產(chǎn)權、領域和場所。   

2.定義公司的威脅 

在此階段，評估團隊將收集有關公司威脅態(tài)勢的信息，并估計這些威脅影響組織的可能性。為了全面了解公司面臨的威脅，評估團隊將調查所有可能想要攻擊公司的威脅行為者，包括國家支持的行為者、勒索軟件團伙、支付信息后的犯罪分子以及企圖竊取的競爭對手知識產(chǎn)權。 

3. 識別公司漏洞和攻擊路徑 

在評估的這個階段，團隊將結合其獲得的關于公司必須保護的資產(chǎn)的知識，以及它發(fā)現(xiàn)的漏洞，并確定每個漏洞如何導致攻擊者進入組織并通過其系統(tǒng)到達關鍵業(yè)務資產(chǎn)。然后，評估團隊將建議繪制這些攻擊路線，以便組織可以清楚地了解每個漏洞可能如何影響每個關鍵資產(chǎn)，以及阻止每個攻擊路線將如何幫助保護這些資產(chǎn)。 

在選擇網(wǎng)絡風險評估提供商時，公司應詢問提供商的映射解決方案，以確保此可視化過程是評估的一部分。

4. 可視化攻擊的后果 

在繪制出組織的威脅態(tài)勢并且評估團隊清楚地了解公司的安全計劃之后，是時候將兩者放在一起來估計公司將如何處理攻擊了。這是評估的關鍵部分，因為它讓安全領導者和管理層盡可能準確地了解他們現(xiàn)有安全計劃的有效性，以及攻擊的潛在后果（包括收入損失、對正在進行的業(yè)務的損害、聲譽損壞、私人數(shù)據(jù)丟失、知識產(chǎn)權丟失）。 

5. 確定緩解計劃 

我們討論了網(wǎng)絡風險評估如何根據(jù)最相關的威脅與組織最寶貴的資產(chǎn)的關系以及它們被攻擊的可能性來確定最相關的威脅。然而，安全團隊仍然需要知道要緩解什么以及首先要處理哪些威脅。 

在此階段，優(yōu)先級排序過程用于幫助安全團隊充實緩解計劃，該計劃根據(jù)嚴重性首先傾向于最關鍵的漏洞。 

組建網(wǎng)絡風險評估團隊 

全面的網(wǎng)絡風險評估包括由受過定位漏洞和攻擊路線培訓的安全專家進行的多項檢查和分析過程。獲勝的網(wǎng)絡風險評估團隊將包括紅隊和藍隊、網(wǎng)絡威脅情報分析師、威脅獵手和漏洞檢查員，以及能夠獲取這些數(shù)據(jù)并將其轉化為可量化指標的分析師。 

網(wǎng)絡風險評估的結果應提供一個框架，公司可以在此框架上推進網(wǎng)絡風險量化過程，在該過程中，發(fā)現(xiàn)的風險與業(yè)務指標相關聯(lián)，從而為風險分配貨幣價值。  

網(wǎng)絡風險評估可以做什么？ 

網(wǎng)絡風險評估可以發(fā)現(xiàn)大量漏洞和網(wǎng)絡漏洞，這些漏洞和漏洞存在于組織的不同部分，跨越多個安全領域，并且嚴重程度各不相同。  選擇網(wǎng)絡風險評估提供商時，重要的是要考慮多種因素，包括： 

• 可視化和演示 
• 緩解計劃和跟蹤 
• 成本敏感的修復計劃  
• 風險量化能力 
• 動態(tài)且可調整以適應不斷變化的威脅形勢  
• 敏捷性和可擴展性潛力 

網(wǎng)絡風險評估的未來 

根據(jù)Gartner關于IT和網(wǎng)絡安全的最新報告，到2025年，受監(jiān)管行業(yè)中超過60%的組織將采用專門的安全風險管理，其中網(wǎng)絡風險評估是第一步。  

我們已經(jīng)公布了關于如何在 2023 年進行網(wǎng)絡風險評估的提示，并將隨著安全形勢的變化和市場上新威脅的出現(xiàn)而繼續(xù)更新這些提示。無論新玩家進入競技場，無論他們帶來什么威脅，風險評估流程都將繼續(xù)定位并優(yōu)先考慮組織面臨的風險。