網(wǎng)絡安全風險管理和網(wǎng)絡安全防護是兩個密切相關但不可互換的概念，網(wǎng)絡安全防護側重于應對攻擊和響應正在發(fā)生的安全事件，而網(wǎng)絡安全風險管理則強調從更全面的視角去評估企業(yè)的安全狀況和面臨的威脅態(tài)勢，包括了從對組織運營、商譽、財務和合規(guī)等多個方面整體應對各種可能發(fā)生的網(wǎng)絡威脅。

由于網(wǎng)絡安全風險具有多面性，因此組織在開展相關風險管理時，也需要一系列廣泛的能力支撐，才能有效管控各種特定的風險因素。

1.資產(chǎn)管理能力

網(wǎng)絡風險管理工作始于全面的網(wǎng)絡資產(chǎn)洞察與管理。如果連網(wǎng)絡資產(chǎn)都不能全面識別，其應用時的風險保護也就無從談起。企業(yè)在管理網(wǎng)絡資產(chǎn)時的常見挑戰(zhàn)包括全面洞察混合IT環(huán)境、重復的IT資產(chǎn)數(shù)據(jù)梳理以及過時的資產(chǎn)數(shù)據(jù)庫。

據(jù)企業(yè)戰(zhàn)略集團（ESG）在2023年的研究報告《安全衛(wèi)生和態(tài)勢管理仍然很分散而復雜》顯示，幾乎所有（95%）的受訪者都會在管理企業(yè)的IT資產(chǎn)庫存方面面臨挑戰(zhàn)，近三分之一（32%）的受訪者表示使用了十種以上的數(shù)據(jù)庫、系統(tǒng)和工具來管理網(wǎng)絡資產(chǎn)。這是需要解決的常見問題。

為了全面洞察組織的網(wǎng)絡資產(chǎn)以加強保護，企業(yè)應該采用支持統(tǒng)一視圖的產(chǎn)品，比如通過借助API連接到配置管理數(shù)據(jù)庫收集數(shù)據(jù)的安全資產(chǎn)管理系統(tǒng)、攻擊面管理工具和漏洞管理平臺等。最好的選擇就是為基于角色的用例添加數(shù)據(jù)分析、風險評分和靈活的接口。

2.基于業(yè)務的風險識別能力

風險管理團隊應該準確理解，開展網(wǎng)絡安全風險管理是為了更好地實現(xiàn)業(yè)務發(fā)展目標，因此網(wǎng)絡安全風險管理的基礎要求是要從業(yè)務發(fā)展的角度識別風險，了解當前網(wǎng)絡安全風險的業(yè)務環(huán)境。從業(yè)務發(fā)展視角識別現(xiàn)有的安全風險和潛在的安全威脅至關重要，這將決定后續(xù)的風險管理工作中需要做多少，以及需要保護的重點是什么。

在ESG的報告中也指出，超過一半（56%）的受訪企業(yè)表示，很難從業(yè)務開展的視角了解哪些資產(chǎn)更加關鍵和重要。不過，目前主流的網(wǎng)絡安全廠商，尤其是漏洞管理和開發(fā)安全相關的廠商已開始在其方案中添加這項能力，幫助企業(yè)從業(yè)務視角對關鍵IT資產(chǎn)和應用軟件進行分類，從而整合業(yè)務環(huán)境功能。

3.風險量化能力

只要不影響業(yè)務的穩(wěn)定發(fā)展，每個組織可以接受和承擔一定程度的網(wǎng)絡安全風險。如果經(jīng)過量化評估的網(wǎng)絡安全風險在可承受的范圍內，企業(yè)的管理者就可以在一定時期內接受該風險，而將注意力和防護資源投入到更需要重視的高優(yōu)先級風險中。因此，網(wǎng)絡風險量化是企業(yè)開展網(wǎng)絡安全風險管理時不可或缺的能力。需要借助專業(yè)的安全工具訪問關鍵數(shù)據(jù)，比如IT資產(chǎn)數(shù)據(jù)和相關漏洞。

風險量化需要將業(yè)務環(huán)境和業(yè)務相關成本聯(lián)系起來，以便從經(jīng)濟損失方面計算和量化風險，方便企業(yè)領導者就是否投資于保護環(huán)境安全的資源做出明智的決定。網(wǎng)絡風險量化還有望改變傳統(tǒng)安全防護的游戲規(guī)則，因為企業(yè)可以有效地管理和擁有風險量化數(shù)據(jù)，以便更快地做出決策，無需定期進行費力又費錢的安全風險評估。

4.風險優(yōu)先級評估能力

在網(wǎng)絡安全風險管理工作中，組織需要就風險緩解的優(yōu)先級和策略達成共識。無論是所有人觀點一致，還是某一部分人同意風險和風險文檔，這需要視組織的具體管理情形而定。大多數(shù)風險管理框架都已將風險優(yōu)先級設置作為一個正式要求，以避免在風險管理工作中引發(fā)不必要的沖突，并讓所有利益相關者就優(yōu)先事項達成一致。

通過風險優(yōu)先級評估，企業(yè)管理者和安全團隊可以更加合理地分配風險防護資源，聚焦于關鍵性風險，以最具性價比的方式將風險控制在企業(yè)可以接受的范圍內。風險優(yōu)先級評估可以借助風險評分系統(tǒng)（EPSS）來實現(xiàn)，主要考察因素包括風險危害范圍界定、風險嚴重程度、修復難易度和危害記錄報告等。

此外，安全團隊在評估風險優(yōu)先級時還應該尋找整合其他重要方面的選項，包括支持業(yè)務環(huán)境和顯示風險活躍度的威脅情報。這使安全團隊能夠解決最關鍵的IT資產(chǎn)和應用軟件方面風險最高的安全隱患，從而發(fā)揮出最大的作用。

5.持續(xù)的風險監(jiān)控能力

網(wǎng)絡安全風險管理是一個整體性工作，也是一個持續(xù)的流程。實現(xiàn)持續(xù)地網(wǎng)絡安全風險監(jiān)控對于發(fā)現(xiàn)新的威脅和安全漏洞至關重要。企業(yè)應該積極利用自動化技術，將其量化預警信息或風險暴露狀況統(tǒng)一整合起來，提升企業(yè)預測潛在風險的能力。實現(xiàn)控制環(huán)境與未知風險之間的協(xié)同，是開展網(wǎng)絡安全風險管理的核心關注點之一。

在過去，安全團隊會定期或臨時（可能每月或每季度）執(zhí)行階段性的滲透測試或漏洞掃描，使用多種類型的工具來執(zhí)行掃描、生成結果、修復已發(fā)現(xiàn)的問題，并持續(xù)重復這個過程。隨著安全供應商將持續(xù)監(jiān)控概念整合到產(chǎn)品中，我們看到這方面迎來了發(fā)展。工具能夠持續(xù)、自動化地運行之所以很重要，是由于它從根本上消除了傳統(tǒng)掃描之間的時間間隔，也減少了手動掃描所需的工作量。

參考鏈接：https://www.techtarget.com/searchsecurity/opinion/Key-capabilities-for-effective-cyber-risk-management