理解网络风险和如何避免它们

今天,有越来越多的网络风险为各种规模的组织在全球所有行业。虽然这些网络风险可以被量化的数据丢失、网络风险更有深远的影响,如威胁你的操作弹性和潜在的经济损失和负面的品牌和客户的影响。

不幸的是,许多组织没有足够的合格员工,时间、资源和经验来识别所有潜在的网络风险的组织和制定计划优先考虑和解决这些问题。

演员正加班加点,威胁目标组织中的至少一些风险的可能性没有减轻。他们等待合适的机会利用网络威胁,利用你的弱点和潜在的灾难性结果。

随着团队昼夜不停地工作,掌握网络风险,现实是生长在列表的长度,类型和复杂性。

,正如我们所看到的2020年冠状病毒爆发以来,大多数组织平衡网络风险分析和网络风险管理而经常积极应对多种风险同时中断。

事实上,安联风险指标2022,看看未来12个月企业风险,将网络风险列为全球最大的担忧。包括ransomware攻击,主要它中断,数据泄露。这些担忧,尽管仍应对流感大流行,目前地位高于其他业务中断,包括供应链问题和自然灾害。

这是第二次,网络事件列表的顶部,以ransomware袭击激增领衔的高级网络威胁,增加网络为所有组织风险。

的国家标准与技术研究院(NIST)定义了网络风险的风险“财务损失,运营中断,或损坏,从数字技术用于信息的失败和/或操作函数引入生产系统通过电子手段从未经授权的访问、使用、披露、破坏、修改、或制造系统的破坏”。

更简单来说,网络风险考虑可能攻击者可能会利用网络威胁和攻击的潜在影响。通常,这是一个计算分解成这样:

网络风险是风险的潜在负面影响你的组织如果你的信息系统失败或中断,破坏,或被未经授权的使用或访问。网络风险的可能性都是关于网络事件可以公开或伤害您的组织。

虽然有些人可能认为网络方面的专门技术和数据丢失的风险,网络风险可能导致的品牌或声誉损失,损失的生产力和收入的损失。

,有超过一种类型的网络风险。虽然网络风险通常专注于经营风险在一个相互联系,网络世界,你可能有其他的威胁,例如,内部威胁或企业间谍活动。

你的网络可能是内部风险(例如,内部威胁)或外部(例如,网络黑客)。

虽然网络开发风险通常是有意的,例如威胁演员利用已知的漏洞,网络也可能意外风险,如意外数据接触(例如,一个电子邮件包含敏感或无意中保护信息发送到一个意外或未经授权的用户)。

网络风险也可能由于操作问题,如贫困系统完整性或缺乏实现的最佳实践,风险管理,或网络安全。

虽然网络风险和网络威胁通常可以互换使用,但两者之间有一些显著的差异。首先,网络威胁通常被称为任何事件可能影响一个组织的信息系统未授权访问系统和网络,包括潜在的数据破坏,修改,或未经授权发布。攻击者可以经常利用网络威胁的恶意行为破坏或窃取数据。

虽然相关,网络风险的潜在影响(或风险)负面影响您的组织的网络威胁。就风险而言,它是关于观察潜在的损失,而不仅仅是相关的。系统和数据,而且在经济上和声誉和你做生意的能力。

网络风险是相关的所有组织,因为今天,任何组织免疫是一个潜在的网络攻击或其他破坏性网络问题。它曾经是行业认为网络犯罪只针对大型企业潜在的大规模数据抓取和财务支出大。但是今天,任何组织的系统创建、存储过程,或者存储数据可能是处于危险之中。

,越来越多的公司转向云服务提供商在共享环境中,攻击者甚至可以利用更感兴趣你的网络威胁和增加你的网络风险,因为他们常常可以横向移动互联系统中注意的时间更长,潜在更大负面影响你的行动。

网络风险管理是一个关键的成熟的网络安全计划的一部分。它可以帮助你更好地保护你所有的资产,以及你的敏感和受保护的数据。许多遵从性和法规要求需要一定程度的网络风险管理。

网络风险也与你的组织,因为通过识别在网络风险,你可以成熟的操作弹性行为,构建主动和被动防御来阻止攻击者窃取您的数据。不仅仅是你的客户数据,但还可以包括你的组织的知识产权和金融数据。

不幸的是,随着网络威胁的类型和复杂性的发展,许多组织没有跟上,进化的能力。人手不足,安全团队已经拉伸和许多缺乏所需的工具和资源来有效地管理所有网络风险识别,特别是对使用传统的组织危险得分CVSS等工具。

随着企业继续扩大更多的技术和资产采用,随着继续迁移到云环境,安全基础设施变得更加复杂。团队经常没有发生与第三方应用程序的控制,引入更多的网络安全风险到我们的环境。

是的。网络安全和网络风险是相关的。

网络安全包括所有的技术、工艺和实践组织雇佣来保护您的系统和数据。你的网络安全实践可以帮助减少和纠正你的网络风险通过直接处理网络威胁和安全程序内识别和修复漏洞。网络攻击的一个例子是一个网络组织的风险。你的网络安全实践可以帮助减少这种风险的可能性和潜在的影响。

是的。有不同类型的网络风险。一些网络内部的风险。其他人则是外部的。

内部网络风险的一些例子包括设备丢失或被盗;可怜的员工网络卫生;缺乏员工的教育和培训;未经授权使用的设备;未经授权的数据访问;企业间谍活动;心怀不满的员工希望做名誉或其他类型的损伤;和数据窃取或删除或破坏数据和系统。

根据内部威胁网络安全人士2022年报告,超过一半的受访企业表示内部威胁比前几年更频繁。另一份报告,这个从PurpleSec2021年网络安全数据的最终名单统计,数据和趋势发现,增加的数量的社会工程师努力导致成功的破坏,大约7%的那些起源于一个恶意的内幕。

尽管内部网络风险可能在上升,今天的网络风险源于外部来源。例如,ransomware攻击,钓鱼计划,漏洞剥削,和黑客。外部网络风险通常与外部威胁来自外界试图未经授权地访问您的系统和网络。外部网络风险可能包括试图窃取或妥协您组织的敏感数据。

站不住脚的测量和管理网络业务操作风险报告波耐蒙研究所(Ponemon Institute有限责任公司,这是独立进行的,认为这些是一些关键的kpi组织用来衡量网络风险:

• 时间评估网络的风险

• 时间来治理网络的风险

• 识别和物联网资产容易受到网络的风险

• 效率优先的网络风险

报告还发现额外的kpi通常用来衡量金融网络风险的后果,包括:

• 损失的收入

• 损失的生产力

• 股票价格下降

虽然这些kpi是好的,现实是这些传统的网络安全风险测量方法通常是不够的。为什么?首先,他们把大量的注意力集中在网络技术方面的风险,不仔细看看其他因素,如商业和金融影响。同时,这些kpi通常不是很战略,对他们来说,没有太多关注的需要优先考虑风险有效的补救和网络风险降低。

甚至可能是更糟糕的是,30%的受访者表示他们不能关联这些kpi与他们减少他们的网络风险的能力。

许多组织在这个调查也表明,他们没有测量网络的成本风险。为什么这个很重要?测量网络的金融成本风险是一种说明你的网络安全的重要性和价值和风险管理计划你的高管和关键利益相关者。这些领导人是那些会让重要的商业决策,它将会影响你的程序的支持。想到这方面的人员、时间、资金和资源。

许多高管通常不了解网络的范围和影响的风险,即使他们已经看到新闻关于一些最大的头条事件。通过量化网络风险的成本,可以本质上更好的讲一种语言你的高管们理解,考虑业务战略目标和战术目标。把你的网络风险测量来建立你的用例的方式直接关系到你的操作弹性。

网络曝光和网络风险可以互换使用,但是有细微差别。当我们谈论网络曝光,我们深入探讨了风险,不仅分析风险存在,而且他们的潜在影响,我们如何可以优先处理这些风险,降低网络风险我们所做的。

在站得住脚的,当我们谈论网络曝光,我们讨论如何你能够解决网络风险。

通过了解你的网络接触,你的组织将会准备得更好来回答一些重要,常常被忽视的问题,以量化方式。例如,我们的组织有多安全?

网络曝光可以帮助你把你所有的资产,深入探讨了在所有的环境中,理解你有漏洞和其他安全问题,然后优先考虑何时以及如何解决这些网络风险根据实际开发信息和一系列其他重要领域特定于你做生意的方式和你的风险管理过程直接与您的业务战略目标和战术目标。

通过调整您的网络安全风险管理程序的网络接触生命周期,您的组织将能够自信地回答这些关键问题:

• 我的组织暴露在哪里?

• 我们应该优先考虑基于网络风险在哪里?

• 随着时间的推移,我们降低我们的网络风险?

• 我们如何与我们的同行的网络风险管理?

解决你的网络接触,你的组织将会准备得更好来确定你所有的网络风险在整个攻击表面,或者,我们说它简单来说,看到一切。这不仅仅是传统的IT资产。也发现你的网络风险从DevOps部署,包括在您的云环境中,在操作技术环境中,甚至在您的web应用程序。

但它不仅仅是寻找那些网络风险。网络曝光也帮助你预测哪些网络风险实际上给您的组织带来一个潜在的安全问题,现在,在不久的将来。例如,使用机器学习,站不住脚的产品集成预测功能来帮助你优化你的风险补救策略。

你不用猜如何解决这些优先问题。通过网络曝光平台像站得住脚的,你甚至可以得到最佳实践建议就如何解决你的网络风险的方式可以减少的可能性business-impacting网络事件可能会发生。

网络的网络安全风险管理是一个重要的组成部分。当我们讨论网络风险,也谈论网络风险管理是很重要的(或网络曝光管理)实践和组织如何受益。

通过开发一个网络风险管理程序,组织不仅可以更好地理解风险的存在,而且他们的潜在影响可能是什么以及如何减轻这些风险。

网络安全风险管理可以帮助你的团队开发实践,帮助你确定你的网络风险,优先考虑你的网络安全应对措施对组织潜在的负面影响,然后开发一个风险管理计划来专门处理这些风险,因为他们与您的组织。

在完美的世界里,网络安全团队希望有能力阻止每一个潜在的网络攻击。然而,我们知道这是不可能的。你的网络安全风险管理程序可以帮助你,但是,发展计划,积极主动,适应力强,灵活,所以你永远是准备解决网络风险,无论类型或复杂性。

你可以调整你的网络网络安全生命周期的风险管理计划,在那里你可以更好地识别网络风险,保护你的攻击表面,应对网络事件,并迅速恢复。

一个成熟的网络风险管理程序永远不会解决这个生命周期从一晚的方法。相反,它是一个持续的过程,你不断地确定差距和缺点,改善它们,然后再测试,以确保你成熟的网络安全风险管理方法作为你公司和景观的威胁还在继续发展。

有很多实现网络风险管理程序的好处。首先,网络风险管理程序可以帮助您的组织更有效地识别网络风险,优先考虑这些风险,并纠正或减轻这些风险降低的频率和可能性的目标网络事件,负面影响你的行动。

你的网络风险处理计划可以帮助确保你的组织有必要主动和被动网络安全措施来保护您的组织对网络事件,从而有效地减少潜在的攻击的风险。

我们已经提到过几次之间经常存在的漏洞和安全团队和他们的高管和关键利益相关者。网络风险管理计划是弥合这一差距的一个重要组成部分。它可以帮助你确定你的程序的需求和价值你的高管们理解。例如,您可以量化你的网络安全风险减少策略如何降低成本为组织并确保操作弹性。

因为网络风险管理是良好的商业实践,它可以帮助你和你的客户加强你的商业信誉,公众可能对你们的市场有积极的影响。通过展示您的组织需要网络风险管理认真、你采用业界公认最好的你可以在你的品牌和声誉建立信心,创建一个赢得为吸引新客户和留住现有客户。

一些其他的好处,实现一个网络风险管理计划包括建立对自己的能力更有信心满足合规,法规和其他规定,减少停机时间(或理想的任何停机时间)当一个网络事件发生时,没有或少的数据丢失网络事件的结果,和更好的理解网络风险如何影响操作弹性以及如何避免。

在许多组织中,首席信息官主要负责网络风险评估相关业务风险。然而,在一些组织中,这也是由首席信息安全官,首席技术官或首席风险官或首席安全官。

建立一个网络风险管理计划的基本步骤是风险评估。根据你的行业和监管指南,例如在医疗保健,这也可以被称为风险分析。

然而,你可以退一步之前建筑基础和更广泛的看之前你应该知道什么开始建立你的网络风险管理计划。

才能充分识别和理解你的风险,它可能有助于更好地理解什么是最常见的网络风险。有些团队拥有熟练的专业人士优先考虑这个焦点;然而,大多数组织就没有时间或资源景观跟上不断变化的威胁。如果这听起来耳熟,那么您可能会发现它有用的与一个组织合作,可以为你做这种类型的研究,例如,熟练的团队站得住脚的研究。

一旦你了解当前的威胁,它可能是有益的,如果你还没有这么做,做研究来更好地了解威胁的演员是如何运作的,他们的动机是什么,一些组织在你的行业如何回应,从成功的攻击中恢复过来。

景观信息当前威胁和攻击者的动机和行动,你就会更好的准备开始你的风险分析和风险评估。从这个位置,你的风险分析应该考虑你所有的重要资产和业务功能,以及网络威胁的潜在影响可能对你的能力来维持这些资产和服务进行一切照旧。

NIST的指南,可以帮助你进行正式的风险评估,我们会进入下面的更多细节。然而,如果你想知道更多,请去看看NIST的信息安全指南更深层次的潜水。

有很多的好处,做一个风险评估。它不仅会成为你成熟的驱动因素网络卫生实践,它还将帮助建立桥我们前面提到的,安全目标和组织之间的业务战略目标和战术目标。记住,这是建筑的重要组成部分执行支持和支持您的网络风险管理程序。

网络风险管理程序,尤其是对组织面临的遵从性和法规要求,可以帮助你更好地了解网络关键安全目标直接相关的风险,例如,确保机密性、完整性和可用性的数据。

是的。有几个框架可以用来帮助你与网络风险分析和风险管理网络。下面是一些例子:

• NIST的风险管理框架

• NIST网络安全框架

• ISO 27001

虽然有一系列因素考虑在选择网络风险管理框架可能是最好的或最适合于您的组织,大多数这些框架的共同主题。

例如,NIST的风险管理框架(RMF)一个有七个步骤的过程,帮助您的组织管理风险基于NIST的标准和指导方针。

这里的一些关键领域的概述说明以及他们如何可能适用于您的网络风险管理程序:

1. 开发必要的活动,组织风险管理做准备

2. 分类系统和任何信息处理、存储和传播使用影响分析

3. 选择NIST SP 800 - 53根据您的风险评估控制保护(s)

4. 他们是如何部署实施控制和文档。

5. 进行评估,以确保有效的控制,和他们操作设计和产生预期的结果

6. 确保高级领导人做出风险决策授权系统操作

7. 持续监测控制实现和系统风险

可能是另一个有用的资源NIST网络安全框架(CSF),它有一组自愿的标准管理和减少网络风险。

NIST CSF能帮助你识别网络风险和制定计划解决这些风险与组织的业务目标。

你也可以利用感兴趣ISO 27001标准帮助开发、实施和管理过程,如网络风险管理。

最后,一个网络SOC2风险管理框架,可能会有帮助,也称为系统和组织控制2,它可以帮助您的组织管理网络风险标准。

有几个因素决定哪些网络时需要考虑的风险管理框架可能是最适合您的组织。

你应该考虑你的组织的大小,数量和类型的资产,你的类型和复杂性技术架构(例如,传统,不,网络应用,云计算,等等),数据组织存储、传递和处理,您使用或存储数据,当然,当前威胁景观。

需要帮助选择适合您的组织的网络风险框架?站得住脚的下一代安全方法可能正是你所要找的。阅读更多关于安全框架支持站得住脚的在这里。

有许多最佳实践您的组织可以使用更好的管理自己的网络风险。如果你还没有,考虑采用网络风险管理框架,比如NIST风险管理框架。风险管理框架可以帮助您开发计划为您的组织识别网络风险,减轻这些风险,优先考虑风险可能会对你的组织最潜在影响,这样你就可以制定一个策略来解决这些问题。

以下是一些最佳实践,可以帮助你更好看,预测,对网络安全风险和行动:

1. 识别和库存你所有的资产。保持定期更新。记住,如果你不知道你有哪些资产,你无法知道你可能有网络安全风险。

2. 确定您的关键业务操作和理解损失或破坏的潜在影响的操作你像往常一样做生意的能力。

3. 使用一个工具,例如成立Nessus自动化流程,不断识别潜在的漏洞或安全问题。

4. 使用机器学习和预测优化工具,如成立Lumin优先哪些漏洞可能最大的对您的组织的潜在影响,在短期内。

5. 应用基于风险的脆弱性管理方法来管理,减轻和医治你的网络风险。

市场上虽然有很多的工具可以帮助团队快速、自动识别漏洞和其他网络安全风险,大多数IT和安全团队知道如何解决这些漏洞。特别具有挑战性的组织的严重依赖,或只,传统普通危险得分系统(CVSS)优先修复漏洞。

使用CVSS为优先级最常见的问题是,它一般只考虑技术脆弱性的严重程度。它没有考虑其他重要因素,如是否有已知的利用在野外或可能性有多大攻击者可能利用弱点现在或在不久的将来。

好消息是有一个更有效和高效的选择帮助组织有效地优化网络的风险。这是站不住脚的脆弱性优先级评级(冲程体积)。CVSS不同,冲程体积给你一个易于理解的分数直接适用于您的独特的组织需求,所以你知道哪些识别漏洞应该先吸引你的注意力。

,与CVSS的大容量(想想数万)漏洞作为关键或高得分,冲程体积成千上万的机器学习算法降低下来,确保平台的漏洞打进关键的或高是那些真正需要你的关注。

优先你的网络安全风险,你的组织会更好准备构建、测试,和部署计划,有效地减少你的风险,同时减少发作频率和影响,这样你就能很快恢复,尽快回到一切如常。

今天的威胁景观是不断发展的,越来越复杂,这样,所以演员的方法威胁利用您的组织的网络风险。虽然这个列表是经常变化的,而不是很详尽,这里有几个例子,今天组织面临一些最大的网络风险:

• 恶意软件

• Ransomware

• 网络钓鱼的计划

• 社会工程

• 可怜的密码管理

• 无效的身份和访问管理

• 内部威胁

• DDoS攻击者

• SQL注入

• 供应链和第三方的风险

• 网络不够卫生

• 云安全漏洞

• 配置错误

• 漏洞或在代码(基础设施代码)

• 安全漏洞活动目录

• 它中断

• 网络漏洞并记录曝光

NIST定义了网络风险评估为“识别风险的组织操作的过程(包括任务、功能、形象、信誉),组织资产,个人,其他组织和国家,造成信息的操作系统”。

风险管理的一部分,一个网络风险评估包含威胁和脆弱性分析和考虑应对所提供的安全控制你要么现在或计划实施。

NIST的目的,风险评估和风险分析是同义的。

NIST SP 800 - 30提供指导进行有效的风险评估,特别是有关联邦信息系统和组织;然而,最佳实践可以应用在一系列工业。

基于NIST 800 - 30,你的网络风险评估应该包括四个主要过程:

1. 框架的风险

2. 风险评估

3. 风险应对

4. 风险监控

当NIST谈到框架网络风险,建立一个上下文相关的风险。例如,它是建立一个框架,考虑环境的类型你基于风险的决策。这将有助于指导风险管理策略,所以你准备解决你的组织将如何评估,应对和监控风险。

评估网络风险而言,这是关于你如何识别风险如:

• 组织威胁你的操作,或个人的资产,但也可能包括通过您的组织对他人的威胁。

• 内部和外部的漏洞。

• 这些风险产生的负面影响,基于参与者的潜在威胁可能利用这个安全漏洞。

• 威胁剥削发生可能性。

下一个重要的步骤在进行网络风险评估,是制定一个计划为您的组织将如何应对风险根据风险评估的结果。在这里,你想建立一个风险应对策略可以应用在您的组织。不仅仅是你可能采取的行动,也让你的团队成员的信息和适应能力为另类的行为在你的组织的风险容忍度或风险阈值。

最后,你的网络风险评估应该包括计划促进风险监控。这将帮助你保持警惕在分析如果按计划执行你的风险应对策略,以及发现的变化在你的环境中,可能需要调整。

想要更深入NIST风险评估的指导吗?查看完整的指南在这里。

借鉴美国卫生与公众服务部(HHS)和HIPAA指南,一个正式的风险分析应该包括:

一个准确和全面评估潜在的网络保密相关的风险和漏洞,完整性和可用性的保护数据组织创建,接收,维护,或传送。

• 威胁和脆弱性的识别。

• 建立有效的控制管理、减轻和纠正网络风险。

• 创建一个风险评级和伤害从网络风险的可能性。

• 为合规开发文档和其他管理报告。

一些行业需要的网络风险评估合规和/或监管标准。此外,有趣的是越来越多的国家积极发展自己的数据隐私和网络安全标准。这不会是最令人惊讶的看到,如果没有这些,还包括网络风险评估的要求。

但是您的组织可以受益于做一个风险评估不仅仅是满足合规要求。最重要的是,它可能是有用的考虑会发生什么,如果你不进行网络风险评估或建立网络风险管理你的组织系统和数据可能是一个网络事件的风险。

不仅可以组织失去生产力和负面影响你的客户、供应商、关键利益相关者,和潜在的市场,你可能面临罚款达到数百万美元,根据事件类型,严重程度和罪责。一些组织经验的网络事件从未完全恢复,甚至有时被迫关门。

进行网络风险评估应该是一个基本的业务实践您的组织。不仅仅可以帮助支撑你的网络安全实践,而且你的业务连续性和操作弹性策略。一个有效的网络风险评估可以作为基础网络安全程序,可以帮助您组织的风险管理活动今天你们进化和改变。

站得住脚的,您的组织可以有知识、工具、和资源看到一切,预测问题和行动来解决网络风险在攻击你的整个表面。

您可以使用基于风险的脆弱性管理成熟的基础网络安全的风险管理实践。这是一个伟大的方式来介绍一个共同廖润邦网络安全程序的方法。除此之外,站得住脚的可以帮你证明和报告基于指标的语言,每个人都理解并得到兴奋作为文化的一部分,重视网络风险管理,以极大的福利机构—你的安全团队,一直到行政领导和关键利益相关者。

站得住脚的可以帮助组织识别、排序和地址网络风险在攻击你的整个表面。

研讨会:看,网络风险预测、行为:地址站得住脚的能力

理解网络生命周期

报告:我们有多安全?

成立网络暴露研究:Ransomware