一个集中的安全风险管理方法必须包括威胁防护功能(防病毒、入侵防护以及防间谍软 件),所有这些都需要与遵从性管理功能包括策略强、漏洞修复、网络接入控制、审计和数据损失防护进行集成。
多年来,许多组织大部分专注于病毒、垃圾邮件、混合威胁以及间谍软件所代表的外部威胁。根据IDC的报告,全球信息安全遵从性和控制市场的价值在2005年大约是57.9亿美元,而在2010年这一价值将达到149.2亿美元。 在迈克菲近期发布的2007年十大威胁中,研究人员发现了创建恶意软件的专业和有组织的犯罪不断增长的证据,这些网络犯罪都有一个负责创建恶意软件的团队,并且测试和自动生成及传播。
构建风险管理战略
IT管理人员每天都会接到有关系统漏洞、新软件漏洞或新恶意代码的警报,所有这些警报的安全级别很难一下子判断出来。因此,结果往往是 IT 人员不由自主地被这类事务牵着鼻子走,采取既耗时又费力的行动,比如查漏洞、打补丁等。然而,这些行动不见能够真正起到防护的作用。
安全风险管理可以为企业提供必要的流程来提高安全性和法规遵从性。安全风险管理的实施离不开CIO、IT 操作人员、网络安全人员及业务主管人员的通力协作。由于有些系统和应用程序更容易暴露在风险之中,而IT部门无法独自确定企业可承受的风险等级。因此,IT 和业务管理人员需要通力合作来帮助企业确定资产优先级和最大限度地降低风险。
安全团队可以建立明智的风险管理战略,使有限的资源可以集中于应对企业面临的最大威胁。任何公司都不会有足够多的财力和人力用于完全消除其与 IT 相关的潜在风险。因此,将所面临的各种风险量化,然后据此确定安全投资的优先顺序势所必然。
新模型的三要素 为了量化风险并确定补救措施的优先顺序,目前业内比较前沿的一个模型从三个方面测量风险:资产价值、资产易受攻击程度以及各种现实威胁。
资产价值:每分钟需处理价值数千美元交易的服务器显然要比客户服务代表的桌面机更为重要。因此,制定降低风险的明智战略需要清楚了解整个企业中各类 IT 资产所代表的企业价值。
资产易受攻击程度:除具有不同的企业价值外,IT 资产存在其固有的不同程度的软肋。提供公共网页的系统比起根本就不连接到 Internet 的系统来,肯定更容易受到攻击。锁在配线橱柜中的交换机要比距离公司安全外围数千英里远的膝上电脑更安全。
现实威胁:安全团队还必须清楚了解任何现有资产所面临的各种现实威胁。虽然运行在旧式系统上的旧应用程序可能对公司具有很高的价值,但它们受威胁的可能性会更小一些,因此对公司来说,它们所面临的风险可能要比运行在 Windows 或 Linux 上的应用程序所面临的风险要小很多。
把这三个因素结合起来考虑,安全团队就能准确了解企业最大的威胁存在于何处,并据此确定风险缓解行动的优先顺序。风险可以通过综合考虑资产的企业价值、其固有的易受攻击程度以及它实际面临的各种威胁的强度计算出来。除了解具体的风险等级外,安全团队还可以拓宽解决 IT 相关风险的视角,以便显著增强其措施的有效性。Kurtz 提出了四种可能的风险管理战略:风险减轻、风险接受、风险转移和风险回避。风险减轻:这通常是人们碰到风险时头脑中的第一反应,它包括安全团队针对威胁所采取的各种应对措施;接受风险:如果解决风险的成本大于风险本身,或者解决该风险将使资源无法用来解决更为严重的风险,合理的行动可能就是接受该风险;风险转移:在某些情况下,当将风险转移给第三方(如,保险公司)比将有限的资源用于可能并不能产生明显效果的风险减轻行动时,采取前一种方式是更为审慎的选择;规避风险:有时还会碰到这样一些情况,不仅风险的等级很高,而且解决该风险的成本也达到了无法接受的地步。在这种情况下,最好的办法是完全规避风险,撤掉可能会带来这样风险的系统,或者不将其部署在最重要的位置。
一个集中的安全风险管理方法必须包括威胁防护功能(防病毒、入侵防护以及防间谍软件),所有这些都需要与遵从性管理功能包括策略强、漏洞修复、网络接入控制、审计和数据损失防护进行集成。
据 IT 研究机构 Gartner 提供的资料显示,实施正确的风险管理步骤和技术来发现漏洞、确定漏洞的严重等级并采取补救措施的组织,遭受网络攻击风险的可能性要降低90%。
最近更新