博客
如何执行网络安全风险评估
摘要形状摘要形状

CYbersecurity风险评估S帮助组织了解,控制和减轻所有形式的 网络风险。 它是风险管理战略和数据保护努力的关键组成部分。

风险评估没有什么新鲜无常的,如果你在工作的情况下你是否喜欢它 信息安全,您在风险管理业务中。随着组织更多地依赖信息技术和信息系统,可以做生意, 数字风险 景观扩大,将生态系统暴露给新的批评 漏洞.

国家标准与技术研究所(NIST) 开发了A. 网络安全框架 为风险评估做法提供基础。

网络风险是多少?

网络风险是遭受敏感数据,财务或商业运营在线遭受负面干扰的可能性。最常见的是,网络风险与可能导致的事件相关联 数据泄露.

网络风险的例子包括:

虽然常用互换,但网络风险和漏洞是不一样的。漏洞是在利用时导致未经授权的网络访问的弱点,网络风险是被利用的漏洞的概率。


网络风险从零,低,媒体分类到高风险。饲养风险的三个因素 漏洞评估 are:

使用这种简单的框架,可以开发出网络风险的高级计算:

网络风险=威胁x漏洞x信息价值

想象一下,你是评估与a相关的风险 网络攻击损害特定操作系统。该操作系统在其软件的1.7版中具有已知的后门,可以通过物理装置轻松利用,并将高价值的信息存储在上面。如果您的办公室没有物理安全,您的风险将会很高。

但是,如果您有良好的IT员工可以识别漏洞,并且将操作系统更新为1.8版,即使信息值仍然很高,您的漏洞也会很低,因为后门在版本1.8中被修补。

要记住的一些事情是对业务流程或信息系统的风险零风险很少,风险意味着不确定性。如果有什么保证发生的话,它's not a risk. It'一系列一般业务运营。

什么是网络风险评估?

网络风险评估由 NIST 作为 风险评估用于识别,估计和优先考虑组织运营,组织资产,个人,其他组织和国家的风险,从而产生信息系统的运作和使用。

网络风险评估的主要目的是帮助提供决策者并支持适当的风险反应。他们还提供执行摘要,以帮助高管和董事对安全做出明智的决定。这 信息安全 风险评估过程涉及回答以下问题:

  • 我们的组织是什么?'最重要的信息技术资产?
  • 什么 数据泄露 无论是对我们的业务,无论是来自恶意软件,网络攻击还是人类错误都会产生重大影响吗?思考客户信息。
  • 我们组织有哪些相关威胁和威胁来源?
  • 内部和外部漏洞是什么?
  • 如果这些漏洞被利用了什么影响?
  • 剥削的可能性是什么?
  • 网络攻击,网络威胁或安全事件可能会影响业务运作的能力吗?
  • 我组织舒适的风险水平是多少?

如果您能回答这些问题,您将能够确定保护什么。这意味着您可以开发IT安全控件和 数据安全 减轻风险的策略。在您可以执行此操作之前,您需要回答以下问题:

  • 我正在减少风险是多少?
  • 这是最优先的安全风险吗?
  • 我是以最具成本效益的方式降低风险吗?

这将有助于您了解 信息价值 您正在尝试保护的数据,并允许您更好地了解您在保护业务需求的范围内的信息风险管理过程。

为什么要执行网络风险评估?

您想要执行网络风险评估的原因以及您需要的一些原因。让's walk through them:

减少长期成本

确定潜在的威胁和漏洞,然后努力减轻它们有可能预防或减少在长期内拯救您的组织金钱和/或声誉损害的安全事件

为未来评估提供网络安全风险评估模板

网络风险评估aren'T一个过程中,您需要不断更新它们,效果良好的第一圈将确保可重复的过程,即使是员工的营业额

更好的组织知识

了解组织漏洞使您可以清楚地了解组织需要改进的位置

避免数据违规行为

数据泄露可以有一个 巨大的财务和声誉影响 on any organization

避免监管问题

被盗的客户数据,因为您未能遵守HIPAA,PCI DSS或 APRA CPS 234.

避免应用程序停机时间

内部或面向客户的系统需要可用,并为员工和客户提供工作

数据丢失

盗窃商业秘密,代码或其他关键信息资产可能意味着您对竞争对手失去业务

除此之外,网络风险评估是信息风险管理和任何组织的组成部分'更广泛的风险管理策略。

谁应该履行网络风险评估?

理想情况下,组织应该专门的内部团队处理风险评估。这意味着拥有IT人员,了解您的数字和网络基础设施如何工作,高管了解信息流量的高管以及在评估期间可能有用的任何专有组织知识。

组织透明度是彻底网络风险评估的关键。

小企业可能没有合适的人在内部做出彻底的工作,并需要将评估外包给第三方。组织也在转向 网络安全软件监控他们的网络安全得分,防止违规行为,发送安全问卷并减少第三方风险。

如何执行网络风险评估

We'LL从高级概述开始,然后深入到下一部分中的每个步骤。在开始评估和缓解风险之前,您需要了解您拥有的数据,您拥有的基础架构以及您尝试保护的数据的值。

您可能希望通过审核数据来回答以下问题:

  • 我们收集哪些数据?
  • 我们如何以及在哪里存储此数据?
  • 我们如何保护和记录数据?
  • 我们保留数据多久了?
  • 谁在内部和外部访问数据?
  • 是我们将数据存储正确安全的地方吗?许多违规者来自 配置不良的S3桶, 检查你的 S3权限或其他人会。

接下来,你'LL希望定义评估的参数。以下是一些良好的入门问题,可以让你开始:

  • 评估的目的是什么?
  • 评估的范围是多少?
  • 我应该意识到这可能会影响评估是否有任何优先事项或制约因素?
  • 谁我需要访问组织中的所有信息?
  • 组织用于风险分析的风险模型是什么?

很多这些问题都是不言自明的。你真正想知道的是你'LL进行分析,谁拥有正确评估所需的专业知识,并且您需要了解任何监管要求或预算限制。

现在让步'看看需要采取哪些步骤来完成彻底的网络风险评估,为您提供风险评估模板。

第1步:确定信息值

大多数组织都不'T有一个无限预算 信息风险管理 so it'最好将您的范围限制在最重要的业务资产限制。

为了节省时间和金钱,花一些时间定义确定资产重要性的标准。大多数组织包括资产价值,法律站立和业务重要性。一旦标准正式纳入本组织'■信息风险管理政策,使用它将每个资产分类为关键,专业或未成年人。

您可以要求确定值许多问题:

  • 是否有与公开或丢失此信息相关的财务或法律罚款?
  • 这些信息有多重要的是竞争对手的信息?
  • 我们可以从头开始重新创建这些信息吗?需要多长时间,有关的费用是多少?
  • 会失去这些信息对收入或盈利有影响吗?
  • 会丢失这一数据影响日常业务运营吗?我们的员工可以在没有它的情况下工作吗?
  • 这是什么权力损害 数据被泄露?

第2步:识别和优先顺序资产

第一步是识别资产以评估和确定评估的范围。这将允许您优先考虑哪些资产评估。您可能不希望对每个建筑,员工,电子数据,商业秘密,车辆和办公设备进行评估。请记住,并非所有资产都具有相同的价值。

您需要使用业务用户和管理来创建所有有价值资产的列表。对于每个资产,在适用的情况下收集以下信息:

  • 软件
  • 硬件
  • 数据
  • 界面
  • 终端用户
  • 支持个人
  • 目的
  • 关键性
  • 功能要求
  • IT安全政策
  • IT安全架构
  • 网络拓扑结构
  • 信息存储保护
  • 信息流
  • 技术安全控制
  • 物理安全控制
  • 环境安全

第3步:识别网络威胁

网络威胁是任何可能的漏洞 剥夺了违反安全保障 造成伤害或窃取组织的数据。虽然黑客,恶意软件和其他IT安全风险升值,但有许多其他威胁:

  • 自然灾害:洪水,飓风,地震,闪电和火灾可以尽可能多地破坏任何网络攻击者。您不仅可以丢失数据而且服务器也可以丢失。在决定上提和基于云的服务器之间时,请考虑自然灾害的可能性。
  • 系统错误:您最关键的系统是否在高质量的设备上运行?他们有良好的支持吗?
  • 人为错误:是你的 S3桶保持正确配置的敏感信息?您的组织是否围绕恶意软件进行了适当的教育, 网络钓鱼社会工程学?任何人都可能意外单击恶意软件链接或将其凭据输入到网络钓鱼骗局中。您需要拥有强大的IT安全控件,包括常规数据备份,密码管理器等。
  • 对抗性威胁: 第三方供应商,内部人士,值得信赖的内部人,特权内部人,建立黑客集体,临时群体, 企业间谍活动,供应商,国家国家

影响每个组织的一些常见威胁包括:

  • 越权存取:来自攻击者,恶意软件,员工错误
  • 授权用户滥用信息:通常是一个 内幕威胁 如果数据被改变,删除或使用而不批准
  • 数据泄漏: 个人身份信息(PII) 和别的 敏感数据,攻击者或通过 云服务配置不佳
  • 丢失数据:组织丢失或意外删除数据作为较差备份或复制的一部分
  • 服务中断:由于停机时间,损失收入或声誉损失

在你之后've确定了您组织面临的威胁'LL需要评估他们的影响。

第4步:识别漏洞

现在它'是时候从中移动了"could"发生在发生的可能性。漏洞是威胁可以利用违反安全,伤害您的组织或 steal sensitive data。通过漏洞分析,审计报告,国家标准和技术研究所(NIST)找到漏洞 漏洞数据库,供应商数据, 事件响应 团队和 软件安全分析.

您可以通过自动强制更新减少组织软件的漏洞,采用适当的补丁管理。但是不要't忘记了物理漏洞,有人获得了访问组织的机会'通过具有KeyCard访问来减少S计算系统。

第5步:分析控制并实施新控件

分析到最小化或消除威胁或漏洞的概率的控制。可以通过技术手段(例如硬件或软件)来实现控件, 加密,入侵检测机制,双因素认证,自动更新, 连续数据泄漏检测,或通过非技术意味着像锁或锁定访问等安全策略和物理机制。

控制应被归类为预防或侦探控制。预防控制试图停止攻击,如加密,防病毒或或 连续安全监测,侦探控制尝试发现攻击发生的瞬时数据曝光检测时。

第6步:计算各个方案的可能性和影响每年的基础

现在,您知道信息价值,威胁,漏洞和控制,下一步是确定这些网络风险的可能性有多大可能,如果发生这种情况。它'不仅仅是在某些时候是否可能面临其中一个事件,但它是什么'S成功的潜力可能是。然后,您可以使用这些输入来确定花费多少以减轻您所确定的网络风险。

想象一下,您有一个存储所有公司的数据库'最敏感的信息,并且根据您的估计,信息的价值为1亿美元。

您估计在违约事件中,至少在包含之前至少有一半的数据。这导致估计损失5000万美元。但是你期望这不太可能发生,在五十年的发生中出现。导致每年每年50米或每年每年100万美元的估计损失。

可以防止每年获得100万美元的预算。

第7步:基于预防成本对风险进行了优先级,VS信息值

使用风险级别作为基础,并确定高级管理层或其他负责人的行动,以减轻风险。以下是一些一般指导方针:

  • 高纠正措施尽快开发
  • 中等 - 在合理的时间内开发的正确措施
  • 低 - 决定是否接受风险或减轻

请记住,您现在已经确定了资产的价值以及您可以花多少钱来保护它。下一步很容易:如果它需要超过保护资产'值得,使用预防控制保护它可能没有意义。那说,记得可能存在 声誉影响,不仅仅是财务影响,因此对某种方式重要。

还要考虑:

  • 组织政策
  • 声誉伤害
  • 可行性
  • 法规
  • 控制的有效性
  • 安全
  • 可靠性
  • 对风险的组织态度
  • 对风险因素的不确定性的耐受性
  • 风险因素的组织加权

第8步:风险评估报告的文件结果

最终步骤是制定风险评估报告,以支持管理预算,政策和程序决定。对于每种威胁,该报告应描述风险,漏洞和价值。随着发生和控制建议的影响和可能性。

当你通过这个过程工作时,你'LL了解您公司运营的基础架构是什么,您最有价值的数据是什么,以及如何更好地运营和保护您的业务。然后,您可以创建一个风险评估策略,该策略定义您的组织必须定期进行的内容 监控其安全姿势,风险如何解决和减轻,以及如何执行下一个风险评估过程。

无论您是小企业还是跨国企业信息风险管理都处于网络安全的核心。这些流程有助于建立规则和指导,为威胁和漏洞提供答案可能导致的答案 对您的业务的金融和声誉损害以及如何减轻它们.

理想情况下,随着您的安全实现改进,您对当前评估的内容作出反应,您的网络安全应得到改善。

您的敏感数据是网络风险威胁的吗?

Upguard是一个行业领先的攻击面监控平台。礼仪网络风险缓解解决方案加强了内部和整个供应商网络的漏洞,以显着降低数据泄露的机会。

点击这里 今天免费试用Upguard!

免费电子书

管理人员'管理网络风险指南

了解您作为执行高管的方式,可以管理对您组织的网络风险。
白色upguard徽标
管理人员'管理网络风险指南
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 02:30:19

最近发表