王朝网络
分享
 
 
 

未亡羊先补牢——风险管理防患于未然

王朝other·作者佚名  2008-05-31
宽屏版  字体: |||超大  

安全风险源于漏洞。当漏洞被利用,同时影响到资产的时候,就产生了风险。

安外必先攘内是企业在规划网络安全体系时必须考虑的一个问题。事实证实,尽管在网络边界构筑了坚固的安全防线,部署了防火墙、防病毒软件和IDS,企业仍然会受到黑客的攻击。受到攻击的原因之一是企业网络中存在着众多的漏洞(Vulnerability,也译为弱点),这些漏洞包括提供商造成的漏洞、开发者造成的漏洞、错误的配置、策略的违反等。Gartner指出,漏洞是指在方法、治理或者技术中存在的缺点,而这个缺点可以导致影响、降低IT安全。

假如企业缺乏一套完整的漏洞评估治理机制,未能落实定期评估与漏洞修补的工作,就等于敞开了网络安全的门户,时刻有可能遭到黑客的攻击。一项调查显示,99%的黑客攻击事件都是利用未修补的漏洞与错误的设定进行的。

利用漏洞发动攻击的最典型案例莫过于“冲击波”病毒了。2003年8月11日“冲击波”病毒的发作,影响到了30万到50万台计算机,共造成了全球企业15-20亿美元的业务损失。实际上,近一个月以前,Windows RPC漏洞的补丁就已经发布,但是大多数企业并没有及时打上补丁,造成了业务上不可估量的损失。

风险治理与漏洞

既然漏洞的潜在危害如此巨大,那么企业该如何“攘内”呢?实施风险治理是行之有效的方法。风险治理就是在适当的成本范围内,对影响信息系统的安全风险进行识别、控制、降低、消除、转移等的一系列过程。风险治理的几个要素是资产价值、威胁、漏洞、威胁的潜在影响以及漏洞被利用的可能性。当漏洞被利用,同时影响到资产的时候,就产生了风险。随着资产价值、漏洞等级、被利用可能性的不同,产生的风险也会不同。

由此可以看出,安全风险的根本原因就在于漏洞,下面的这个等式表达了风险和漏洞之间的关系:风险=资产×漏洞×威胁。

掌控风险 有的放矢

随着IT部门所面对的威胁种类日益增多,网络安全治理人员天天都会接到有关系统漏洞、新软件漏洞或新恶意代码的警报,所有这些警报的安全级别很难一下判定出来。因此,安全治理员往往不由自主地被这类事务牵着鼻子走,采取既耗时又费力的行动,比如查漏洞、打补丁等。然而,这些行动不见得能够真正起到防护的作用。

与此相反,安全治理员可以建立明智的风险治理战略,使有限的资源可以集中于应对企业面临的最大威胁。识别风险并确定风险的等级,是采取合理有效措施的要害所在。风险治理专家George Kurtz认为,任何公司都不会有足够多的财力和人力用于完全消除其与IT相关的潜在风险。因此,将所面临的各种风险量化,然后据此确定安全投资的优先顺序就势所必然。

为了量化风险并确定补救措施的优先顺序,Kurtz提出了一个模型,该模型从三个方面测量风险—资产价值、资产易受攻击程度以及各种现实威胁。

资产价值:处理企业交易业务的服务器显然要比客户服务代表的桌面机更为重要。因此,制定降低风险的明智战略,需要清楚了解整个企业中各类IT资产所代表的企业价值。

资产易受攻击程度:除具有不同的企业价值外,IT资产存在其固有的不同程度的软肋。提供公共网页的系统与根本就不连接到Internet的系统相比,肯定更轻易受到攻击;锁在配线柜中的交换机要比远离公司数千公里远的笔记本电脑更安全。

现实威胁:安全治理员还必须清楚了解任何现有资产所面临的各种现实威胁。举例来说,流行的操作系统(例如Windows)比旧式操作系统所受到的攻击会更多。因此,虽然运行在旧操作系统上的旧应用程序可能对公司具有很高的价值,但它们受威胁的可能性会更小一些。

风险可以通过综合考虑资产的企业价值、其固有的易受攻击程度以及它实际面临的各种威胁的强度计算出来。安全治理员就能准确了解企业最大的威胁存在于何处,并据此确定降低风险行动的优先顺序。

从资产发现和资产相关风险的评估,到补救措施的验证,通过尽可能将风险治理过程自动化并达到所希望的效果,安全治理员可以进一步增强其措施的有效性。据Gartner提供的资料显示,实施正确的风险治理步骤和技术来发现漏洞、确定漏洞的严重等级并采取补救措施的组织,成为攻击受害者的可能性要降低90%。

Kurtz认为,设立防火墙确保企业的安全固然很重要,但企业所能达到的安全水平,很大程度上取决于理解和治理各种形式风险的水平,以及如何将有限的资源集中运用到能为企业带来最大好处的地方。

目前虽然有许多厂商提供网络安全漏洞的检测工具,而且它们能协助企业找出问题所在,然而使用者在缺乏正确认知的情况下,多半无法有效辨别最重要的问题或是应该优先解决的问题在哪里,也无暇去针对这些漏洞落实修补的工作。企业真正需要的是一个能提供持续性的网络安全弱点的评估治理系统,以仿真黑客攻击的手法来检测企业的网络是否有任何不当的设定与危险的漏洞,同时提供完整的治理机制,以方便治理者追踪、记录、验证漏洞评估治理成效,同时通过量化的报表来真实反映企业的网络安全问题。

四种风险治理战略

除了解具体的风险等级外,安全团队还可以拓宽解决IT相关风险的视角,以便显著增强其措施的有效性。Kurtz 提出了四种可能的风险治理战略:风险减轻、风险接受、风险转移和风险回避。

风险减轻:这通常是人们碰到风险时头脑中的第一反应。它包括安全团队针对威胁所采取的各种应对措施,如防火墙、IDS和防病毒软件。

风险接受:假如解决风险的成本大于风险本身,或者解决该风险将使资源无法用来解决更为严重的风险,合理的行动可能就是接受该风险。

风险转移:在某些情况下,当将风险转移给第三方(如保险公司)比将有限的资源用于可能并不能产生明显效果的风险减轻行动时,采取前一种方式是更为审慎的选择。

风险回避:有时还会碰到这样一些情况,不仅风险的等级很高,而且解决该风险的成本也达到了无法接受的地步。在这种情况下,最好的办法是完全回避风险,方式可以是撤掉会带来这样风险的系统,或者不将其部署在最重要的位置。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
>>返回首页<<
推荐阅读
 
 
频道精选
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
© 2005- 王朝网络 版权所有