通过评估风险来查找网络安全漏洞

日期: 2018-08-27 作者:Amy Larsen DeCarlo翻译:邹铮 来源:TechTarget中国 英文

随着网络犯罪分析开始利用更复杂的工具和技术,数据泄露事故逐年增加。并且,这种趋势可能会持续下去。

同时,在泄漏数据数量猛增的情况,处理这种情况的成本也随之上升。让我们看看一组令人震惊的数据:在2017年全球共有26亿条记录遭泄漏,这与前一年相比增加88%。根据IBM赞助的Ponemon研究所对2017年的研究显示,平均数据泄露事故需要花费362万美元。虽然这比2016年的400万美元有所减少,但企业面对着更大型的数据泄露事故。

这给IT部门带来巨大的压力,他们迫切需要改善企业网络安全,而这首先应该制定计划以识别网络安全漏洞以及消除这些漏洞。这些安全漏洞的性质包括从架构性和资源相关性到技术性。

为了识别和修复这些漏洞问题,企业需要进行彻底的风险评估。根据美国国家标准与技术研究所的定义,此类评估旨在确定“对企业运营(包括使命、职能、形象或声誉)、企业资产和个人构成的网络安全风险”。

通过风险评估,企业可确定其业务面临的最危险的内部和外部威胁,并概述已经部署的控制和保护措施。风险评估还需要全面的资产清单—系统、网络基础设施技术和非技术资产,包括这些资源支持哪些业务服务以及哪些利益相关者负责维护它们。

非常多的企业将风险和漏洞评估与年度合规性测试关联,而不是理解这些评估可在数据泄露事故发生前提供关键信息来修复漏洞。要使风险评估成为IT安全做法中真正有效的元素,企业需要将这视为持续工作,保持更新资产信息以及重新审视新的IT基础架构和网络安全漏洞。同时,频繁的渗透测试可确保企业找出可能使其面临风险的潜在漏洞。

弥补安全技能缺陷

对于大多数企业而言,主要的安全缺陷是缺乏安全技能。无论企业是否有足够的员工,还是技能集有限,亦或是二者兼而有之,IT企业都会发现自己难以应付威胁环境。很多安全专业人员经常被警报淹没,他们通常会关闭警报并忽略威胁。即使是资源充足的企业也时常难以吸引网络安全人才,研究人员预计在2020年将会有200多万个职位空缺。

对此,企业可以通过技术来弥补人才短缺问题,但他们也需要重新评估做法,企业应该考虑以下问题:

  • 在网络威胁环境中,传达变化消息的难易程度?
  • 企业是否部署有正确的工具来查找和修复新的网络安全漏洞?
  • 网络安全专业人员是否能根据资产的价值和受影响数据的重要性来优先安排响应工作?
  • 企业是否有事故响应计划来在数据泄露事故发生时予以缓解?

企业应该部署一个系统来了解资产的价值并在其变化时调整其估值,这可帮助优先排序修复工作。有些企业选择创建自己的内部风险评估工具,或者企业也可选择第三方服务来帮助简化这部分风险管理流程。

可识别网络安全漏洞的工具

在使用这些工具来优先排序响应工作时,同样重要的是,确保持续地使用这些工具。遗憾的是,即使是最有用的网络安全工具甚至都未得到充分利用或者正确利用。

在企业安全防御方面,对于使用补丁管理系统存在显著差异。有效的补丁管理程序需要一个系统在必要时快速安装修复程序。如果系统被设置为不自动推出更新,那么,网络或安全管理员有责任抵御零日威胁。这可能意味着无法及时修复漏洞,导致网络安全漏洞可能被利用。

身份和访问管理是另一个没有发挥其作用的组建。网络攻击者可突破密码和其他传统控制,因此,多因素身份验证是保护资产免受攻击的重要工具。在所有系统和应用程序(包括远程访问网管和云平台)设置多因素身份验证访问控制可立即改善企业的安全状态。

但也许企业提高其防御的最佳机制是制定、商定和执行一套有效的政策,以避免网络安全漏洞。最终用户教育是这里的重要组成部分。清晰的文档记录、最终用户培训以及与员工及用户保持沟通可限制人为错误并提高整体安全意识。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐