企業數字風險管理優化四部曲(基礎框架版)
近年來,網路威脅情報興起,企業組織可以接觸到大量網路威脅和攻擊相關的資訊,進而專注於分析策略與技術,並利用這些資訊優化威脅防禦、降低風險。不過,要想真正有效地利用威脅情報來緩解風險,管理者必須能合理地評估並管理企業組織中的風險、梳理清楚需要保護的資產、瞭解聯網系統的弱點所在以及可能會被攻擊者入侵的環節。
以下為優化企業風險管理的四大基礎步驟:
1. 確認需要被保護的資產
首先,梳理企業需要保護的數字資產,瞭解這些資產及相關資料的實際展示形式。數字資產涵蓋幾個方面,包括人要(使用者、員工、合作伙伴、服務供應商)、組織(服務部門、基礎設施)以及支援組織運作的系統與重要應用(網站、埠、資料庫、支付流程與系統、EPR應用)。管理者需要梳理清楚這些資產與企業內部能夠產生利潤、具備競爭優勢的業務以及可信度、聲譽和願景等無形資產之間的關係。產品設計、核心程式碼、專利資訊等智慧財產權資訊與企業的競爭能力息息相關,一旦洩露就會削弱企業競爭力。而如果使用者資訊洩露,可能會違反相關法律法規。員工憑證、私鑰或安全評估資訊等資料也有可能落入攻擊者之手,成為他們入侵的渠道。
只要第一步梳理清楚這些重要資產,企業就能初步判斷攻擊者的型別與來源。
2. 瞭解威脅
在風險評估過程中,瞭解威脅是重要的一步。如果能合理利用威脅情報,就能對威脅有直觀的瞭解甚至預判。近期,安全從業者開始著眼於安全策略,分析攻擊者的行為,作為應對威脅和漏洞的參考。不過,攻擊行為只能作為了解威脅的一部分。知道常見的攻擊面以及攻擊場景更有助於預防和防護。通過一些模擬工具或框架,可以測試網路的恢復能力以及理解已知攻擊行為的安全風險。MITRE所開發的ATT&CK框架( https://attack.mitre.org/ )就是一個有效的工具。
作為一種網路攻擊行為分析模型,ATT&CK可以反映攻擊者生命週期的各個階段變化,分析其策略、技術和過程。管理者可以利用這種模型,綜合行為分析結果和威脅模型,瞭解為什麼企業會遭遇某種特定攻擊,並有針對性地進行防禦,降低風險。
3. 監測企業的洩露資訊
在表網、深網或暗網中檢測企業已經洩露的資產資訊並不容易。暗網資訊搜尋公司Digital Shadow給出的中型企業資訊洩露典型案例顯示,一般會出現290個虛假的域名或社交媒體賬號、180個證書問題、84個可利用的漏洞、360個開放埠以及100份企業文件。其實,企業可以利用大量工具來協助檢測自身的資訊洩露情況。例如, DNS Twist 可以通過視覺化的方式展現一系列模仿公司域名的釣魚網站; Have I Been Pwnd 網站則可以查詢密碼或憑證是否洩露; Google hacking database 則提供了檢測敏感文件是否洩露的方法。此外,企業還能使用營銷和品牌管理團隊經常使用的方法來監控社交媒體,瞭解關於企業的輿論資訊。
4. 制定應對和緩解策略
有了前面散步的鋪墊,最後一步就是應對並緩解風險。一般來說,緩解措施包括及時、策略性的響應;運營層面持續性的響應以及可能影響到投資或戰略方向的戰略層面的調整。例如,一家企業可能發現自家有大量憑證暴露在網上,那麼他們就會實施多因素認證來保護資料安全;如果企業員工常常將工作備份到個人電腦中並辦公,那麼企業就需要提供更多有效的儲存方式。出現風險之後,應急響應至關重要,而事後的覆盤與持續改進,也必不可少。
參考這幾步,風險管理者可以搭建一個初步的風險管理框架,明確大方向,並在實踐中逐步細化符合自己公司實際情況的管理方案,以便更好地抵禦威脅、降低安全風險。
*參考來源: Securityweek ,轉載請註明來自FreeBuf.COM