基于风险容忍度的网络安全和风险管理战略和方法

近日，美国电视频道和品牌Nickelodeon被曝成为数据泄露的受害者。据消息人士透露，此次泄密事件发生在2023年初，但涉及的大部分数据“只与生产文件有关，与长格式内容或员工或用户数据无关，而且似乎有几十年的历史。”这一模棱两可的声明的含义是：由于这些数据是旧的，与个人的个人身份信息(PII)或任何尚未公开的专有信息无关，这没有被列入严重事件范围。

让我们假设Nickelodeon没有因为这一事件受到任何实质性的伤害——太棒了！然而，很可能有一些我们不知道的事实。任何时候，只要专有数据最终到达了不应该出现的地方，安全专业人士的脑海中就应该响起警钟。如果“几十年前”的文件确实包含PII，结果会是什么？有些数据可能无关紧要，但有些可能是至关重要的。如果这些文件包含其他受保护或私有的数据，该怎么办？如果他们损害了品牌的完整性怎么办？所有企业都需要考虑“假设”，并将最坏的和基本的情况应用到他们当前的安全实践中。

Nickelodeon一案提出了一个问题，即是否有必要保留“几十年前”的数据。虽然保留历史数据在某些情况下可以使企业受益，但保留的每一条数据都会增加公司的攻击面并增加风险。为什么Nickelodeon要将旧文件保存在易于访问的位置？如果文件位于单独的位置，安全团队很可能没有对访问文件应用足够的控制。鉴于确保技术及其所有固有复杂性的成本已经高得惊人，CISO需要优先为所有安全项目和流程分配预算和劳动力，包括所有过去、现在和未来的数据保护项目和流程。

在经济低迷的情况下，平衡系统安全和预算需要技巧和悟性。然而，即使在繁荣时期，在这个问题上投入更多的资金也不总是有帮助的。没有证据表明，安全支出的增加会按比例改善企业的安全态势。事实上，一些研究表明，过多的安全工具会导致更多的混乱和复杂性。因此，首席财务官应侧重于业务风险容忍度和降低。

因为没有两个企业是完全相同的，所以每个CISO都必须找到一种与企业的目标、文化和风险承受能力相一致的网络风险管理方法。预算在这里也发挥着重要作用，但如果安全目标与业务目标保持一致，获得更多预算将是一项更容易的任务。在评估了这些考虑因素之后，CISO可能会发现他们的企业采用一种或多种核心风险管理方法。

每家公司--甚至公司内部的每个部门——都对他们愿意承担的风险的数量和类型有一定的容忍度。特定于安全的容忍度必须基于期望的业务结果;网络安全风险不能仅基于网络安全努力来确定或计算，而是这些努力如何支持更大的企业。

要使网络安全与业务风险保持一致，安全团队必须通过考虑以下问题来解决业务弹性问题：

• 如果发生网络安全事件，业务会受到怎样的影响？

• 网络事件或数据泄露对生产效率、运营和财务有何影响？

• 企业内部处理活动的能力有多强？

• 需要哪些外部资源来支持内部能力？

有了这些问题的答案和支持它们的指标，就可以适当地设置网络风险级别。

如今，许多公司根据他们认为自己的网络安全团队和控制措施的成熟程度来评估他们的网络风险承受能力。例如，拥有支持全部经验员工的内部安全运营中心(SOC)的公司可能比仅仅启动和运行其安全团队的公司更有能力处理持续监控和漏洞分类。成熟的安全团队擅长对关键漏洞进行优先排序和补救，并在迫在眉睫的威胁上缩小差距，这通常会使他们具有更高的安全风险容忍度。

也就是说，许多SOC团队被数据、警报和技术维护压得喘不过气来，无法专注于降低风险。如果一家公司决定采用基于成熟度的方法，它必须做的第一件事是诚实地评估自己的安全成熟度、功能和有效性级别。一个真正成熟的网络安全企业可以更好地管理风险，但无论成熟程度如何，自我意识对安全团队来说都是至关重要的。

如今，预算限制在企业的各个方面都很普遍，运行一个人员齐全、装备齐全的网络安全计划在成本方面并不划算。然而，拥有大量员工和技术的企业在安全性或风险方面并不一定表现得更好。这一切都是关于精通预算，这将是对现有系统的真正称赞。

投资于将企业推向零信任架构的工具，首先关注安全基础和良好卫生。通过奠定正确的基础，并拥有称职的员工来管理它们，网络安全团队将比在没有掌握CIS顶级控制的情况下实施最新和最伟大的工具：企业和软件资产的库存和控制、基本数据保护、安全配置管理、强化访问管理、日志管理等更好。

基于威胁的风险管理方法的一个重要方面是理解漏洞和威胁不是一回事。公开的漏洞可能导致威胁(因此应该成为每个企业安全流程和计划的标准部分)。然而，“威胁”指的是漏洞有可能被利用的人或事件。威胁还依赖于系统或资源的上下文和可用性。

例如，Log4Shell漏洞利用了Log4j漏洞。该漏洞对运行该实用程序的未打补丁版本的企业造成威胁。没有运行未打补丁的版本的企业——没有威胁。

因此，各企业必须具体了解：

• 其IT产业中的所有资产和实体。

• 这些资产的安全卫生状况(时间点和历史)。

• 资产的背景(非关键、业务关键；暴露在互联网上或有空隙；等等)。

• 为确保这些资产的安全而实施的和操作的控制。

有了这些信息和环境，安全团队就可以开始构建适合企业及其风险承受能力的威胁模型。反过来，使用的威胁模型将允许团队对威胁进行优先排序和管理，并更有效地降低风险。

人、流程和技术(PPT)通常被认为是技术的“三大支柱”。一些安全专家认为PPT是一个框架。无论从哪个角度来看，PPT都是最全面的风险管理方法。

PPT方法的目标是允许安全团队全面管理风险，同时纳入企业的成熟度、预算、威胁概况、人力资源、技能集和整个企业的技术堆栈，以及其运营和程序、风险偏好等。一个平衡良好的PPT计划是一个多层次的计划，它均匀地依赖于这三个支柱;其中一个领域的任何弱点都会倾斜天平，并使安全团队更难取得成功-并管理风险。

每个企业都应该仔细评估其个人能力、业务目标和可用资源，以确定最适合它们的风险管理战略。无论选择哪条道路，安全团队都必须与业务保持一致，并让企业利益相关者参与进来，以确保持续的支持。