網絡風險管理管理是一種主動的網絡保安方式,專門預測及防範整個受攻擊面的風險。
網絡風險管理是一種提升企業網絡資訊保安態勢感知的方法,能發掘威脅及判斷威脅的優先次序,並加以防範。受攻擊面管理是網絡資訊保安風險管理不可或缺的一環。
網絡風險管理可分成四個不同部分:
- 風險辨識:了解企業的資訊科技基礎架構、了解其弱點及發掘威脅。
- 風險評估:評估企業的漏洞遭到攻擊的可能性,並評估漏洞攻擊所帶來的衝擊。
- 風險防範:實施技術、管理、實體管控等措施,有助降低威脅的衝擊。此外,教育您的機構網絡資訊保安的最佳實務原則,並建立資訊保安運作與事故回應原則,有助於提升企業的韌性。
- 風險監控:透過定期評估、監控與事件回應來持續觀察並檢視風險情勢,辨識新的威脅,並評估防範措施的成效。
網絡風險管理涵蓋受攻擊面管理的三個階段,包括發掘、評估及防範。評估階段包括風險評分,以便企業持續評估並監控其風險狀況。
何謂網絡資訊保安風險?
美國國家標準與技術研究所定義了兩種不同但相關的網絡風險:
- 「視網絡資源而定的風險(也就是視網絡空間內存在或間歇存在的系統或系統元素而定的風險)。」
- 「因數碼技術無法透過電子方式將資訊及/或營運功能導入製造系統,因而令製造系統遭到未經授權的存取、使用、曝露、中斷、修改或損毀,進而帶來財務損失、營運中斷或損害的風險。」
這兩種定義都令企業必須採取並建置一套主動的網絡風險管理架構。
為何網絡風險管理很重要?
隨著受攻擊面不斷擴大,企業正面臨前所未有的網絡保安風險。多年來,威脅環境的規模和複雜性讓許多資訊保安團隊都處於被動,他們缺乏預先防範威脅所需的能力、視野和啟示來防止被入侵。
作為整體受攻擊面管理的一環,網絡風險管理可讓資訊保安人員全面掌握企業面對的風險。此外,一套良好的網絡風險管理框架也有助於判斷哪些風險最相關,進而支援「風險資訊決策」來降低整體曝險。
資訊保安團隊可利用他們所蒐集的啟示來強化防禦、降低漏洞,並且向企業通報整體的風險管理與策略規劃流程。
網絡風險在法律或法規上有何影響?
未能有效管理網絡風險的企業甚至可能面臨罰款或法律訴訟,包括刑事訴訟和監禁。許多法律與法規都規定要及時報告入侵事件,以及確保個人與敏感資料的私隱與安全。歐盟通用資料保護法規和美國健康保險可攜與責任法(HIPAA) 是一些最知名也最為人熟悉的架構。
除了招致懲罰之外,企業若不小心管理網絡風險、遭遇入侵或損失,客戶、合作夥伴及員工也可能蒙受信任與商譽損失。
有鑑於後果的嚴重性,許多企業的董事會都積極關注企業的網絡風險管理。事實上,許多董事都有責任確保網絡資訊保安表現。
網絡風險管理如何運作?
網絡風險管理的重點在於採取一套專為企業需求度身打做的網絡資訊保安策略,從而提升合規狀態。它有六個需要結合一起的主要成份或活動領域。包括:
- 風險資產辨識與分類:完整掌握整個受攻擊面,讓所有資產和資料都能被掌握,防範網絡攻擊。
- 風險導向漏洞分析:定期、持續掃瞄資產並測試漏洞,將焦點集中在風險最大的漏洞。
- 風險導向威脅評估:分析風險來掌握不斷演變的威脅環境,並判斷哪些威脅對企業的關鍵資產最危險。
- 風險優先次序:了解哪些風險最迫切、最可能嚴重,進而為決策提供資訊,以及直接投資網絡資訊保安產品。
- 零信任風險導向管控:採用零信任架構來降低整體受攻擊面並降低風險。
- 持續監控與改善:集中掌握受攻擊面的可視性,持續管理風險,適應不斷演變的威脅情勢。
何謂網絡風險管理架構?
一套網絡風險管理架構,讓企業以一種結構化的方式來主動發掘、評估及防範網絡資訊保安風險。它涉及需要企業網絡保安平台的政策和程序。
美國國家標準與技術局(NIST)已公開分享其網絡資訊保安架構,成為其他企業的典範。NIST 框架的重點是成果,協助企業透過管理網絡風險來判斷自己想要達成什麼目標,而非決定該如何管理網絡風險。
最終,NIST 框架可讓企業了解並評估當前的資訊保安狀況、判斷風險與行動的優先次序,並且建立一套共同或共享的方法來對外及對內通報網絡資訊保安活動。
我們如何實施網絡風險管理?
許多國家的公共機關都已列出逐步實施網絡風險管理架構的方法。例如,英國國家網絡安全中心提出了一套八步驟方法:
- 建立組織態勢
- 識別決策者、管治流程與限制
- 定義網絡風險的挑戰
- 選擇一種方法
- 了解風險以及如何管理風險
- 溝通與諮詢
- 實施並保證
- 監控與審查
英國的模型突顯出了解受攻擊面與威脅情勢的重要性,以及企業本身的獨特環境與條件。包括業務重點與價值、主要持份者及特定風險。例如,金融服務領域機構將制定反詐騙與防洗錢要求,而一家製造商就可能不需要達到這些要求。但製造商還是需要管理供應鏈的網絡風險。
建立一套通用的網絡風險管理架構,並且從單一面向檢視風險環境(受攻擊面),對於建置一套網絡風險管理框架至關重要。兩者都需依賴幾項關鍵功能。其中之一,如前面提到的,就是採用一種零信任的網絡資訊保安方式。另一種是部署擴展式偵測與回應(XDR)技術來蒐集並分析受攻擊面資料。
採用一套網絡資訊保安平台,就能支援企業邁向零信任的目標。此外,一套完整的平台也將包含 XDR 這類資訊保安運作,提供網絡資訊保安管理所需的必要條件。
受攻擊面管理如何與網絡風險管理配合?
受攻擊面管理是整體網絡資訊保安風險管理的重要一環 。正如其名,受攻擊面管理與受攻擊面相關,包括所有可受攻擊的漏洞、存取點與攻擊管道,歹徒可從這些管道登入企業系統與取得資料。
受攻擊面管理專注於採用持續不斷的流程來發掘、評估及防範受攻擊面相關的風險。
探索的重點在於定義受攻擊面及所有構成受攻擊面的資產。這需要一套可掃瞄資訊科技環境的受攻擊面管理方案來發掘所有已知和未知的裝置、軟件、系統以及存取點。此外,探索也希望發掘一些影子 IT 應用程式、第三方產品科技及一些先前尚未納入庫存的技術。
評估是判斷所有資產的緊急性和潛在風險嚴重性的過程。這牽涉到風險量化與風險評分,也就是以客觀的方式判斷漏洞與風險的優先次序並加以排序。
防範就是採取行動來解決被發現的漏洞。換句話說,您或許會執行軟件更新或安裝補丁、設定資訊保安管控與硬件,或者建置零信任等防護框架。此外,也可能清除老舊的系統與軟件。
哪裡可以取得網絡風險管理的協助?
Trend Micro Research 與 Ponemon Institute 共同制定了 Cyber Risk Index (CRI) 來調查網絡保安風險,並找出改善網絡保安的重要領域。定期更新的 CRI 量度機構現有保安狀態及被攻擊可能性之間的落差。使用此處的 CRI 計算器來判斷您企業的風險評分。
Trend Vision One™ 提供網絡風險曝險管理方案,將一些關鍵功能如外部受攻擊面管理、網絡保安資產受攻擊面管理 (CAASM)、漏洞,以及涵蓋雲端、資料、身份、API、人工智能、合規與 SaaS 應用程式的防護狀況管理,結合到一個強大且容易使用的解決方案。不僅要管理威脅,還要建立真正的風險韌性。
進一步了解網絡風險曝險管理如何協助您發掘威脅、判斷優先次序、防範威脅。