高階經理團隊正面臨威脅情勢日益複雜以及受攻擊面急速擴大的雙重挑戰。這兩項因素加在一起,讓現代企業陷入更大的暴露風險,以及潛在的資安事件風險。
對資安領導人來說,了解企業自身的獨特風險情況不僅是關鍵的第一步,更是一項必須持續不斷的工作,如此才能確保企業安全,防範駭客的各種惡意威脅,不論是單純的網路釣魚郵件、資料外洩,或是有組織的 多重階段勒索病毒攻擊。此時,定期執行風險評估 (亦稱為資安風險量化) 就顯得相當重要。
何謂資安風險量化?
資安風險量化是一套監控資安資產並分析其漏洞、曝險以及現有資安控管資料以得出一個動態風險評分的流程。
資安風險的評估及評比,可透過量化及加權計算駭客進入企業環境的可能性以及這類事件的潛在衝擊來達成,它能為資安團隊帶來諸多效益,並提供可化為行動的洞見。資安風險評分可用數字或英文字母方式呈現,提供一種可長期追蹤及溝通資安效率和進展的機制。
資安領導人可藉由量化的風險來判斷資安風險的優先次序,將資安風險與其他風險連結,不但能改善網路資安成效,更有助於對外溝通。根據 Gartner 指出,資安風險量化的前五大應用案例都跟如何與不同利益關係人 (風險主體、CXX 高階主管、董事會等等) 溝通曝險有關。
資安風險量化的演進:如何發展成今日的樣子
傳統上,基於成本、複雜性及現成可用的資料有限等因素,風險評分大多採取不定期評估的方式,並使用一些較不精確的判斷條件,如:密碼複雜度、是否使用資料加密。
然而隨著評估方法、法規與框架的演變 (如 NIST 網路資安框架),技術解決方案的準確度已有大幅改善,並且在評估當中增加了不少資安管道及輸入資料,而且能以持續或隨選的方式執行評估。
但這樣的發展卻也開啟了廠商各自開發獨家公式的時代。儘管技術上大幅創新,但終端使用者卻必須面對產品的不透明性,無法確切知道產品所使用的數學公式為何,以及個別資安資產與整體企業風險的加權因素。
這讓資安分析師和實務人員更不知該從何處下手改善他們的資安狀況,也無法持續根據資訊做出更好的判斷,而且產品不透明也更容易讓人質疑評分的可信度和用意。
準確可信的風險評分該具備哪些條件
要發揮資安風險評分的最大價值,您的評分應該考慮以下六項關鍵要素:
- 資料來源的數量與品質
- 方法是否容易取得且透明
- 客製化程度
- 評估頻率
- 同儕評比
- 可化為行動的矯正洞見
風險評估與量化無法獨立存在,資安部門若能連結更多企業內的資料來源,資安風險評估的成效就會更好。
從各類資安資產蒐集資料並加以正規化,包括:端點、伺服器、工作負載、電子郵件、網路、身分,還有:雲端服務、身分與存取管理、漏洞管理、威脅情報來源,以及外部受攻擊面發掘工具等等,就能更精確掌握企業整體的風險。
風險評分應該要能提供可化為行動的洞見,一個值得信賴的風險評分,要公開透明地說明其使用的方法與公式為何。揭露這些資訊有助於建立人們對這套方法的信心,但更重要的是,讓人知道該從何處下手改善高風險資產的資安狀況、設定其特殊的風險門檻,以及採取矯正行動。
實施風險評分並利用這項資訊來建立良好的資安策略
如果能交叉關聯現代化資安工具所提供的資料,如:受攻擊面管理、漏洞管理、延伸式偵測及回應 (XDR),可以讓資安團隊全方位掌握攻擊的密度或企業所面臨的壓力、哪些數位資產含有漏洞或暴露在外、哪些資安組態需要改善 (如端點防護涵蓋範圍、啟動行為監控等等),以確保企業做好萬全準備且受到妥善防護。即時、情境化的風險資料不僅能提升企業對資安情況的掌握,還能優先矯正關鍵資產的風險。
打造以風險資訊為基礎的資安策略,就能讓其效益延伸至資安團隊之外。比方說,有了現成的歷史風險資料與矯正記錄,保險公司就能根據駭客攻擊或資安事件的發生機率和潛在成本來調整資安險的保費。風險評估能讓企業主動控制及降低風險,進而享受更優惠的保費。
資安風險的量化及評比能將它情境化,讓資安部門以外的人員更容易感同身受。Gartner 指出,實施資安風險量化之後,資安領導人所能獲得的無形成果包括:改善企業信譽、讓資安風險與企業風險連結,以及了解資安險的需求。除此之外,資安領導人也能藉由風險評分來達成一些實質的成果,包括:節省成本、改善資安專案的優先次序判斷、提高策略性決策的價值。
如何對企業內部溝通風險並建立信任
隨著網路資安領導人的角色不斷演變,取得內部及外部利益關係人的信任至關重要。善用易讀易懂的報表與資料視覺化,有助於將資安成果連結到風險管理策略及業務目標。
與高階經理人及董事會維持開放透明的溝通節奏,將改善資安功能的定位,讓資安變成一個助力和策略顧問。
除了董事會之外,與業務部門的溝通和教育訓練能培養一種資安意識文化,長期下來將降低風險。
資安風險評分的未來創新方向
資安風險量化的前景看起來相當光明,當資安團隊和經營團隊都能從風險評估的洞見中獲益時,我們預見會出現更多這方面的需求、投資及創新。
- 改善交叉關聯性:容納更多輸入資料 (如身分) 的交叉關聯和情境化,將帶來更強大的洞見。
- 更多彈性:讓企業自訂其獨特的風險門檻與容忍值,涵蓋現有的資安投資,整合更多第三方技術,在風險改變時自動發出通知。
- 多層式資安威脅情報:加入更多威脅情報來源,一方面支援攻擊密度監測,另一方面為風險評估模型提供現有或新興駭客集團的最新資訊。
- 人工智慧與機器學習:採用預判式模型並持續更新來發掘行為模式,強化風險預測。
- 法規與遵循:隨著風險評分公式變得更加透明,監理機關或許可以開始要求某些產業實施持續性風險評估並提供風險洞見資訊來維持合規。
請閱讀以下報告來了解 Trend Micro Vision One™ 如何計算資安風險:不只是一個數字,解釋您的風險評分。