漏洞攻擊
關於資安風險管理的三項關鍵洞見
對於肩負資安風險管理責任的資安長 (CISO) 來說,這三項洞見將有助於建立強大穩固的主動式資安策略基礎。
Save to Folio
傳統上,網路資安的焦點都圍繞在技術與戰術性問題、漏洞修補,以及威脅回應。但隨著資料外洩事件不斷頻傳,並且對企業造成更大損害,傳統的方法已經捉襟見肘。越來越多資安長開始希望透過主動式方法來管理資安風險,因此本文將探討實現這項目標的三種關鍵方式。
您是否也曾經突然意識到某件事情,然後好奇怎麼自己一直都沒想到? 有些事情,只有當我們改變視角時才看得出來,而資安風險管理就是一個很好的例子。
直到最近,網路資安幾乎都只專注在技術與戰術面,談論的都是如何修補漏洞以及被動地對抗威脅。但隨著資料外洩事件不斷增加 (光美國去年就增加了 1,000%),以及企業若缺乏有效資安策略將面臨日益嚴重的後果,網路資安已變成了一項策略性問題。
該是化被動為主動、好讓您隨時領先駭客一步的時候了,這表示您必須主動管理風險以及您的曝險。讓我們來看看資安風險管理的三項關鍵洞見如何協助您達成這項目標。
資安風險管理洞見 1:您需要從駭客的角度來檢視您的攻擊面
近年來掀起了一波浪潮,促使企業大幅提升其攻擊面可視性、發掘企業內的資產,並找出其漏洞。這一點至關重要,但人們卻有一種錯誤的觀念,以為自己的攻擊面就在組態設定管理資料庫 (CMDB) 或網路資安平台的記錄檔中。事實上,駭客根本不在乎您的 CMDB,對他們來說,任何您暴露在外並可讓他們找到攻擊方法的地方,就是您的攻擊面。
由於今日的 IT 環境和威脅情勢隨時都在變化,因此,靜態或定期盤點的資產清單能發揮的作用實在有限。駭客隨時都在試探、衝撞及破壞您的防護,因此您的曝險管理方法同樣必須隨時主動監控及應付外在的變化。企業的資產不可能永遠保持妥善修補與良好的管理狀態,除非您有所作為。
所以,祕訣就在於要從駭客的角度思考,不僅要找出所有資產,還要知道每一項資產可能造成的風險,並隨著時間推移而不斷重新評估。畢竟,駭客只需一次的機會來找到一項弱點,他們就能造成真實的損害。
資安風險管理洞見 2:您無法解決所有的問題
就像那句老話:當每一件事都很重要時,那就沒什麼重要的事了。一旦您開始檢視您的曝險以及資產所帶來的風險,您就會發現自己真的有許多的漏洞和風險。但您不可能解決所有的問題,尤其當您的資安營運中心 (SOC) 團隊人手不足、再加上爆量的警報通知,您必須知道哪些才是真正重要事。
要解決這問題,可以用一個相當簡單的公式來判斷:風險 = 「可能性」x「衝擊」。「可能性」應基於幾項關鍵因素,包括:您的環境是否存在著漏洞、該漏洞是否可從外部攻擊、網路上是否已出現該漏洞的攻擊手法,還有,您是否已經設置任何措施來加以防範。
「衝擊」是指漏洞一旦遭到攻擊將發生什麼後果。資產的重要性如何? 哪些資料有危險? 萬一資產遭到破壞將如何影響您的生產力、獲利能力、合規狀態,以及企業商譽? 衝擊可能涉及多個技術與業務面向,您必須全部都要知道。
資安風險管理洞見 3:管理風險意味著領先一步
想要主動管理風險,而非只是被動回應,那麼 CISO 需要做出重大改變,也就是從傳統被動的網路資安轉換到主動及策略性的資安風險管理。這意味著,您必須結合風險導向的觀點以及能徹底加速網路資安活動的解決方案和功能。
隨時保持風險意識並隨時更新,就能創造新的機會來預測曝險位置,並且在風險造成損害之前預先加以排除。由於通常駭客移動的速度都很快,因此透過 AI 驅動的自動化可提高 SOC 團隊成功預防風險並避免損害發生的機率。
多年來,分析師及各種人士都對自動化讚譽有加,但自動化與 AI 的結合,可以帶來不同類型的效益。您將獲得分析情報並根據充分的資訊做出決策的能力,並融入到您的網路資安策略當中,協助您判斷優先次序和避開資安風險。
真實世界的資安風險管理
每一天都有越來越多企業將這些洞見應用到實務當中,並且見證自己的資安狀況獲得了明顯的改善。我們在 2025 年春季舉辦的 The Future is Proactive Security 活動當中曾經提到多起案例 (請觀賞我們免費的活動錄影)。
其中一個案例是一家美國公司將其事件回應時間縮短了 63%,並透過主動式風險導向方法減少了誤判。另一個案例是一家德國製造公司在導入了主動式風險管理策略之後,因而加快了回應速度、擴大防護範圍,並且建立一套可讓技術人員與高階主管一起討論資安風險的方法。
資安風險管理的三大支柱
根據上述洞見,趨勢科技認為資安風險管理三大支柱分別為:可視性、優先次序判斷,以及防範。「可視性」的重點在於看到您所需要看到的一切,以便掌握您資安曝險的全貌。「優先次序判斷」要能知道哪些才是真正重要的風險。至於「防範」則是要能採取行動來解決最迫切的風險以保障您環境的安全。
下一步
如需有關資安風險管理的更多資訊,請參閱以下資源: