資安風險管理是一種主動式網路資安方法,專門預測及防範整個攻擊面的風險。
資安風險管理是一種能讓企業改善其網路資安狀況掌握度的方法,可發掘威脅、判斷其優先次序,並加以防範。攻擊面管理 (ASM) 是資安風險管理不可或缺的一環 。
資安風險管理可分成四個不同環節:
- 風險發掘:了解您企業的 IT 基礎架構,知道它的弱點在哪裡,並且發掘威脅。
- 風險評估:評估您企業的漏洞遭到攻擊的可能性,並評估漏洞攻擊所帶來的衝擊。
- 風險防範:建置各種有助於降低威脅衝擊的措施,包括:技術、系統管理以及實體控管。除此之外,還要透過教育讓您的企業了解網路資安最佳實務原則,並且制定資安營運與事件回應指引,這樣有助於提升企業的韌性。
- 風險監控:藉由定期的評估、監控以及事件回應來發掘新的威脅,同時評估防範措施的成效,持續觀察並檢視風險情勢。
資安風險管理涵蓋了攻擊面管理的三個階段:發掘、評估及防範。評估階段包含了風險評分,好讓企業能長期評量及監控其風險狀況。
何謂資安風險?
美國國家標準與技術局 (National Institute of Standards and Technology) 定義了兩種截然不同但卻相關的資安風險:
- 「隨網路資源而定的風險 (也就是隨著「存在於」或「斷斷續續出現在」網路空間內的系統或系統元素而定的風險)。」
- 「經由電子方式導入製造系統的資訊和/或營運功能數位技術發生故障,讓製造系統遭到未經授權的存取、使用、揭露、中斷、修改或損毀,進而導致財務損失、營運中斷或損害的風險。」
對於需要導入和建置一套主動式資安風險管理框架的企業來說,兩種定義都適用。
為何資安風險管理很重要?
隨著攻擊面不斷擴大,企業將比以往面臨更多的資安風險。多年來,威脅環境的規模和複雜性讓許多資安團隊都陷入了被動,缺乏搶先威脅一步並預防資安事件發生所需的能力、可視性和洞見。
作為整體攻擊面管理方法的一環,資安風險管理可讓資安人員完整掌握企業所面臨的風險。此外,一套良好的資安風險管理框架,也有助於判斷哪些風險最為相關,支援「基於風險資訊的決策判斷」,進而降低整體的威脅曝險。
有了它們蒐集到的洞見,資安團隊就能強化防禦、減少漏洞,並且提供資訊作為企業整體風險管理與策略規劃的參考。
資安風險在法律或法規上的意義為何?
無法有效管理資安風險的企業,有可能面臨罰鍰或法律訴訟,甚至包括刑事訴訟和坐牢。許多法律與法規都規定資料外洩事件必須及時通報,以確保個人與敏感資料的隱私及安全。歐盟的通用資料保護法 (GDPR) 以及美國健康保險可攜性與責任法案 (HIPAA) 就是其中最重要、也是人們最熟悉的框架。
除了面臨懲罰之外,企業若因未妥善管理資安風險而發生資安事件或資料外洩,很可能將損失客戶、合作夥伴和員工的信任,以及自己的商譽。
有鑑於後果的嚴重性,許多企業董事會都正在積極關注公司的資安風險管理。事實上,許多董事都肩負著資安成效的責任。
資安風險管理如何運作?
資安風險管理的重點在於採用一套專為企業需求量身訂做、並且能改善法規遵循狀況的策略性網路資安方法。它包含了六大主要元素 (也就是活動領域),全部都必須結合在一起。分別是:
- 風險導向的資產發掘與分類:完整掌握整個攻擊面,找出所有已知且能被保護以防範網路攻擊的資產和資料。
- 風險導向的漏洞分析:定期持續掃描資產並測試是否有漏洞,將焦點集中在風險最大的漏洞。
- 風險導向的威脅評估:在不斷演變的威脅環境下分析風險,並且判斷哪些威脅對企業的關鍵資產最具危險性。
- 判斷風險的優先次序:了解哪些風險最為迫切並且可能很嚴重,作為決策及網路資安直接投資的參考依據。
- 零信任風險導向控管:採用零信任框架來縮小整體攻擊面並降低風險。
- 持續監控與改善:集中掌握攻擊面的可視性,持續管理風險並因應不斷演變的威脅情勢。
何謂資安風險管理框架?
資安風險管理框架能為企業提供一種結構化方式來主動發掘、評估及防範網路資安風險。它需要一套企業網路資安平台來落實政策和程序。
美國國家標準與技術局 (NIST) 已公開分享了他們的網路資安框架作為其他企業的參考模型。NIST 框架的焦點在於成果,也就是協助企業確切了解自己想要藉由資安風險管理來達成什麼目標,而非規定資安風險管理該怎麼做。
最終,NIST 框架可讓企業了解並評估其當前的資安狀況、判斷風險與行動的優先次序,並且建立一套共同或通用的方法來對內及對外溝通網路資安活動。
如何建置資安風險管理?
許多國家的政府機關都提出了建制資安風險管理框架的步驟,例如,英國國家網路安全中心 (National Cyber Security Centre) 就提出了一套八步驟的方法:
- 建立組織情境。
- 找出決策者、治理流程與限制。
- 定義資安風險挑戰。
- 挑選一種方法。
- 了解風險以及如何管理風險。
- 溝通與諮詢。
- 建置與確保。
- 監控與審查。
英國的模型不僅強調了解攻擊面與威脅情勢的重要性,同時也強調企業本身的獨特情境與條件,包括業務的焦點與商業價值觀、主要利害關係人,以及某些特定的風險。比方說,金融服務業會制定一些他們必須達到的詐騙與洗錢防制要求,這是製造業所不需要的。但製造業卻需要管理供應鏈相關的資安風險。
建立一套通用的資安管理架構,並從單一窗口來檢視風險環境 (攻擊面),對於建置一套資安風險管理架構至關重要。兩者都需仰賴幾項關鍵功能,其中之一就是採用一套零信任網路資安方法 (如前面提到的)。其次就是部署延伸式偵測及回應 (XDR) 技術來蒐集並分析攻擊面資料。
採用一套網路資安平台,就能支援企業轉移到零信任方法。此外,一套完整的平台也將包含 XDR 這類資安營運功能,提供資安風險管理所需的必要條件。
攻擊面管理如何與資安風險管理相輔相成?
攻擊面管理 (ASM) 是整體資安風險管理的一個重要面向。攻擊面管理正如其名,特別專注在攻擊面,也就是:可被駭客利用、進而在未經授權的情況下存取企業系統與資料的漏洞、存取點以及攻擊管道的集合。
ASM 專精於發掘、評估及防範攻擊面相關的風險,最好是採用持續不斷的流程。
「發掘」的重點在於定義攻擊面的範圍,以及構成攻擊面的所有資產。這需要一套可掃描 IT 環境的攻擊面管理解決方案來發掘所有已知和未知的裝置、軟體、系統以及存取點。此外,發掘的目的還包括找出影子 IT 應用程式、連網的第三方技術,以及先前未盤點到的技術。
「評估」是一個判斷所有已發現資產的風險急迫性與潛在嚴重性的過程。這需要藉由風險量化與風險評分,也就是以客觀方式判斷漏洞與風險的優先次序,並加以分等。
「防範」就是採取行動來解決已發現的漏洞,這可能意味著軟體更新或安裝修補更新、設定資安控管與硬體,或者建置零信任之類的資安框架。此外,也可能包含淘汰老舊的系統與軟體。
哪裡可以取得有關資安風險管理的協助?
Trend Micro Research 與 Ponemon Institute 共同建立了「資安風險指標」(Cyber Risk Index,簡稱 CRI) 來調查資安風險並找出可改善網路資安的關鍵領域。這份最近剛剛更新的指標,評估了企業機構當前的資安準備度以及企業遭到攻擊的可能性之間的落差。請至這裡使用 CRI 計算工具來評量您企業的風險評分。
Trend Vision One™ 提供了一套資安曝險管理(CREM) 資安曝險管理解決方案來確保企業能超越單純的 ASM 並降低自身的資安風險。GREM 能將各種關鍵的功能,如:外部攻擊面管理 (EASM)、網路資產攻擊面管理 (CAASM)、漏洞管理,以及資安狀況管理,全部整合成一套強大又容易使用的解決方案,涵蓋雲端、資料、身分、API、AI、法規遵循以及 SaaS 應用程式。它不單只是管理威脅,還要建立真正的風險韌性。
進一步了解 Cyber Risk Exposure Management 如何協助您發掘威脅、判斷威脅的優先次序,並且防範威脅。