2021 年平均每天發(fā)布 55 個(gè)新的網(wǎng)絡(luò)安全漏洞。這進(jìn)一步表明，為每個(gè)漏洞做好準(zhǔn)備并運(yùn)行 100% 無(wú)風(fēng)險(xiǎn)的業(yè)務(wù)是一項(xiàng)極其艱巨的任務(wù)，但并非完全不可能。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估可幫助您識(shí)別組織安全態(tài)勢(shì)中的弱點(diǎn)，并讓您有效地分配資源以緩解這些弱點(diǎn)。在這篇文章中，我們將總體了解 Web 應(yīng)用程序和數(shù)字組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。

什么是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估？

識(shí)別、分析、優(yōu)先排序和減輕您的組織在數(shù)字前沿面臨的風(fēng)險(xiǎn)的過(guò)程稱為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。定期網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估可幫助您識(shí)別風(fēng)險(xiǎn)最大的資產(chǎn)，估計(jì)利用此類風(fēng)險(xiǎn)可能造成的損失，并確定最關(guān)鍵任務(wù)風(fēng)險(xiǎn)的優(yōu)先級(jí)。例如，如果您經(jīng)營(yíng)一個(gè)接受付款和處理支付卡數(shù)據(jù)的電子商務(wù)網(wǎng)站，您總是面臨支付網(wǎng)關(guān)被黑客攻擊的風(fēng)險(xiǎn)，這就是您應(yīng)該集中更多資源的地方。

同樣，如果您的組織存儲(chǔ)了客戶的個(gè)人身份信息，您將始終面臨通過(guò)注入被黑客入侵的風(fēng)險(xiǎn)。您必須對(duì)輸入驗(yàn)證施加額外的壓力。因此，根據(jù)您所從事的業(yè)務(wù)，風(fēng)險(xiǎn)因素會(huì)發(fā)生變化。定期風(fēng)險(xiǎn)評(píng)估確保您盡可能涵蓋所有基礎(chǔ)，并且永遠(yuǎn)不會(huì)屈服于您可以減輕的風(fēng)險(xiǎn)。

5 種風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是一個(gè)包含大量信息的通用術(shù)語(yǔ)。我們可以想到至少五種類型的風(fēng)險(xiǎn)評(píng)估，它們處理組織安全狀況的不同方面。

1.定性風(fēng)險(xiǎn)評(píng)估

定性風(fēng)險(xiǎn)評(píng)估側(cè)重于風(fēng)險(xiǎn)事件的概率、它可能對(duì)項(xiàng)目產(chǎn)生的影響以及風(fēng)險(xiǎn)暴露的領(lǐng)域。它提高了項(xiàng)目經(jīng)理對(duì)風(fēng)險(xiǎn)因素的整體理解，并幫助他們通過(guò)查看與可能影響相關(guān)的數(shù)據(jù)來(lái)確定一個(gè)風(fēng)險(xiǎn)因素的優(yōu)先級(jí)。

2.定量風(fēng)險(xiǎn)評(píng)估

定量風(fēng)險(xiǎn)評(píng)估是一種正式和系統(tǒng)的方法，用于根據(jù)歷史數(shù)字?jǐn)?shù)據(jù)評(píng)估與項(xiàng)目或運(yùn)營(yíng)相關(guān)的風(fēng)險(xiǎn)。這種方法對(duì)于衡量員工、環(huán)境和資產(chǎn)對(duì)各種風(fēng)險(xiǎn)因素的暴露程度至關(guān)重要。

3.一般風(fēng)險(xiǎn)評(píng)估

這是指不針對(duì)特定地點(diǎn)或環(huán)境量身定制但通用的風(fēng)險(xiǎn)評(píng)估方法。在網(wǎng)絡(luò)安全的背景下，一般風(fēng)險(xiǎn)評(píng)估的一個(gè)例子可能是驗(yàn)證站點(diǎn)的 SSL 證書。

4.特定地點(diǎn)的風(fēng)險(xiǎn)評(píng)估

特定地點(diǎn)的風(fēng)險(xiǎn)評(píng)估適用于特定環(huán)境。這種方法考慮了僅與手頭的站點(diǎn)或項(xiàng)目相關(guān)的信息。這種方法考慮了項(xiàng)目的實(shí)際情況，并側(cè)重于與之相關(guān)的危害。

5.動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估

根據(jù)定義，動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估是“在運(yùn)營(yíng)事件的快速變化情況下，識(shí)別危害、評(píng)估風(fēng)險(xiǎn)、采取行動(dòng)消除或降低風(fēng)險(xiǎn)、監(jiān)測(cè)和審查的持續(xù)過(guò)程。” 正如我們將在下一節(jié)中看到的那樣，這非常接近網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的本質(zhì)。

網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)評(píng)估的關(guān)系

網(wǎng)絡(luò)安全是一個(gè)廣泛的保護(hù)傘，涵蓋了大量旨在保護(hù)計(jì)算機(jī)系統(tǒng)免受惡意實(shí)體侵害的流程和實(shí)踐。風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全的內(nèi)在組成部分，因?yàn)樗鼮榫W(wǎng)絡(luò)安全工作提供了動(dòng)態(tài)和持續(xù)的方向。例如，當(dāng)您作為風(fēng)險(xiǎn)評(píng)估活動(dòng)的一部分運(yùn)行漏洞掃描并顯示 SQL 注入漏洞時(shí)，您的安全團(tuán)隊(duì)會(huì)意識(shí)??到該問(wèn)題并應(yīng)用解決方案。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估在幫助您保持對(duì)行業(yè)特定安全法規(guī)的遵守方面發(fā)揮著至關(guān)重要的作用。在 DevOps 情況下，您已經(jīng)構(gòu)建了一個(gè)靈活且高度活躍的流暢操作系統(tǒng)，持續(xù)的風(fēng)險(xiǎn)評(píng)估成為必要。每次將代碼投入生產(chǎn)時(shí)，都必須識(shí)別并降低與代碼相關(guān)的風(fēng)險(xiǎn)。

如何進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估？

在本節(jié)中，我們將介紹網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的遺傳流程，它可能適用于您的具體案例，也可能不適用于您的具體案例。不過(guò)，它會(huì)讓您對(duì)該過(guò)程有一個(gè)整體的了解。

1.識(shí)別網(wǎng)絡(luò)和信息資產(chǎn)

您的數(shù)字生活得到眾多軟件和硬件設(shè)備的支持。它包括網(wǎng)絡(luò)連接、路由器、交換機(jī)、數(shù)據(jù)庫(kù)、服務(wù)器資源、第三方應(yīng)用程序和擴(kuò)展等等。風(fēng)險(xiǎn)評(píng)估會(huì)識(shí)別所有資產(chǎn)，包括面向互聯(lián)網(wǎng)的資產(chǎn)和內(nèi)部資產(chǎn)以及網(wǎng)絡(luò)設(shè)備，并創(chuàng)建清單。

2.確定可能的風(fēng)險(xiǎn)

其中每一個(gè)都可能對(duì)您的安全構(gòu)成威脅，但根據(jù)您的業(yè)務(wù)模式，有些比其他的更危險(xiǎn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估旨在隔離這些區(qū)域。

3.漏洞掃描

縮小評(píng)估范圍后，就該深入系統(tǒng)和操作以識(shí)別特定的安全漏洞了。自動(dòng)漏洞掃描可以幫助解決這個(gè)問(wèn)題。

4.滲透測(cè)試

滲透測(cè)試采用黑客風(fēng)格的方法來(lái)了解利用系統(tǒng)中存在的安全漏洞的難易程度。掃描和滲透測(cè)試完成后，您會(huì)收到一份報(bào)告，其中列出了所有漏洞以及有關(guān)每個(gè)漏洞的附加信息。

5.漏洞評(píng)估和優(yōu)先排序

下一步是根據(jù)上下文評(píng)估漏洞——即它們對(duì)您的特定業(yè)務(wù)的威脅程度。然后，您可以確定高風(fēng)險(xiǎn)和關(guān)鍵漏洞的優(yōu)先級(jí)，并冒險(xiǎn)首先修復(fù)它們。

6.資源分配

準(zhǔn)備好優(yōu)先級(jí)漏洞列表后，您可以分配時(shí)間和人員來(lái)修復(fù)這些漏洞。這本質(zhì)上不是風(fēng)險(xiǎn)評(píng)估的一部分，但這是高潮。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與漏洞評(píng)估有何不同？

脆弱性評(píng)估和風(fēng)險(xiǎn)評(píng)估之間的關(guān)系略微復(fù)雜。我們會(huì)解釋。脆弱性評(píng)估是風(fēng)險(xiǎn)評(píng)估的一部分，但它遠(yuǎn)遠(yuǎn)超出了風(fēng)險(xiǎn)評(píng)估的范圍。同時(shí)，漏洞評(píng)估的第一步是縮小需要通過(guò)風(fēng)險(xiǎn)評(píng)估進(jìn)行評(píng)估的信息資產(chǎn)的范圍。