李強(qiáng)

作為網(wǎng)絡(luò)安全專(zhuān)業(yè)人士，經(jīng)常發(fā)現(xiàn)自己在打一場(chǎng)艱苦的戰(zhàn)斗。云計(jì)算、遠(yuǎn)程員工和軟件即服務(wù)應(yīng)用程序的增長(zhǎng)繼續(xù)擴(kuò)大攻擊面，為不良行為者提供了越來(lái)越多的機(jī)會(huì)。惡意黑客具有出其不意的優(yōu)勢(shì)，這種優(yōu)勢(shì)只會(huì)隨著網(wǎng)絡(luò)變得更加復(fù)雜而增長(zhǎng)。威脅范圍不斷擴(kuò)大，安全團(tuán)隊(duì)必須將方法從基于威脅的思維方式轉(zhuǎn)變?yōu)榛陲L(fēng)險(xiǎn)的思維方式。這是如何處理安全問(wèn)題的重大變化，從基于合規(guī)性和法規(guī)的結(jié)構(gòu)轉(zhuǎn)變?yōu)橹荚诮档驼w風(fēng)險(xiǎn)的結(jié)構(gòu)。當(dāng)技術(shù)領(lǐng)導(dǎo)者開(kāi)始自問(wèn)“可能發(fā)生的最糟糕的事情是什么”時(shí)，該問(wèn)題的答案可以幫助指導(dǎo)基于風(fēng)險(xiǎn)的方法，因?yàn)樗怀隽俗顗牡那闆r以及恢復(fù)所需的條件。

改變正在發(fā)生

許多大型組織已經(jīng)開(kāi)始轉(zhuǎn)向基于風(fēng)險(xiǎn)的方法?；谕{的方法通常側(cè)重于滿(mǎn)足獨(dú)特行業(yè)要求的任務(wù)清單，但忽視了安全的關(guān)鍵組成部分———降低風(fēng)險(xiǎn)。

正如一些安全專(zhuān)家所說(shuō)，合規(guī)本身并不等同于安全，它為組織提供了基準(zhǔn)和目標(biāo)，并減少了違規(guī)期間的罪責(zé)，但往往將安全作為事后的想法。

基于風(fēng)險(xiǎn)的安全方法采用公司的整體視圖來(lái)評(píng)估其關(guān)鍵資產(chǎn)的位置，并系統(tǒng)地識(shí)別和優(yōu)先考慮組織面臨的威脅?；陲L(fēng)險(xiǎn)的思維方式不是孤立地查看單個(gè)安全控制，而是更清楚地了解您在哪里以及有多大可能會(huì)被破壞。

基于威脅的方法旨在減輕主動(dòng)和潛在威脅，這是基于黑客或已進(jìn)入系統(tǒng)的惡意軟件。一旦進(jìn)入內(nèi)部，這些不良行為者可能會(huì)造成損害，威脅緩解策略旨在快速識(shí)別它們并采取果斷行動(dòng)。

在當(dāng)前基于威脅的系統(tǒng)中，業(yè)務(wù)流程和安全需求通常在孤立的環(huán)境中工作?；陲L(fēng)險(xiǎn)的方法允許技術(shù)領(lǐng)導(dǎo)者確定資產(chǎn)的優(yōu)先級(jí)、分配資源并創(chuàng)建系統(tǒng)的方法來(lái)緩解高風(fēng)險(xiǎn)領(lǐng)域。技術(shù)和業(yè)務(wù)領(lǐng)導(dǎo)者應(yīng)共同確定安全性如何與所需的業(yè)務(wù)目標(biāo)保持一致。

基于風(fēng)險(xiǎn)的方法的最佳實(shí)踐

希望轉(zhuǎn)向更基于風(fēng)險(xiǎn)結(jié)構(gòu)的組織必須考慮許多因素?；陲L(fēng)險(xiǎn)的方法包括執(zhí)行組織風(fēng)險(xiǎn)評(píng)估、識(shí)別和實(shí)施所需的控制等。讓我們來(lái)看看技術(shù)領(lǐng)導(dǎo)者的一些關(guān)鍵最佳實(shí)踐：

定義對(duì)業(yè)務(wù)至關(guān)重要的所有資產(chǎn)并確定其優(yōu)先級(jí)。技術(shù)領(lǐng)導(dǎo)者必須評(píng)估他們所有的技術(shù)資產(chǎn)，包括互聯(lián)網(wǎng)上的技術(shù)資產(chǎn)，創(chuàng)建資產(chǎn)清單并確定每項(xiàng)資產(chǎn)的價(jià)值以及相關(guān)的固有風(fēng)險(xiǎn)是至關(guān)重要的第一步。

實(shí)施穩(wěn)健的策略來(lái)定義哪些用戶(hù)和系統(tǒng)需要訪問(wèn)關(guān)鍵資產(chǎn)。組織將通過(guò)基于風(fēng)險(xiǎn)的方法更加關(guān)注用戶(hù)身份和訪問(wèn)，利用可創(chuàng)建限制用戶(hù)移動(dòng)的強(qiáng)大身份驗(yàn)證配置技術(shù)和工具。

實(shí)施零例外執(zhí)行政策。制定訪問(wèn)控制并堅(jiān)持執(zhí)行，即使這可能很困難，但很關(guān)鍵，并且與當(dāng)前流行的安全方法（如零信任）保持一致。

確保記錄未經(jīng)授權(quán)的訪問(wèn)嘗試。保留和分析此信息可以幫助了解攻擊企圖的來(lái)源，這也有助于組織加強(qiáng)圍繞流行目標(biāo)的安全協(xié)議。

進(jìn)行定期攻擊和用戶(hù)錯(cuò)誤模擬。緊急情況不是學(xué)習(xí)的最佳時(shí)機(jī)，進(jìn)行模擬可為習(xí)慣壓力情況的團(tuán)隊(duì)成員提供寶貴的經(jīng)驗(yàn)，并讓他們?yōu)槿绾卧诰o急情況下迅速采取行動(dòng)做好準(zhǔn)備。

保持開(kāi)放的心態(tài)這種向基于風(fēng)險(xiǎn)的方法轉(zhuǎn)變?cè)谠S多方面并不出人意料。通過(guò)改變思維方式，可以從長(zhǎng)遠(yuǎn)角度看待威脅形勢(shì)，并調(diào)整方法以遵循更大的模式。

作為安全領(lǐng)導(dǎo)者，永遠(yuǎn)不能安心地履行保護(hù)職責(zé)。事物在不斷變化，我們也必須如此，技術(shù)領(lǐng)導(dǎo)者不能害怕放棄舊的想法，轉(zhuǎn)而采用新的方法和思維方式。

當(dāng)今的組織擁有越來(lái)越多的需要保護(hù)的技術(shù)資產(chǎn)。利用基于風(fēng)險(xiǎn)的方法并專(zhuān)注于提供可見(jiàn)性、自動(dòng)化和對(duì)企業(yè)運(yùn)營(yíng)的真正洞察力的工具。應(yīng)該尋找并通過(guò)定期培訓(xùn)和模擬讓團(tuán)隊(duì)保持強(qiáng)大的身份驗(yàn)證工具。