<style type="text/css"> .wpb_animate_when_almost_visible { opacity: 1; }</style>

風險數據發現及管理

風險數據發現及管理

       在當前的世界中,數據和數據保護是企業至關重要的考慮因素。客戶希望您確保其信息的安全性,如果您不能保證信息安全,就會失去業務。許多擁有敏感信息的客戶在與您開展業務之前,會要求您部署堅固的數據安全基礎架構。基于這種考慮,您是否相信自己企業內的IT安全性?
IT行業通過發布安全補丁和更新勉強跟上對手的步伐,但由于物聯網等新技術的應用,IT行業不得不應對層出不窮的新漏洞。
為了能夠強有力地處理可能影響業務的數據安全問題,您必須了解三個核心要素的關系和區別——威脅、漏洞和風險。
威脅
所謂“威脅”是指特定類型攻擊的來源和手段,通常是指新型或新發現的事故,這類事故有可能危害系統或您的整個組織。
威脅主要有三類:
  • 自然威脅(例如洪水或龍卷風);
  • 無意威脅(例如員工錯誤地訪問了錯誤的信息);
  • 有意威脅。有意威脅的例子最多,最為常見的形式包括間諜軟件、惡意軟件、廣告軟件公司或者心存不滿的員工的行為。此外,蠕蟲和病毒也歸類為威脅,因為這些可能通過自動攻擊(不是人為)而危害您的組織。
面對上述威脅,您和您的團隊應該:
1、確保您的團隊成員了解網絡安全的最新趨勢,這樣,他們就能夠快速識別新的威脅。應訂閱涉及這些問題的博客(例如Wired)和播客(例如Techgenix Extreme IT),并且加入專業協會,從而獲取突發新聞推送、會議和網絡研討會信息。
2、您還應該定期進行威脅評估,同時評估不同的威脅類型。
威脅評估是為了確定最佳的辦法,確保系統對某一特定威脅,或各類威脅的安全。滲透測試演習基本上是側重于評估威脅概要,以幫助制定有效的對策來對付特定威脅所代表的各類攻擊。
分析威脅有助于制定具體的安全策略,根據策略優先級進行實施,并了解要確保安全的資源的具體實施需求。
3、滲透測試還涉及現實世界威脅的建模,用于發現漏洞。
漏洞
所謂“漏洞”指的是可以攻擊成功的系統安全缺陷,通常指一個或多個黑客可以利用的已知資產(資源)弱點。換句話說,它是一種使攻擊能夠成功實現的已知問題。
例如,在團隊成員辭職而您忘記取消其對外部賬戶的接入權限、更改登錄名或者將其姓名從公司信用卡系統中移除時,這會使您的業務暴露在有意和無意的威脅中。然而,大多數漏洞由自動攻擊者利用,而不是由人員在網絡另一端鍵入。
所以,在該種情況下,漏洞測試對于保證持續的系統安全就顯得尤為重要。
所謂漏洞測試,就是識別漏洞,并在現有基礎上由各方負責解決這種漏洞,并有助于提供數據以識別需要解決的安全隱患。
漏洞測試可識別弱點,并快速制定應對戰略,這種漏洞不是特別的技術——它們也可以適用于社會因素,如個人身份驗證和授權的政策。
漏洞測試有助于保持持續的安全,允許資源的安全負責人在新的危險產生時作出有效響應。提早選擇合適的技術可以確保節省大量時間、金錢,進一步降低其他經營成本。 
以下是在確定安全漏洞時需要回答的問題:
1、您的數據是否備份并存儲在安全的場外地點?
2、您的數據是否存儲在云端?如果是,這些數據如何防范云端漏洞?
3、對于哪種網絡安全,您需要確定組織內誰有權訪問、修改或刪除信息?
4、目前使用哪種防病毒保護措施?許可證是否最新?是否根據需要的頻率運行?
5、您在遭受漏洞攻擊事件時是否有數據恢復計劃?
了解您的漏洞是管理風險的第一步。
風險
風險是指在利用漏洞發出威脅時面臨損失或破壞的可能性。風險的例子包括由于業務中斷、失去隱私、聲譽損害、法律問題而造成的財務損失,甚至可能包括失去生命。
風險也可以定義如下:
風險 = 威脅 X 漏洞
您可以通過制定并實施風險管理計劃而減少潛在風險。
以下是制定風險管理戰略時需考慮的關鍵方面:
1、評估風險并確定需求。
風險評估是對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估,并發現安全漏洞和隱患的過程,是控制風險的基本手段。
在設計和實施風險評估框架時,確定您需要處理的最重要違規事件的優先次序非常重要。盡管每個組織的頻率可能不同,但這種程度的評估必須定期且持續進行。
2、包含相關利益人的全面觀點。相關利益人包括業務所有人和員工、客戶、甚至供應商。所有這些方面都有可能對組織產生負面影響(潛在威脅),但同時,他們也可以成為幫助控制風險的資產。
3、指定核心員工小組。他們負責風險管理,并確定這一活動所需的適當資金額度。
4、實施合適的政策和相關控制,并確保將任何及所有變化告知適當的最終用戶。
5、監控并評估政策和控制效率。風險的來源不斷變化,這意味著您的團隊必須準備好對框架進行任何必要的調整。這也可能涉及新型監控工具和技術的整合。
 
Rapid 7是安全漏洞風險管理平臺的首選產品。
 
 
Date

2019年 03月 07日

Custom Field

Enter some text here

乒乓球直播吧