近年来,网络威胁情报兴起,企业组织可以接触到大量网络威胁和攻击相关的信息,进而专注于分析策略与技术,并利用这些信息优化威胁防御、降低风险。不过,要想真正有效地利用威胁情报来缓解风险,管理者必须能合理地评估并管理企业组织中的风险、梳理清楚需要保护的资产、了解联网系统的弱点所在以及可能会被攻击者入侵的环节。
以下为优化企业风险管理的四大基础步骤:
1. 确认需要被保护的资产
首先,梳理企业需要保护的数字资产,了解这些资产及相关数据的实际展示形式。数字资产涵盖几个方面,包括人要(用户、员工、合作伙伴、服务供应商)、组织(服务部门、基础设施)以及支持组织运作的系统与重要应用(网站、端口、数据库、支付流程与系统、EPR应用)。管理者需要梳理清楚这些资产与企业内部能够产生利润、具备竞争优势的业务以及可信度、声誉和愿景等无形资产之间的关系。产品设计、核心代码、专利信息等知识产权信息与企业的竞争能力息息相关,一旦泄露就会削弱企业竞争力。而如果用户信息泄露,可能会违反相关法律法规。员工凭证、私钥或安全评估信息等数据也有可能落入攻击者之手,成为他们入侵的渠道。
只要第一步梳理清楚这些重要资产,企业就能初步判断攻击者的类型与来源。
2. 了解威胁
在风险评估过程中,了解威胁是重要的一步。如果能合理利用威胁情报,就能对威胁有直观的了解甚至预判。近期,安全从业者开始着眼于安全策略,分析攻击者的行为,作为应对威胁和漏洞的参考。不过,攻击行为只能作为了解威胁的一部分。知道常见的攻击面以及攻击场景更有助于预防和防护。通过一些模拟工具或框架,可以测试网络的恢复能力以及理解已知攻击行为的安全风险。MITRE所开发的ATT&CK框架(https://attack.mitre.org/)就是一个有效的工具。
作为一种网络攻击行为分析模型,ATT&CK可以反映攻击者生命周期的各个阶段变化,分析其策略、技术和过程。管理者可以利用这种模型,综合行为分析结果和威胁模型,了解为什么企业会遭遇某种特定攻击,并有针对性地进行防御,降低风险。
3. 监测企业的泄露信息
在表网、深网或暗网中检测企业已经泄露的资产信息并不容易。暗网信息搜索公司Digital Shadow给出的中型企业信息泄露典型案例显示,一般会出现290个虚假的域名或社交媒体账号、180个证书问题、84个可利用的漏洞、360个开放端口以及100份企业文档。其实,企业可以利用大量工具来协助检测自身的信息泄露情况。例如,DNS Twist可以通过可视化的方式展现一系列模仿公司域名的钓鱼网站;Have I Been Pwnd网站则可以查询密码或凭证是否泄露;Google hacking database则提供了检测敏感文档是否泄露的方法。此外,企业还能使用营销和品牌管理团队经常使用的方法来监控社交媒体,了解关于企业的舆论信息。
4. 制定应对和缓解策略
有了前面散步的铺垫,最后一步就是应对并缓解风险。一般来说,缓解措施包括及时、策略性的响应;运营层面持续性的响应以及可能影响到投资或战略方向的战略层面的调整。例如,一家企业可能发现自家有大量凭证暴露在网上,那么他们就会实施多因素认证来保护数据安全;如果企业员工常常将工作备份到个人电脑中并办公,那么企业就需要提供更多有效的存储方式。出现风险之后,应急响应至关重要,而事后的复盘与持续改进,也必不可少。
参考这几步,风险管理者可以搭建一个初步的风险管理框架,明确大方向,并在实践中逐步细化符合自己公司实际情况的管理方案,以便更好地抵御威胁、降低安全风险。
*参考来源:Securityweek,转载请注明来自FreeBuf.COM
来源:freebuf.com 2019-03-22 14:15:22 by: AngelaY
请登录后发表评论
注册