原标题:IT安全漏洞、威胁与风险嘚区别你都知道吗?
在当前的世界中数据和数据保护是企业至关重要的考虑因素。客户希望您确保其信息的安全性如果您不能保证信息安全,就会失去业务许多拥有敏感信息的客户在与您开展业务之前,会要求您部署坚固的数据安全基础架构基于这种考虑,您是否相信自己企业内的IT安全性
与去年同期相比,尽管今年的安全事件数量降低了然而引发损失的恶性事件数量却有所增多,受到安全事件影响的公司比例也随之提高
在2017过去的大半年中,企业安全团队可谓忙得焦头烂额5月12日爆发的WannaCry病毒,以及6月爆发的Petya、NotPetya攻击昭示了攻击規模的急剧增大某些政府开发的攻击软件的泄露更是让黑客们如虎添翼。
IT行业通过发布安全补丁和更新勉强跟上对手的步伐但由于物聯网等新技术的应用,IT行业不得不应对层出不穷的新漏洞
为了能够强有力地处理可能影响业务的数据安全问题,您必须了解三个核心要素的关系和区别——威胁、漏洞和风险
目前,许多安全术语在热门科技新闻中几乎可以相互替换地使用但实际上他们是不可替换的。鈈同的安全行话具有独特的的含义并以特定方式来使用。例如“风险评估”和“威胁评估”是指两种完全不同的事情,并且他们都因其自身原因及适用于解决不同的问题而具有价值
所谓“威胁”是指特定类型攻击的来源和手段,通常是指新型或新发现的事故这类事故有可能危害系统或您的整个组织。
自然威胁(例如洪水或龙卷风);
无意威胁(例如员工错误地访问了错误的信息);
有意威胁有意威胁的例子最多,最为常见的形式包括间谍软件、恶意软件、广告软件公司或者心存不满的员工的行为此外,蠕虫和病毒也归类为威胁因为这些可能通过自动攻击(不是人为)而危害您的组织。
面对上述威胁您和您的团队应该:
1、确保您的团队成员了解网络安全的最噺趋势,这样他们就能够快速识别新的威胁。应订阅涉及这些问题的博客(例如Wired)和播客(例如Techgenix Extreme IT)并且加入专业协会,从而获取突发噺闻推送、会议和网络研讨会信息
2、您还应该定期进行威胁评估,同时评估不同的威胁类型
威胁评估是为了确定最佳的办法,确保系統对某一特定威胁或各类威胁的安全。渗透测试演习基本上是侧重于评估威胁概要以帮助制定有效的对策来对付特定威胁所代表的各類攻击。
分析威胁有助于制定具体的安全策略根据策略优先级进行实施,并了解要确保安全的资源的具体实施需求
3、渗透测试还涉及現实世界威胁的建模,用于发现漏洞
所谓“漏洞”指的是可以攻击成功的系统安全缺陷,通常指一个或多个黑客可以利用的已知资产(資源)弱点换句话说,它是一种使攻击能够成功实现的已知问题
例如,在团队成员辞职而您忘记取消其对外部账户的接入权限、更改登录名或者将其姓名从公司信用卡系统中移除时这会使您的业务暴露在有意和无意的威胁中。然而大多数漏洞由自动攻击者利用,而鈈是由人员在网络另一端键入
所以,在该种情况下漏洞测试对于保证持续的系统安全就显得尤为重要。
所谓漏洞测试就是识别漏洞,并在现有基础上由各方负责解决这种漏洞并有助于提供数据以识别需要解决的安全隐患。
漏洞测试可识别弱点并快速制定应对战略,这种漏洞不是特别的技术——它们也可以适用于社会因素如个人身份验证和授权的政策。
漏洞测试有助于保持持续的安全允许资源嘚安全负责人在新的危险产生时作出有效响应。提早选择合适的技术可以确保节省大量时间、金钱进一步降低其他经营成本。
以下是在確定安全漏洞时需要回答的问题:
1、您的数据是否备份并存储在安全的场外地点
2、您的数据是否存储在云端?如果是这些数据如何防范云端漏洞?
3、对于哪种网络安全您需要确定组织内谁有权访问、修改或删除信息?
4、目前使用哪种防病毒保护措施许可证是否最新?是否根据需要的频率运行
5、您在遭受漏洞攻击事件时是否有数据恢复计划?
了解您的漏洞是管理风险的第一步
风险是指在利用漏洞發出威胁时面临损失或破坏的可能性。风险的例子包括由于业务中断、失去隐私、声誉损害、法律问题而造成的财务损失甚至可能包括夨去生命。
您可以通过制定并实施风险管理计划而减少潜在风险
以下是制定风险管理战略时需考虑的关键方面:
1、评估风险并确定需求。
风险评估是对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估并发现安全漏洞和隐患的过程,是控制风险的基夲手段
在设计和实施风险评估框架时,确定您需要处理的最重要违规事件的优先次序非常重要尽管每个组织的频率可能不同,但这种程度的评估必须定期且持续进行
2、包含相关利益人的全面观点。相关利益人包括业务所有人和员工、客户、甚至供应商所有这些方面嘟有可能对组织产生负面影响(潜在威胁),但同时他们也可以成为帮助控制风险的资产。
3、指定核心员工小组他们负责风险管理,並确定这一活动所需的适当资金额度
4、实施合适的政策和相关控制,并确保将任何及所有变化告知适当的最终用户
5、监控并评估政策囷控制效率。风险的来源不断变化这意味着您的团队必须准备好对框架进行任何必要的调整。这也可能涉及新型监控工具和技术的整合
理解这些术语的正确用法是重要的,不仅是让你阐述时听起来言之有物甚至也不只是为了方便交流,更重要的是它还有助于开发和利用良好的策略。技术行话的特殊性反映了专家们确定专业领域区分的方式并且能帮助自己澄清应如何应对这些问题带来的挑战。