通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

风险管理见解

  • 项目

运营一项业务是有风险的。 安全团队的作用是告知决策者并就其框架如何适应安全风险提供建议。 安全团队的目标是了解你的业务,然后利用他们的安全专业知识来识别业务目标和资产的风险。 然后,安全团队会就每种风险向决策者提出建议,然后指明哪些风险是可以接受的。 提供此信息的前提是,这些决策的责任在于你的资产或过程所有者。

注意

风险问责制的一般规则是:

由遭受风险的人员向外界解释发生的情况(通常是在电视放送中)。

当成熟时,安全团队的目标是暴露并减轻风险,并使企业能够以最小的风险进行更改。 这一级别的成熟度需要风险见解和深层安全集成。 对于你的组织而言,在任何级别的成熟度上,首要安全风险均应添加到风险登记簿上。 然后这些风险会被控制到一个可接受的水平。

观看以下视频来了解安全一致性以及如何管理组织中的风险。

什么是网络安全风险?

网络安全风险是指对企业资产、收入和信誉的潜在损害或破坏。 这种损害是由试图窃取金钱、信息或技术的人为攻击者造成的。

尽管这些攻击发生在技术环境中,但它们通常对整个组织构成风险。 网络安全风险应与风险度量、跟踪和缓解框架保持一致。 许多组织仍将网络安全风险视为需要解决的技术问题。 这种看法会导致错误的结论,不能减轻风险对战略业务的影响。

下图显示了从典型的面向技术的程序到业务框架的转变。

显示了从典型的面向技术的程序到业务框架的转变的示意图。

安全负责人必须暂时抛开技术角度,了解哪些资产和数据对业务负责人很重要。 然后根据业务重要性,对团队如何花费时间、注意力和预算进行优先级设置。 当安全和 IT 团队通过解决方案工作时,将会重新用到技术角度。 但是,仅将网络安全风险视为一个技术问题,就有可能解决错问题。

协调安全风险管理

不断努力,在网络安全和你的组织领导之间建立一座更牢固的桥梁。 这个概念既适用于人际关系,也适用于明确的过程。 安全风险的性质和业务机会的不同动态是不断变化的。 安全风险源需要不断投资以建立和改善这种关系。

这种关系的关键在于理解业务价值如何与特定的技术资产相关联。 如果没有这个方向,安全团队就无法确定对你的组织来说什么是最重要的。 他们只能凭运气来保护最重要的资产。

立即开始此过程非常重要。 首先,更好地了解组织中的敏感和业务关键资产。

开始这种转变的典型过程是:

  1. 在双向关系中协调业务:
    • 以他们的语言进行交流,使用业务友好的术语来解释安全威胁。 这种解释有助于量化风险以及对整体业务策略和任务的影响。
    • 通过与业务范围内的人交谈,积极倾听和学习。 努力了解如果重要业务服务和信息遭到破坏或泄露,它们将受到何种影响。 这种理解使我们清楚地认识到投资于策略、标准、培训和安全控制的重要性。
  2. 将有关业务优先级和风险的知识转化为具体和可持续的行动,例如:
    • 短期专注于处理重要优先事项。
      • 通过适当的安全控制保护关键资产和高价值信息。 这些控制在提高业务生产力的同时提高了安全性。
      • 专注于最有可能对业务造成影响的即时和新出现的威胁。
      • 监视业务策略和计划中的更改,以保持一致。
    • 长期的方向和重点,就是要长期稳步推进,不断改善整体安全态势。
      • 使用零信任来创建降低组织风险的策略、计划和体系结构。 将其与零信任原则保持一致,即设想安全漏洞、最低特权和显式验证。 采用这些原则可以从静态控件转变为更加动态的基于风险的决策。 这些决策基于对异常行为的实时检测,而不考虑威胁的开始位置。
      • 通过在整个组织中运行安全最佳做法,将技术债务作为一项一致的策略来偿还。 例如,将基于密码的身份验证替换为无密码和多重身份验证、应用安全修补程序以及停用或隔离旧系统。 就像偿还抵押贷款一样,必须稳定地还款,以实现你投资的全部收益和价值。
      • 应用数据分类、敏感度标签和基于角色的访问控制,以保护数据在其整个生命周期中免受丢失或泄露。 这些工作无法完全捕获业务上下文和见解的动态性质和丰富性。 但这些关键促成因素用于指导信息保护和治理,限制攻击的潜在影响。
  3. 通过明确地实践、沟通和公开示范正确的行为,建立健康的安全文化。 这种文化应该专注于业务、IT 和安全同事之间的开放协作。 然后把注意力放在持续学习的“成长型思维模式”上。 将文化变革的重点放在消除安全、IT 和更大业务组织中的孤岛上。 这些变化实现了更高的知识共享和复原水平。

有关详细信息,请参阅定义安全策略

了解网络安全风险

网络安全风险是由试图窃取金钱、信息或技术的人为攻击者造成的。 必须了解这些攻击者的动机和行为模式,这一点很重要。

动机

不同类型攻击者的动机和诱因反映了合法组织的情况。

显示攻击者动机的示意图。

了解攻击者的动机有助于了解不同类型的攻击的可能性和潜在影响。 尽管各个组织的安全策略和最重要的技术控件都是相似的,但此上下文可帮助指导你的安全投资重点领域。

有关详细信息,请参阅破坏攻击者投资回报率

行为模式

组织面临一系列塑造其行为的人为攻击者模型:

  • 商品:组织通常面临的大多数威胁都是营利性攻击者,由投资回报率 (ROI) 驱动。 这些攻击者通常使用最便宜和最有效的可用工具和方法。 随着新方法被其他人证明并可供大规模使用,这些攻击(例如,隐形和工具)的复杂性通常会增加。

  • 复杂的攻击团体受长期任务成果的驱动,并且通常有可用的资金。 这笔资金主要用于创新。 这种创新可能包括投资于供应链攻击或改变攻击活动中的策略以阻碍检测和调查。

通常,攻击者具有以下特征:

  • 灵活:他们使用不止一种攻击途径来进入网络。
  • 目标驱动:他们通过访问环境来实现定义的目的。 这些目标可能特定于你的人员、数据或应用程序,但你也可能适合某一类目标。 例如,“一家盈利的公司,可能会花钱恢复对其数据和系统的访问。”
  • 隐密行动:他们采取预防措施,清除证据或隐藏踪迹,通常在不同的投资和优先级别上。
  • 耐心:他们需要时间进行侦察以了解你的基础结构和业务环境。
  • 资源充足的和熟练:尽管技能的深度可能会有所不同,但他们接受过他们所针对的技术方面的教育。
  • 经验丰富:他们使用成熟的技术和工具来获得提升的权限以访问或控制资产的不同方面。

后续步骤

为了使风险管理有效,必须将其纳入治理和合规性活动的各个方面。 为了正确评估风险,必须始终将安全性视为综合方法的一部分。