1. 程式人生 > >IT安全漏洞、威脅與風險的區別,你都知道嗎?

IT安全漏洞、威脅與風險的區別,你都知道嗎?

在當前的世界中,資料和資料保護是企業至關重要的考慮因素。客戶希望您確保其資訊的安全性,如果您不能保證資訊保安,就會失去業務。許多擁有敏感資訊的客戶在與您開展業務之前,會要求您部署堅固的資料安全基礎架構。基於這種考慮,您是否相信自己企業內的IT安全性?

與去年同期相比,儘管今年的安全事件數量降低了,然而引發損失的惡性事件數量卻有所增多,受到安全事件影響的公司比例也隨之提高。

在2017過去的大半年中,企業安全團隊可謂忙得焦頭爛額。5月12日爆發的WannaCry病毒,以及6月爆發的Petya、NotPetya攻擊昭示了攻擊規模的急劇增大。某些政府開發的攻擊軟體的洩露更是讓黑客們如虎添翼。

IT行業通過釋出安全補丁和更新勉強跟上對手的步伐,但由於物聯網等新技術的應用,IT行業不得不應對層出不窮的新漏洞。

為了能夠強有力地處理可能影響業務的資料安全問題,您必須瞭解三個核心要素的關係和區別——威脅、漏洞和風險。

目前,許多安全術語在熱門科技新聞中幾乎可以相互替換地使用,但實際上他們是不可替換的。不同的安全行話具有獨特的的含義,並以特定方式來使用。例如,“風險評估”和“威脅評估”是指兩種完全不同的事情,並且他們都因其自身原因及適用於解決不同的問題而具有價值。

威脅

所謂“威脅”是指特定型別攻擊的來源和手段,通常是指新型或新發現的事故,這類事故有可能危害系統或您的整個組織。

威脅主要有三類:

  • 自然威脅(例如洪水或龍捲風);

  • 無意威脅(例如員工錯誤地訪問了錯誤的資訊);

  • 有意威脅。

    有意威脅的例子最多,最為常見的形式包括間諜軟體、惡意軟體、廣告軟體公司或者心存不滿的員工的行為。此外,蠕蟲和病毒也歸類為威脅,因為這些可能通過自動攻擊(不是人為)而危害您的組織。

面對上述威脅,您和您的團隊應該:

1、確保您的團隊成員瞭解網路安全的最新趨勢,這樣,他們就能夠快速識別新的威脅。應訂閱涉及這些問題的部落格(例如Wired)和播客(例如Techgenix Extreme IT),並且加入專業協會,從而獲取突發新聞推送、會議和網路研討會資訊。

2、您還應該定期進行威脅評估,同時評估不同的威脅型別。

威脅評估是為了確定最佳的辦法,確保系統對某一特定威脅,或各類威脅的安全。滲透測試演習基本上是側重於評估威脅概要,以幫助制定有效的對策來對付特定威脅所代表的各類攻擊。

分析威脅有助於制定具體的安全策略,根據策略優先順序進行實施,並瞭解要確保安全的資源的具體實施需求。

3、滲透測試還涉及現實世界威脅的建模,用於發現漏洞。

漏洞

所謂“漏洞”指的是可以攻擊成功的系統安全缺陷,通常指一個或多個黑客可以利用的已知資產(資源)弱點。換句話說,它是一種使攻擊能夠成功實現的已知問題。

例如,在團隊成員辭職而您忘記取消其對外部賬戶的接入許可權、更改登入名或者將其姓名從公司信用卡系統中移除時,這會使您的業務暴露在有意和無意的威脅中。然而,大多數漏洞由自動攻擊者利用,而不是由人員在網路另一端鍵入。

所以,在該種情況下,漏洞測試對於保證持續的系統安全就顯得尤為重要。

所謂漏洞測試,就是識別漏洞,並在現有基礎上由各方負責解決這種漏洞,並有助於提供資料以識別需要解決的安全隱患。

漏洞測試可識別弱點,並快速制定應對戰略,這種漏洞不是特別的技術——它們也可以適用於社會因素,如個人身份驗證和授權的政策。

漏洞測試有助於保持持續的安全,允許資源的安全負責人在新的危險產生時作出有效響應。提早選擇合適的技術可以確保節省大量時間、金錢,進一步降低其他經營成本。 

以下是在確定安全漏洞時需要回答的問題:

1、您的資料是否備份並存儲在安全的場外地點?

2、您的資料是否儲存在雲端?如果是,這些資料如何防範雲端漏洞?

3、對於哪種網路安全,您需要確定組織內誰有權訪問、修改或刪除資訊?

4、目前使用哪種防病毒保護措施?許可證是否最新?是否根據需要的頻率執行?

5、您在遭受漏洞攻擊事件時是否有資料恢復計劃?

瞭解您的漏洞是管理風險的第一步。

風險

風險是指在利用漏洞發出威脅時面臨損失或破壞的可能性。風險的例子包括由於業務中斷、失去隱私、聲譽損害、法律問題而造成的財務損失,甚至可能包括失去生命。

風險也可以定義如下:

風險 = 威脅 X 漏洞

您可以通過制定並實施風險管理計劃而減少潛在風險。

以下是制定風險管理戰略時需考慮的關鍵方面:

1、評估風險並確定需求。

風險評估是對網路與資訊系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估,並發現安全漏洞和隱患的過程,是控制風險的基本手段。

在設計和實施風險評估框架時,確定您需要處理的最重要違規事件的優先次序非常重要。儘管每個組織的頻率可能不同,但這種程度的評估必須定期且持續進行。

2、包含相關利益人的全面觀點。相關利益人包括業務所有人和員工、客戶、甚至供應商。所有這些方面都有可能對組織產生負面影響(潛在威脅),但同時,他們也可以成為幫助控制風險的資產。

3、指定核心員工小組。他們負責風險管理,並確定這一活動所需的適當資金額度。

4、實施合適的政策和相關控制,並確保將任何及所有變化告知適當的終端使用者。

5、監控並評估政策和控制效率。風險的來源不斷變化,這意味著您的團隊必須準備好對框架進行任何必要的調整。這也可能涉及新型監控工具和技術的整合。

最後

理解這些術語的正確用法是重要的,不僅是讓你闡述時聽起來言之有物,甚至也不只是為了方便交流,更重要的是,它還有助於開發和利用良好的策略。技術行話的特殊性反映了專家們確定專業領域區分的方式,並且能幫助自己澄清應如何應對這些問題帶來的挑戰。