網絡風險管理模式改變

激增的網絡攻擊面，龐大的漏洞量，複雜的威脅場景以及新的業務需求等諸多因素，都在呼籲新的網絡風險管理模型的出現和運用。是時候採用新的網絡風險管理模式了。

當前所使用的網絡風險管理模式顯然已經沒法適應時代的發展需求。雖然網絡風險管理對於企業高管而言比以往任什麼時候候都更爲重要，可是鑑於不斷激增的攻擊面，龐大的漏洞量以及複雜的威脅場景等因素，對於CISO和網絡安全團隊而言，想要有效地實現網絡風險管理卻變得更爲困難。
即將發佈的ESG最新研究代表，過去發揮過做用的網絡風險管理模型現在已經再也不是一種合適的選擇，如下是部分調查結果提要：
企業管理者的參與程度遠遠超過以往。幾年前，企業高管的目標並非獲取真正強大的安全性，他們想要的只是足夠好的安全性就夠了。當時的安全專業人士對這些並未付諸全力的網絡安全工做感到遺憾和失落，他們迫切渴望擁有具有網絡安全專業知識的首席執行官，可以真正投資於強大的網絡安全控制和監督工做。ESG數據代表，現在企業高管和董事會的參與度和網絡安全需求都要遠勝以往。這迫使CISO和信息安全團隊收集和分析更多的網絡風險數據，並以業務友好型方式將其呈現給用戶。數據代表，這已經推進了一種新的、更全面的網絡風險管理模式的出現。
網絡安全支出持續增長，但也出現愈來愈多的限制。網絡安全預算每一年都在增加，而且這種趨勢還會持續下去。事實上，企業高管們確實願意增長支出以保護他們的組織，但同時他們也但願更好地瞭解他們的錢究竟花到了什麼地方?得到了哪些投資回報?
例如，若是預算增長，也就是CISO明年要求120萬美圓網絡安全支出而不是原計劃的100萬美圓，那麼首席財務官(CFO)就會但願瞭解這筆錢用到了哪些地方?企業爲此得到了哪些額外保護?企業高管、GRC經理和網絡安全專業人員正試圖經過使用模糊指標分析不完整數據來弄清楚如何衡量網絡安全支出的投資回報率。這裏迫切須要改進。
全部網絡風險管理投入都在快速增加，基本的網絡風險管理公式以下所示：

因此，這就是問題所在——全部的一切都在迅速增加。總體攻擊面(即設備、數據、基於雲的工做負載、應用程序等)正在增加，從而致使更多的安全漏洞。例如，ESG研究中的一大亮點就是，各組織業務合做夥伴對第三方風險管理的需求日益增加，以防止發生相似OPM和Target的間接攻擊事件。
與此同時，威脅也正變得更具針對性和複雜性。就其產生的後果而言，企業將須要處理更多的風險類型，包括財務風險、操做風險以及聲譽風險等等。將全部這些變化疊加在一塊兒，網絡風險管理工做量就會不斷增長而且變得更爲專業化，而不良的網絡風險管理實踐所形成的後果必然是高風險、高成本的。
根本不存在網絡風險管理基準這樣的事情。風險管理任務——例如漏洞掃描、第三方風險審計以及滲透測試等——始終都是以按期(每個月一次、每季度一次、每一年屢次等)和獨立的方式進行。一般而言，這些活動是由審計師、法律法規甚至業務合做夥伴進行指導，而不是任何具備凝聚力和總體性風險管理策略進行指導。
這就是該方法的問題所在——一切都在不斷變化，網絡風險管理的每一個方面都是相互關聯的。所以，當一件事發生變化時，它就會影響其餘一切。您如何作到在任什麼時候間點對網絡風險管理進行基準測試?答案是您不能!這也就意味着，咱們必須接受這種認識，並努力進行持續的風險管理測量。
該研究爲咱們描繪了一幅清晰的圖景：網絡風險管理對於管理人員來講變得愈來愈重要，但對於CISO和網絡安全團隊來講則更爲困難。
顯然，當前的網絡風險管理模式已被打破，必須作出改變，而這種變化很快就會出如今咱們面前。

原文來自：http://netsecurity.51cto.com/art/201812/588859.htm

本文地址：https://www.linuxprobe.com/network-risk-management-change.html編輯：馮瑞濤，審覈員：逄增寶