數(shù)字化時(shí)代下的網(wǎng)絡(luò)安全戰(zhàn)略框架系列之二
如何發(fā)現(xiàn)要保護(hù)的皇冠明珠(核心數(shù)字化資產(chǎn))�����?
數(shù)字化時(shí)代下的網(wǎng)絡(luò)安全挑戰(zhàn)
面對(duì)來勢(shì)洶洶的數(shù)字化變革,企業(yè)越來越依賴復(fù)雜的技術(shù)生態(tài)系統(tǒng)來實(shí)現(xiàn)多個(gè)重要目標(biāo)��,以新的方式與客戶和第三方進(jìn)行交互��,使用數(shù)據(jù)來改善決策���,并提高覆蓋面和盈利能力�����。
隨著網(wǎng)絡(luò)攻擊變得日益頻繁和嚴(yán)重����,董事會(huì)成員和高管們都認(rèn)識(shí)到基于信息技術(shù)和數(shù)字化的行為活動(dòng)也帶來了一定的網(wǎng)絡(luò)風(fēng)險(xiǎn)���。我們的服務(wù)能幫助企業(yè)建立戰(zhàn)略方針和相應(yīng)架構(gòu)��,并開發(fā)有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告機(jī)制��。這些服務(wù)支持制定由高管主導(dǎo)的網(wǎng)絡(luò)風(fēng)險(xiǎn)計(jì)劃��,將客戶的風(fēng)險(xiǎn)偏好納入考慮范圍�����,幫助企業(yè)識(shí)別和了解他們主要的業(yè)務(wù)風(fēng)險(xiǎn)和網(wǎng)絡(luò)風(fēng)險(xiǎn)����。
?
CSF: 一個(gè)全面的網(wǎng)絡(luò)安全戰(zhàn)略框架
德勤網(wǎng)絡(luò)安全戰(zhàn)略框架(CSF)是一種以業(yè)務(wù)為導(dǎo)向、基于威脅管理網(wǎng)絡(luò)安全戰(zhàn)略的平臺(tái)�����。CSF是德勤在網(wǎng)絡(luò)安全戰(zhàn)略方面進(jìn)行了四年多的研究和投資的結(jié)果�,并且采用了成熟的方法來確定企業(yè)網(wǎng)絡(luò)安全的當(dāng)前能力和目標(biāo)成熟度,并提出了改進(jìn)企業(yè)內(nèi)部和整體網(wǎng)絡(luò)安全彈性的建議��。
我們會(huì)利用網(wǎng)絡(luò)安全戰(zhàn)略框架平臺(tái)����,通過動(dòng)態(tài)工作流程和實(shí)施我們的方法來支持我們的評(píng)估���。我們的平臺(tái)使我們能夠捕捉�,分析和管理關(guān)于組織業(yè)務(wù)環(huán)境�����,業(yè)務(wù)模式和策略���,威脅行為者和技術(shù)以及組織網(wǎng)絡(luò)能力的當(dāng)前和目標(biāo)成熟度的信息���。我們的平臺(tái)還使我們能夠定義具體的建議����,項(xiàng)目和路線圖����,以提高特定功能的成熟度,并提高組織的整體網(wǎng)絡(luò)彈性��。
?
如何發(fā)現(xiàn)要保護(hù)的皇冠明珠
對(duì)于企業(yè)而言����,需要識(shí)別哪些是支持我們的企業(yè)戰(zhàn)略和商業(yè)模式的關(guān)鍵業(yè)務(wù)資產(chǎn)?都有哪些場(chǎng)景對(duì)這些資產(chǎn)存在威脅�?哪些威脅源和技術(shù)會(huì)對(duì)我們的重要資產(chǎn)產(chǎn)生負(fù)面影響?我們的每件重要資產(chǎn)在特定威脅下的暴露程度如何��?
CSF從業(yè)人員利用經(jīng)過驗(yàn)證的方法來了解您的業(yè)務(wù)概況�����,并明確企業(yè)內(nèi)的重要資產(chǎn)���。使用包含威脅行為和技術(shù)的綜合列表的德勤威脅模型���,根據(jù)暴露情況識(shí)別并記錄對(duì)組織及其重要資產(chǎn)的威脅���。這樣的工作具體來說,包括以下兩個(gè)階段的分析活動(dòng):
業(yè)務(wù)分析階段
了解企業(yè)目前的使命���,戰(zhàn)略和商業(yè)模式����,以確定組織的重要資產(chǎn)��,具體包括
了解業(yè)務(wù)背景��,業(yè)務(wù)模式和戰(zhàn)略
確定重要資產(chǎn)�,并建立保密性、完整性和可用性要求
確定組織風(fēng)險(xiǎn)偏好/容忍度
此階段主要成果是獲得重要資產(chǎn)的分布以及其保密性���、完整性和可用性綜合分析結(jié)果。
威脅評(píng)估階段
了解重要資產(chǎn)之后���,識(shí)別其網(wǎng)絡(luò)能力最容易受到的威脅���,包括:
識(shí)別相關(guān)的威脅行為者和常用攻擊手段和技術(shù)
根據(jù)威脅行為者�����,使用的技術(shù)和目標(biāo)(重要資產(chǎn))的組合來確定具體的威脅情景
此階段主要成果是獲得具有固有風(fēng)險(xiǎn)評(píng)分的威脅場(chǎng)景列表�。
案例分析
某企業(yè)需要了解企業(yè)當(dāng)前的安全能力是否能為業(yè)務(wù)提供足夠的保障�,以及高額的網(wǎng)絡(luò)安全投資是否真的在企業(yè)日常運(yùn)作時(shí)發(fā)揮高效的防護(hù)作用,高管們對(duì)于網(wǎng)絡(luò)安全能力的評(píng)估和投資變現(xiàn)能力有著很大的困惑:什么樣的方法論可以全面識(shí)別企業(yè)重要且敏感的信息資產(chǎn)�����,并且同時(shí)能考慮企業(yè)的風(fēng)險(xiǎn)偏好,根據(jù)常見威脅攻擊者類型和常用手段�����,提供精確的數(shù)據(jù)收集與分析功能��,使得網(wǎng)絡(luò)安全工作有了可識(shí)別性和針對(duì)性��,企業(yè)管理層可以隨時(shí)知曉和掌握我們的網(wǎng)絡(luò)安全有能力保護(hù)企業(yè)的每一項(xiàng)重要資產(chǎn)�。傳統(tǒng)的評(píng)估項(xiàng)目可能需要很大的人力物力,當(dāng)下的業(yè)務(wù)和技術(shù)每天都在產(chǎn)生著大量的數(shù)據(jù)�,手工處理避免不了計(jì)算及統(tǒng)計(jì)失誤,并且最終的結(jié)果可能需要閱讀大量的文字�����,而不是直觀的、可視化數(shù)據(jù)圖形���。
這時(shí)����,CIO想起了前段時(shí)間公司舉行的關(guān)于“數(shù)字化網(wǎng)絡(luò)安全戰(zhàn)略框架”宣講會(huì)����,其中介紹的CSF網(wǎng)絡(luò)安全戰(zhàn)略框架正好可以解決正在面臨的困境:CSF平臺(tái)有著成熟的資產(chǎn)識(shí)別和評(píng)估模型,使企業(yè)全面了解目前資產(chǎn)管理的風(fēng)險(xiǎn)漏洞���。另外后續(xù)的系統(tǒng)自動(dòng)化評(píng)分功能�����,也正好解決了要處理大量數(shù)據(jù)的問題�����,大大提高了工作效率與準(zhǔn)確度。
比如:可以利用報(bào)表試圖�����,綜合性地得出哪些攻擊者類型利用哪類攻擊手段會(huì)造成對(duì)企業(yè)的威脅,以及其影響程度�。
甚至可以得到針對(duì)企業(yè)內(nèi)不同的信息資產(chǎn)對(duì)象,受到外部不同攻擊者和攻擊手段下所能造成的風(fēng)險(xiǎn)影響視圖�。
更重要的是,CSF平臺(tái)還提供了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)復(fù)檢功能:在得到當(dāng)年信息資產(chǎn)的威脅評(píng)估后���,客戶可以就風(fēng)險(xiǎn)較大的領(lǐng)域進(jìn)行改進(jìn)�����,并在來年���,對(duì)于相同的領(lǐng)域重新檢測(cè)分析,兩次評(píng)估進(jìn)行對(duì)比����,可以得出企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)展變化,以驗(yàn)證企業(yè)在網(wǎng)絡(luò)安全領(lǐng)域取得顯著進(jìn)步�����,使得管理層對(duì)網(wǎng)絡(luò)安全建設(shè)工作更有信心。
?
結(jié)語
數(shù)字化時(shí)代下����,每個(gè)企業(yè)都在享受數(shù)字化技術(shù)給企業(yè)帶來的便利,但與此同時(shí)��,企業(yè)也必須要預(yù)見到數(shù)字化進(jìn)程下潛在的網(wǎng)絡(luò)安全固有威脅���。為了在激烈的競(jìng)爭(zhēng)環(huán)境下存活��,每家公司都應(yīng)該找到目前形勢(shì)下��,企業(yè)最重要敏感����、最需要保護(hù)的信息資產(chǎn)是什么����,針對(duì)這些資產(chǎn)的載體和在企業(yè)內(nèi)外的流轉(zhuǎn)途徑是什么,有什么樣的威脅和常用攻擊手段���,會(huì)產(chǎn)生什么樣的風(fēng)險(xiǎn)����,該如何防護(hù),都是企業(yè)面臨并要解答的關(guān)鍵問題��,要全面����、可靠地保護(hù)好企業(yè)核心信息資產(chǎn)是非常困難的�����。
CSF可以為企業(yè)提供最好的并且可定制化的服務(wù)����,以滿足其特定需求。它也是一種獨(dú)特的解決方案�����,可以滿足每個(gè)內(nèi)部或外部投資利益相關(guān)方的需求��。
