目录:
严格控制IT安全的行业和政府要求导致了高度管制的环境和年度合规的消防演习。 影响普通组织的法规数量很容易超过十几个,甚至越来越复杂。 这迫使大多数公司在冗长的IT优先事项列表上分配过多的资源用于治理和合规性工作。 这些努力值得吗? 还是仅仅是复选框要求,作为合规性驱动的安全方法的一部分?
严酷的事实是,您可以安排审核,但不能安排网络攻击。 几乎每天,当违规成为头条新闻时,我们都会被提醒这一事实。 结果,许多组织得出结论,要深入了解其风险状况,他们必须超越简单的合规性评估。 结果,他们考虑了威胁和漏洞以及业务影响。 只有这三个因素的组合才能确保全面了解风险。
合规的陷阱
追求复选框,法规遵从性驱动的风险管理方法的组织只能实现时间点安全性。 这是因为公司的安全态势是动态的,并且会随着时间而变化。 这已被一次又一次地证明。
最近,先进的组织已经开始追求更加主动,基于风险的安全方法。 基于风险的模型的目标是最大程度地提高组织IT安全运营的效率,并提供对风险和合规性状况的可见性。 最终目标是保持合规性,降低风险并持续增强安全性。
许多因素导致组织转向基于风险的模型。 这些包括但不限于:
- 新兴的网络立法(例如,《网络情报共享和保护法》)
- 货币监察长办公室(OCC)的监督指导
安全救援?
通常认为,漏洞管理将使数据泄露的风险降到最低。 但是,如果没有将漏洞置于与之相关的风险中,组织通常会错位其补救资源。 他们常常忽略最关键的风险,而只着眼于“低落的果实”。
这不仅浪费金钱,而且还为黑客利用关键漏洞创造了更长的机会。 最终目标是缩短攻击者利用软件漏洞的窗口。 因此,漏洞管理必须以整体的,基于风险的安全性方法加以补充,该方法考虑了诸如威胁,可到达性,组织的合规性以及业务影响等因素。 如果威胁无法到达漏洞,则可以减少或消除相关的风险。
风险是唯一的真理
通过确定可用于防止威胁达到其目标的补偿性控制,组织的合规性在IT安全中可发挥重要作用。 根据2013年Verizon数据泄露调查报告的分析,该数据来自Verizon和其他组织在去年进行的违规调查获得的数据,通过简单或中间控制可以避免97%的安全事件。 但是,业务影响是确定实际风险的关键因素。 例如,威胁到关键业务资产的漏洞所代表的风险远高于与不太关键的目标相关联的漏洞。
合规状态通常与资产的业务重要性无关。 取而代之的是,补偿控件通常被应用并进行相应的测试。 如果不清楚资产对组织所代表的业务重要性,组织将无法确定补救措施的优先级。 风险驱动的方法可同时解决安全状况和业务影响,从而提高运营效率,提高评估准确性,减少攻击面并改善投资决策。
如前所述,风险受三个关键因素影响:合规性,威胁和漏洞以及业务影响。 因此,必须将有关风险和合规性的关键情报与当前,新的和正在出现的威胁信息进行汇总,以计算对业务运营的影响并确定补救措施的优先级。
全面了解风险的三个要素
实施基于风险的安全方法包括三个主要部分:- 持续合规性包括资产核对和数据分类自动化,技术控制对齐,合规性测试自动化,评估调查的部署以及数据整合的自动化。 通过持续的合规性,组织可以利用通用的控制框架来减少重叠,从而提高数据收集和数据分析的准确性,并减少多达75%的冗余以及人工劳动密集型工作。
- 连续监视意味着数据评估的频率增加,并且需要通过汇总和标准化来自各种来源(例如安全信息和事件管理(SIEM),资产管理,威胁源和漏洞扫描程序)的数据来实现安全数据自动化。 反过来,组织可以通过统一解决方案,简化流程,创建态势感知以及时暴露攻击和威胁以及收集历史趋势数据来降低成本,这可以有助于预测安全性。
- 基于风险的闭环补救利用业务部门内的主题专家来定义风险目录和风险承受能力。 此过程需要资产分类以定义业务关键性,连续评分以实现基于风险的优先级划分以及闭环跟踪和度量。 通过建立对现有资产,人员,流程,潜在风险和可能威胁的持续审查循环,组织可以大大提高运营效率,同时改善业务,安全性和IT运营之间的协作。 这使安全工作(例如解决时间,对安全操作人员的投资,购买额外的安全工具)得以衡量并变得有形。
风险与合规性的底线
法规遵从性法规从来没有被设计为驱动IT安全总线。 它们应在由风险评估,持续监控和闭环补救驱动的动态安全框架中发挥支持作用。
