是时候采取新的网络风险管理模式了
发布时间:2022-05-24 09:19:00 所属栏目:安全 来源:互联网
导读:激增的网络攻击面,庞大的漏洞量,复杂的威胁场景以及新的业务需求等诸多因素,都在呼吁新的网络风险管理模型的出现和运用。 当前所使用的网络风险管理模式显然已经无法适应时代的发展需求。虽然网络风险管理对于企业高管而言比以往任何时候都更为重要,但是
|
激增的网络攻击面,庞大的漏洞量,复杂的威胁场景以及新的业务需求等诸多因素,都在呼吁新的网络风险管理模型的出现和运用。 当前所使用的网络风险管理模式显然已经无法适应时代的发展需求。虽然网络风险管理对于企业高管而言比以往任何时候都更为重要,但是鉴于不断激增的攻击面,庞大的漏洞量以及复杂的威胁场景等因素,对于CISO和网络安全团队而言,想要有效地实现网络风险管理却变得更为困难。 即将发布的ESG最新研究表明,过去发挥过作用的网络风险管理模型如今已经不再是一种合适的选择,以下是部分调查结果提要: 所有网络风险管理投入都在快速增长,基本的网络风险管理公式如下所示: 所以,这就是问题所在——所有的一切都在迅速增长。整体攻击面(即设备、数据、基于云的工作负载、应用程序等)正在增长,从而导致更多的安全漏洞。例如,ESG研究中的一大亮点就是,各组织业务合作伙伴对第三方风险管理的需求日益增长,以防止发生类似OPM和Target的间接攻击事件。 与此同时,威胁也正变得更具针对性和复杂性。就其产生的后果而言,企业将需要处理更多的风险类型,包括财务风险、操作风险以及声誉风险等等。将所有这些变化叠加在一起,网络风险管理工作量就会不断增加并且变得更为专业化,而不良的网络风险管理实践所造成的后果必然是高风险、高成本的。 根本不存在网络风险管理基准这样的事情。风险管理任务——例如漏洞扫描、第三方风险审计以及渗透测试等——始终都是以定期(每月一次、每季度一次、每年多次等)和独立的方式进行。通常而言,这些活动是由审计师、法律法规甚至业务合作伙伴进行指导,而不是任何具有凝聚力和整体性风险管理策略进行指导。 这就是该方法的问题所在——一切都在不断变化,网络风险管理的每个方面都是相互关联的。因此,当一件事发生变化时,它就会影响其他一切。您如何做到在任何时间点对网络风险管理进行基准测试?答案是您不能!这也就意味着,我们必须接受这种认识,并努力进行持续的风险管理测量。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号