IT安全漏洞、威胁与风险的区别,你都知道吗?
在当前的世界中,数据和数据保护是企业至关重要的考虑因素。客户希望您确保其信息的安全性,如果您不能保证信息安全,就会失去业务。许多拥有敏感信息的客户在与您开展业务之前,会要求您部署坚固的数据安全基础架构。基于这种考虑,您是否相信自己企业内的IT安全性?

与去年同期相比,尽管今年的安全事件数量降低了,然而引发损失的恶性事件数量却有所增多,受到安全事件影响的公司比例也随之提高。

在2017过去的大半年中,企业安全团队可谓忙得焦头烂额。5月12日爆发的WannaCry病毒,以及6月爆发的Petya、NotPetya攻击昭示了攻击规模的急剧增大。某些政府开发的攻击软件的泄露更是让黑客们如虎添翼。

IT行业通过发布安全补丁和更新勉强跟上对手的步伐,但由于物联网等新技术的应用,IT行业不得不应对层出不穷的新漏洞。

为了能够强有力地处理可能影响业务的数据安全问题,您必须了解三个核心要素的关系和区别——威胁、漏洞和风险。

目前,许多安全术语在热门科技新闻中几乎可以相互替换地使用,但实际上他们是不可替换的。不同的安全行话具有独特的的含义,并以特定方式来使用。例如,“风险评估”和“威胁评估”是指两种完全不同的事情,并且他们都因其自身原因及适用于解决不同的问题而具有价值。

威胁

所谓“威胁”是指特定类型攻击的来源和手段,通常是指新型或新发现的事故,这类事故有可能危害系统或您的整个组织。

威胁主要有三类:

  • 自然威胁(例如洪水或龙卷风);
  • 无意威胁(例如员工错误地访问了错误的信息);
  • 有意威胁。有意威胁的例子最多,最为常见的形式包括间谍软件、恶意软件、广告软件公司或者心存不满的员工的行为。此外,蠕虫和病毒也归类为威胁,因为这些可能通过自动攻击(不是人为)而危害您的组织。

面对上述威胁,您和您的团队应该:

1、确保您的团队成员了解网络安全的最新趋势,这样,他们就能够快速识别新的威胁。应订阅涉及这些问题的博客(例如Wired)和播客(例如Techgenix Extreme IT),并且加入专业协会,从而获取突发新闻推送、会议和网络研讨会信息。
2、您还应该定期进行威胁评估,同时评估不同的威胁类型。
威胁评估是为了确定最佳的办法,确保系统对某一特定威胁,或各类威胁的安全。渗透测试演习基本上是侧重于评估威胁概要,以帮助制定有效的对策来对付特定威胁所代表的各类攻击。
分析威胁有助于制定具体的安全策略,根据策略优先级进行实施,并了解要确保安全的资源的具体实施需求。
3、渗透测试还涉及现实世界威胁的建模,用于发现漏洞。

漏洞

所谓“漏洞”指的是可以攻击成功的系统安全缺陷,通常指一个或多个黑客可以利用的已知资产(资源)弱点。换句话说,它是一种使攻击能够成功实现的已知问题。

例如,在团队成员辞职而您忘记取消其对外部账户的接入权限、更改登录名或者将其姓名从公司信用卡系统中移除时,这会使您的业务暴露在有意和无意的威胁中。然而,大多数漏洞由自动攻击者利用,而不是由人员在网络另一端键入。

所以,在该种情况下,漏洞测试对于保证持续的系统安全就显得尤为重要。

所谓漏洞测试,就是识别漏洞,并在现有基础上由各方负责解决这种漏洞,并有助于提供数据以识别需要解决的安全隐患。

漏洞测试可识别弱点,并快速制定应对战略,这种漏洞不是特别的技术——它们也可以适用于社会因素,如个人身份验证和授权的政策。

漏洞测试有助于保持持续的安全,允许资源的安全负责人在新的危险产生时作出有效响应。提早选择合适的技术可以确保节省大量时间、金钱,进一步降低其他经营成本。

以下是在确定安全漏洞时需要回答的问题:
1、您的数据是否备份并存储在安全的场外地点?
2、您的数据是否存储在云端?如果是,这些数据如何防范云端漏洞?
3、对于哪种网络安全,您需要确定组织内谁有权访问、修改或删除信息?
4、目前使用哪种防病毒保护措施?许可证是否最新?是否根据需要的频率运行?
5、您在遭受漏洞攻击事件时是否有数据恢复计划?
了解您的漏洞是管理风险的第一步。

风险

风险是指在利用漏洞发出威胁时面临损失或破坏的可能性。风险的例子包括由于业务中断、失去隐私、声誉损害、法律问题而造成的财务损失,甚至可能包括失去生命。

风险也可以定义如下:风险 = 威胁 X 漏洞

您可以通过制定并实施风险管理计划而减少潜在风险。

以下是制定风险管理战略时需考虑的关键方面:

1、评估风险并确定需求。

风险评估是对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,并发现安全漏洞和隐患的过程,是控制风险的基本手段。

在设计和实施风险评估框架时,确定您需要处理的最重要违规事件的优先次序非常重要。尽管每个组织的频率可能不同,但这种程度的评估必须定期且持续进行。

2、包含相关利益人的全面观点。相关利益人包括业务所有人和员工、客户、甚至供应商。所有这些方面都有可能对组织产生负面影响(潜在威胁),但同时,他们也可以成为帮助控制风险的资产。

3、指定核心员工小组。他们负责风险管理,并确定这一活动所需的适当资金额度。

4、实施合适的政策和相关控制,并确保将任何及所有变化告知适当的最终用户。

5、监控并评估政策和控制效率。风险的来源不断变化,这意味着您的团队必须准备好对框架进行任何必要的调整。这也可能涉及新型监控工具和技术的整合。

最后

理解这些术语的正确用法是重要的,不仅是让你阐述时听起来言之有物,甚至也不只是为了方便交流,更重要的是,它还有助于开发和利用良好的策略。技术行话的特殊性反映了专家们确定专业领域区分的方式,并且能帮助自己澄清应如何应对这些问题带来的挑战。

×

产品演示

我们为您详细讲解产品和方案