网络风险评估是组织数据保护工作的一部分,旨在帮助公司识别、估计网络风险并确定其运营和业务资产的优先级。 任何依赖信息系统和技术开展业务的公司都需要进行网络安全风险评估。由于网络威胁在任何组织的安全中都是真实且代价高昂的项目,因此各种规模的公司都会通过检查可能的攻击路线、对业务的潜在影响以及潜在攻击的估计成本来评估围绕它们的风险。正是通过这样的计算,公司可以就其安全投资做出明智的决定。 什么是网络风险?网络风险是一个术语,用于说明在任何给定时间组织的技术领域中存在的所有潜在威胁。每天都有新的网络风险出现,导致企业的风险水平不断变化。网络风险取决于公司安全状况等内部因素以及黑客趋势、政治和金融环境、国家和国际法律、法规和政策等外部因素。 为什么要进行网络风险评估?需要对网络安全进行持续的风险评估,以评估:
网络风险评估的关键因素网络风险评估应回答以下问题:
这些应该从这些问题中推导出来:
回答这些问题将使所有利益相关者清楚而简明地了解安全在其组织中的地位,并将回答以下问题:
2023 年网络风险评估将考虑哪些因素?影响政治和经济格局的全球性问题并没有被网络犯罪分子忽视,并且正在影响各种规模和所有行业的公司的网络安全。安全预算的增加、俄罗斯对 OT 的威胁以及第三方服务的加速采用是我们将在 2023 年看到的一些大趋势,在网络风险评估中应该考虑这些趋势。 对网络风险量化的需求增加到 2023 年,全球 IT 支出将达到 4.6 万亿美元。从 IT 预算增加中受益最多的类别将是网络和信息安全,根据 Gartner 最近的预测,预计将占增加预算的 66 %。随着网络安全预算的增加,执行委员会将要求更清楚地了解网络安全成本。反过来,这将让位于对公司面临的网络风险进行衡量、量化和优先排序的需求增加。随着管理层和执行委员会对安全表现出更大的兴趣,网络风险量化将成为安全专业人员的必备技能。 运营技术面临更大风险恶意行为者早就了解 OT 系统作为攻击目标的价值,并在整个 2022 年对 OT 表现出越来越大的兴趣。这些黑客将在 2023 年对OT 环境表现出更大的兴趣,尤其是那些与关键基础设施相关的环境。这一趋势将使 OT 环境的网络风险评估成为来年特别重要的项目。 因此,随着各种规模的组织成为直接攻击的潜在目标或在针对政府和国家级机构的更大规模攻击中造成人员伤亡,强大的运营技术 (OT) 安全性将变得至关重要。这一趋势的罪魁祸首很可能是俄罗斯,俄乌战争继续成为俄罗斯针对西方实体的网络战的有力背景。 如果说俄罗斯在 2022 年让世界尝到了其攻击能力的滋味,那么在2023 年,它将继续努力推翻前苏联统治的国家。此类网络战的最近一个例子是 1 月和 2 月对乌克兰的攻击,这预示着两国之间的战争爆发。俄罗斯还可能尝试对西方实体发动更多攻击,其性质类似于 2022 年 10 月对 14 个美国机场网站的攻击,据信这些攻击是由亲俄黑客组织 Killnet 执行的。 继续采用第三方供应商公司业务需求的许多部分越来越依赖外包服务,导致整个 2022 年第三方数据泄露事件明显增加。为财富 500 强和全球100 强企业提供数据管理服务的 Morley Companies 在 2022 年遭到黑客攻击,导致 520,000 份受保护的健康信息 (PHI) 文件被泄露。同样在 2022 年的风口浪尖上,美国职业棒球大联盟的数据库被第三方咨询公司 Horizon Actuarial 入侵,该公司管理着 MLB 的健康和福利计划。2022 年 2 月,汽车制造巨头丰田在一家主要塑料供应商 Kojima 遭遇数据泄露后被迫关闭在日本的业务。 由于使用外包服务的成本效益优势以及第三方工具和功能的不断改进,这种趋势将在 2023 年继续,使第三方安全成为网络风险评估的突出部分。 执行网络风险评估的策略有效的网络风险评估策略将帮助公司评估其漏洞级别,应包括以下内容:
我们可以提供的帮助:我们为不同规模和行业客户提供评估、量化和减轻网络风险,以便他们能够做出更好的安全决策并投资于有效的补救措施。 在评估组织的网络风险时会考虑多种因素,包括攻击者的类型、处于风险中的业务资产以及漏洞的严重性。使用这些数据,绘制出可能的攻击路线,然后建议应该弥补哪些漏洞。 通过这种方式,帮助组织全面了解其网络风险并控制其网络安全计划,为每个建议的行动项目赋予真金白银的价值,以确保公司核心资产的安全。
|
|