网络风险管理模式改变

激增的网络攻击面，庞大的漏洞量，复杂的威胁场景以及新的业务需求等诸多因素，都在呼吁新的网络风险管理模型的出现和运用。是时候采用新的网络风险管理模式了。

当前所使用的网络风险管理模式显然已经没法适应时代的发展需求。虽然网络风险管理对于企业高管而言比以往任什么时候候都更为重要，可是鉴于不断激增的攻击面，庞大的漏洞量以及复杂的威胁场景等因素，对于CISO和网络安全团队而言，想要有效地实现网络风险管理却变得更为困难。
即将发布的ESG最新研究代表，过去发挥过做用的网络风险管理模型现在已经再也不是一种合适的选择，如下是部分调查结果提要：
企业管理者的参与程度远远超过以往。几年前，企业高管的目标并非获取真正强大的安全性，他们想要的只是足够好的安全性就够了。当时的安全专业人士对这些并未付诸全力的网络安全工做感到遗憾和失落，他们迫切渴望拥有具有网络安全专业知识的首席执行官，可以真正投资于强大的网络安全控制和监督工做。ESG数据代表，现在企业高管和董事会的参与度和网络安全需求都要远胜以往。这迫使CISO和信息安全团队收集和分析更多的网络风险数据，并以业务友好型方式将其呈现给用户。数据代表，这已经推进了一种新的、更全面的网络风险管理模式的出现。
网络安全支出持续增长，但也出现愈来愈多的限制。网络安全预算每一年都在增加，而且这种趋势还会持续下去。事实上，企业高管们确实愿意增长支出以保护他们的组织，但同时他们也但愿更好地了解他们的钱究竟花到了什么地方?得到了哪些投资回报?
例如，若是预算增长，也就是CISO明年要求120万美圆网络安全支出而不是原计划的100万美圆，那么首席财务官(CFO)就会但愿了解这笔钱用到了哪些地方?企业为此得到了哪些额外保护?企业高管、GRC经理和网络安全专业人员正试图经过使用模糊指标分析不完整数据来弄清楚如何衡量网络安全支出的投资回报率。这里迫切须要改进。
全部网络风险管理投入都在快速增加，基本的网络风险管理公式以下所示：

因此，这就是问题所在——全部的一切都在迅速增加。总体攻击面(即设备、数据、基于云的工做负载、应用程序等)正在增加，从而致使更多的安全漏洞。例如，ESG研究中的一大亮点就是，各组织业务合做伙伴对第三方风险管理的需求日益增加，以防止发生相似OPM和Target的间接攻击事件。
与此同时，威胁也正变得更具针对性和复杂性。就其产生的后果而言，企业将须要处理更多的风险类型，包括财务风险、操做风险以及声誉风险等等。将全部这些变化叠加在一块儿，网络风险管理工做量就会不断增长而且变得更为专业化，而不良的网络风险管理实践所形成的后果必然是高风险、高成本的。
根本不存在网络风险管理基准这样的事情。风险管理任务——例如漏洞扫描、第三方风险审计以及渗透测试等——始终都是以按期(每个月一次、每季度一次、每一年屡次等)和独立的方式进行。一般而言，这些活动是由审计师、法律法规甚至业务合做伙伴进行指导，而不是任何具备凝聚力和总体性风险管理策略进行指导。
这就是该方法的问题所在——一切都在不断变化，网络风险管理的每一个方面都是相互关联的。所以，当一件事发生变化时，它就会影响其余一切。您如何作到在任什么时候间点对网络风险管理进行基准测试?答案是您不能!这也就意味着，咱们必须接受这种认识，并努力进行持续的风险管理测量。
该研究为咱们描绘了一幅清晰的图景：网络风险管理对于管理人员来讲变得愈来愈重要，但对于CISO和网络安全团队来讲则更为困难。
显然，当前的网络风险管理模式已被打破，必须作出改变，而这种变化很快就会出如今咱们面前。

原文来自：http://netsecurity.51cto.com/art/201812/588859.htm

本文地址：https://www.linuxprobe.com/network-risk-management-change.html编辑：冯瑞涛，审核员：逄增宝