摘要
- 现代 IT 生态系统包含设备、云服务、IoT 和影子资产,使风险面扩展到手动方法无法充分保护的范围之外。
- IT 资产管理和 IT 服务管理的自动化,可支持基于风险的漏洞优先级排序、持续检测与修复,以及减少手动工作负载的安全左移模型。
- 可持续的风险管理需要安全团队和 IT 团队开展透明沟通、关注工作负载、确立共同目标,并联合使用工具。
这就像一张来自旧时代、已经褪色的宝丽来照片:那时,一台运行集中式软件的计算机可以被安全地锁在办公室里。对于大多数组织而言,那个时代确实已经过去——或许令人怀念,却早已与当下现实脱节。
想一想,如今有多少设备、资产和人员会与企业的 IT 基础设施发生交互:
- 设备(台式机、笔记本电脑、移动设备和 IoT 设备——包括企业自有设备和个人设备)。
- 软件和应用程序(越来越多基于云,并且很大程度上不在组织的控制范围内)。
- 数字资产和文档。
- API 和集成。
- 内部人员、远程/混合办公员工、自由职业者、承包商和供应商。
此外,其中许多设备、应用程序和资产可能属于庞大的影子 IT 资产范围,而 IT 和网络安全团队可能对此并不可见。
这个不断扩展的生态系统催生了同样复杂的 IT 风险格局。未得到缓解的 IT 风险可能对企业财务、业务功能、员工士气和声誉产生重大影响。组织面临的网络安全威胁源源不断,再加上这些威胁可能造成的切实影响,使建立稳健 IT 风险管理流程的必要性变得十分明确。
在这份简明的 IT 风险管理指南中,我们将介绍:
- 什么是 IT 风险管理?
- IT 风险管理的五个步骤。
- 您应遵循的 IT 风险管理流程和策略。
- IT 风险管理的最佳实践。
什么是 IT 风险管理?
企业在组织和运营的几乎每个方面都会面对各种形式的“风险”。但当我们谈到 IT 风险管理时,指的是网络安全风险。
如前所述,随着复杂的 IT 流程和工具日益融入组织的日常运营,相关风险也在上升。IT 风险管理应运而生——这是一种将风险管理原则应用于 IT 组织的实践。
IT 风险管理包括识别、评估并优先处理可能影响组织资本和收益的风险。它还涉及采取措施,尽可能降低、监控和控制这些风险的影响。
简单来说,它的目标是保护宝贵的业务资产,确保遵守规则和标准,维护良好形象,做出充分知情的决策,并确保运营顺畅且具备韧性——即使在充满挑战的情况下也是如此。
风险管理对组织而言并不新鲜;这里的关键在于将成熟的流程和程序应用到日益扩展的 IT 参与网络中。在组织制定 IT 风险管理计划时,通常会涉及一些常见角色,例如风险经理和风险修复分析师——这些角色不仅需要深入了解通用风险管理实践,还应具备 IT 背景,以确保风险得到正确评估和修复。
新的网络风险格局
不过,一项重大挑战在于,IT 和网络安全团队必须应对的风险并非一成不变。事实上,它们持续变化的特性或许正是其显著特点,也是最大的风险来源。
过去五年,IT 风险管理的性质发生了显著演变,其范围和含义不断拓展,以应对持续变化的网络风险格局带来的挑战。
对 IT 风险管理进行简化这项工作正变得越来越复杂,因为它所面对的威胁在许多方面并不符合传统意义上对“风险”的定义。
定义 IT 风险及其影响的相关学科
让我们先回答一个基本问题:我们真正面对的是什么风险?因为这些风险已经不同于不久前的情况。
从根本上看,IT 风险可能表现为数据中心遭到入侵、个人计算机存在漏洞,或恶意病毒造成危害。但如今的威胁更加多样且更具流动性,这要求我们考虑基于风险的漏洞管理 (RBVM),并探索实现该流程自动化的方法。此外,我们还必须通过采用 DevSecOps 实践来主动预防风险。
为了奠定基础,我们先区分 IT 风险和安全风险:
- IT 风险是指涉及 IT 失效或误用的潜在负面结果。
- 安全风险是指可能对安全构成潜在威胁,或可能对组织造成损害的人或事物。
随着网络安全格局的变化,我们对威胁和漏洞的理解也被重塑:组织会面临威胁,而暴露于这些威胁的薄弱点就是漏洞。当这些漏洞被利用时,就会转化为风险。因此,IT 风险管理的关键在于管理 IT 漏洞。我们或许永远无法彻底消除威胁,但可以通过保持警惕的漏洞管理来调节和控制威胁。
IT 漏洞管理的两个核心学科是 IT 资产管理 (ITAM) 和 IT 服务管理 (ITSM),以及它们所部署的技术:
- ITAM 涉及在组织资产(包括物理资产和数字资产)的整个生命周期内对其进行跟踪和优化,以确保宝贵资源得到高效利用和妥善处理。
- ITAM 工具可管理硬件和软件资产等配置项 (CI),使 IT 能够在 CI 的整个生命周期内对其进行配置、优化和跟踪。
- ITSM 是指设计、交付、管理和改进 IT 服务的实践,旨在高效且有效地满足组织需求。其工具和最佳实践可提升 IT 跟踪、响应并服务最终用户及其他内部客户技术请求的能力。
- ITSM 工具还可以让用户通过解决简单且常见的技术问题实现“自助服务”,这是实现零级服务台支持的一部分。
- 还有一个有助于控制 IT 风险的学科是什么?暴露管理,这是一个新兴领域,旨在在潜在漏洞和安全风险被利用之前主动识别并加以缓解。
既然我们已经说明 IT 网络和网络威胁变得多么复杂,这些工具又如何帮助简化 IT 风险管理?
具备适当功能的 ITAM 和 ITSM 技术平台,可以帮助组织在闭环安全流程中统一 IT 运营,实现对漏洞的自动化、持续性和主动性检测、评估与修复。
当然,关键词是“自动化”。如果能够在漏洞影响用户之前完成补丁修复或问题修复,就无需人工干预,从而避免安全影响,甚至无需联系服务台。
将 IT 安全工作负载左移
因此,IT 正在使用的工具,尤其是 ITAM 和 ITSM,可以通过利用 ITAM 和 ITSM 自动化来帮助安全团队实现“左移”。它们能够以更少的人力和成本执行更多安全操作,并演进为主动风险修复。
ITAM 和 ITSM 自动化可以通过哪些方式帮助安全团队减轻工作负担?
改进最终用户的自助服务选项
对安全请求和问题的分流进行自动化,使较低级别的请求被路由至较低层级人员处理,从而让高级分析师从钓鱼邮件识别或类似任务中解放出来。在安全 Wiki 中为文件访问或策略豁免实施请求表单,从而支持零级自助式用户服务。
统一安全事件解决流程
将 IT 工单软件和优先级队列(由请求表单输入)重新用于安全场景,以更好地确定优先级、进行跟踪并补充上下文。
将后台 IT 自动化重新用于安全用例
ITAM 和 ITSM 中基于特定设置触发的主动 IT 自动化流程,可以被复制并调整,用于满足各种安全目的,例如保护端点环境和感知恶意活动。
设置自动化触发器
安全团队可以利用现有 CI,并在 ITAM 的配置管理数据库 (CMDB) 中创建自定义的安全专用变量,将其作为自动化公式的触发条件和组成部分进行跟踪。
自动执行安全策略
用于对用户执行通用计算机策略的相同 IT 功能,也可以报告并执行安全协议。例如,在检测到可能的策略违规或内部威胁时,它们可以发送警报。
简化 IT 风险管理的 5 个关键要点
简化和优化 IT 风险管理并不只是 IT 的责任。贵组织的网络安全团队显然也会高度关注任何能够提升现有流程和工具效率与成效的措施。因此,改进 IT 风险管理的许多关键步骤,都围绕 IT、安全团队以及其他利益相关者之间的沟通与协作展开。
如需更深入了解以下要点,请参阅我们的电子书《从对手到盟友》。
1. 安全团队应说明其计划和请求
避免直接下达命令,而应向组织利益相关者说明安全计划、变更和请求背后的策略与收益。在启动任何安全计划之前,CISO 应分享安全策略及其实施计划,因为缺乏说明的安全请求很容易让 IT 部门感到挫败。
由于时间和资源带宽有限,安全请求可能在没有说明为何需要变更的情况下就被发出。这会使 IT 难以落实这些请求。安全团队必须考虑其请求如何由 IT 部门实施。
2. 关注 IT 团队的负担
安全团队在提出请求前,应始终注意 IT 团队的工作负载;IT 团队可能正在处理更大型的项目,或人员不足以完成该任务。务必要寻找能够让 IT 团队更轻松地实施安全策略、请求和补丁的工具与系统。
将基于风险的漏洞管理 (RBVM) 与 ITSM 相结合,有助于通过自动优先处理重要任务并忽略优先级错误的任务,减轻 IT 的负担。
请思考这一点:在任意时刻,通用漏洞评分系统都会识别出约 25 万个漏洞,并将其归类为高、中或低风险。其中约 38,000 个已被武器化,约 11,000 个(即 4%)被视为危险漏洞。通过 RBVM 的视角,我们会发现,CVSS 标记的大多数“关键”风险其实并不真正关键——因为我们可以进一步锁定高中危漏洞中最危险的 4%。这种基于 CVSS 标准所识别漏洞的重新分类,会显著将注意力转向 IT 团队必须重点关注的真正关键漏洞。
3. 积极开展协作
共同努力简化 IT 风险管理的各部门必须开展协作,以实现互利共赢的结果。毕竟,各方都有自己的优先事项:IT 希望运营顺畅,而安全团队希望尽可能及时地管理问题。
通过合作并在构建 IT 风险管理协议和流程时保持灵活,双方都能取得成效。建立双方共同认可的服务级别协议 (SLA),就是实现这种灵活性的一种方式。
4. 建立共同目标
安全团队和 IT 团队拥有共同基础:双方都希望组织、用户和流程保持平稳运行。因此,IT 和安全领导层就目标达成一致,并设置关键绩效指标 (KPI)、仪表板和其他指标来跟踪并强化这些目标至关重要。
同样重要的是,组织需要了解制定战略目标所带来的影响,以便在这些目标确定之前,就明确其对产品、流程和人员可能造成的任何影响。
5. 主动提供支持
在安全团队和 IT 团队之间共享管理资源、技术专业知识和工具,可以降低成本并促进协作。例如,如果安全团队借用 IT 工具、策略和流程来满足自身用例,也应提供相应回报。
共享工具、仪表板和报告可以为双方理解彼此的工作领域创造背景,从而建立同理心和信任。
鉴于企业数字网络当前面临的广泛威胁,这种协作至关重要。