近日，美國電視頻道和品牌Nickelodeon被曝成為數據泄露的受害者。據消息人士透露，此次泄密事件發生在2023年初，但涉及的大部分數據“只與生產文件有關，與長格式內容或員工或用戶數據無關，而且似乎有幾十年的歷史。”這一模棱兩可的聲明的含義是：由于這些數據是舊的，與個人的個人身份信息(PII)或任何尚未公開的專有信息無關，這沒有被列入嚴重事件范圍。

讓我們假設Nickelodeon沒有因為這一事件受到任何實質性的傷害——太棒了!然而，很可能有一些我們不知道的事實。任何時候，只要專有數據最終到達了不應該出現的地方，安全專業人士的腦海中就應該響起警鐘。如果“幾十年前”的文件確實包含PII，結果會是什么?有些數據可能無關緊要，但有些可能是至關重要的。如果這些文件包含其他受保護或私有的數據，該怎么辦?如果他們損害了品牌的完整性怎么辦?所有企業都需要考慮“假設”，并將最壞的和基本的情況應用到他們當前的安全實踐中。

Nickelodeon一案提出了一個問題，即是否有必要保留“幾十年前”的數據。雖然保留歷史數據在某些情況下可以使企業受益，但保留的每一條數據都會增加公司的攻擊面并增加風險。為什么Nickelodeon要將舊文件保存在易于訪問的位置?如果文件位于單獨的位置，安全團隊很可能沒有對訪問文件應用足夠的控制。鑒于確保技術及其所有固有復雜性的成本已經高得驚人，CISO需要優先為所有安全項目和流程分配預算和勞動力，包括所有過去、現在和未來的數據保護項目和流程。

在經濟低迷的情況下，平衡系統安全和預算需要技巧和悟性。然而，即使在繁榮時期，在這個問題上投入更多的資金也不總是有幫助的。沒有證據表明，安全支出的增加會按比例改善企業的安全態勢。事實上，一些研究表明，過多的安全工具會導致更多的混亂和復雜性。因此，首席財務官應側重于業務風險容忍度和降低。

網絡風險管理的方法

因為沒有兩個企業是完全相同的，所以每個CISO都必須找到一種與企業的目標、文化和風險承受能力相一致的網絡風險管理方法。預算在這里也發揮著重要作用，但如果安全目標與業務目標保持一致，獲得更多預算將是一項更容易的任務。在評估了這些考慮因素之后，CISO可能會發現他們的企業采用一種或多種核心風險管理方法。

基于風險容忍度的方法

每家公司--甚至公司內部的每個部門——都對他們愿意承擔的風險的數量和類型有一定的容忍度。特定于安全的容忍度必須基于期望的業務結果;網絡安全風險不能僅基于網絡安全努力來確定或計算，而是這些努力如何支持更大的企業。

要使網絡安全與業務風險保持一致，安全團隊必須通過考慮以下問題來解決業務彈性問題：

• 如果發生網絡安全事件，業務會受到怎樣的影響?
• 網絡事件或數據泄露對生產效率、運營和財務有何影響?
• 企業內部處理活動的能力有多強?
• 需要哪些外部資源來支持內部能力?

有了這些問題的答案和支持它們的指標，就可以適當地設置網絡風險級別。

基于成熟度的方法

如今，許多公司根據他們認為自己的網絡安全團隊和控制措施的成熟程度來評估他們的網絡風險承受能力。例如，擁有支持全部經驗員工的內部安全運營中心(SOC)的公司可能比僅僅啟動和運行其安全團隊的公司更有能力處理持續監控和漏洞分類。成熟的安全團隊擅長對關鍵漏洞進行優先排序和補救，并在迫在眉睫的威脅上縮小差距，這通常會使他們具有更高的安全風險容忍度。

也就是說，許多SOC團隊被數據、警報和技術維護壓得喘不過氣來，無法專注于降低風險。如果一家公司決定采用基于成熟度的方法，它必須做的第一件事是誠實地評估自己的安全成熟度、功能和有效性級別。一個真正成熟的網絡安全企業可以更好地管理風險，但無論成熟程度如何，自我意識對安全團隊來說都是至關重要的。

基于預算的方法

如今，預算限制在企業的各個方面都很普遍，運行一個人員齊全、裝備齊全的網絡安全計劃在成本方面并不劃算。然而，擁有大量員工和技術的企業在安全性或風險方面并不一定表現得更好。這一切都是關于精通預算，這將是對現有系統的真正稱贊。

投資于將企業推向零信任架構的工具，首先關注安全基礎和良好衛生。通過奠定正確的基礎，并擁有稱職的員工來管理它們，網絡安全團隊將比在沒有掌握CIS頂級控制的情況下實施最新和最偉大的工具：企業和軟件資產的庫存和控制、基本數據保護、安全配置管理、強化訪問管理、日志管理等更好。

基于威脅的方法

基于威脅的風險管理方法的一個重要方面是理解漏洞和威脅不是一回事。公開的漏洞可能導致威脅(因此應該成為每個企業安全流程和計劃的標準部分)。然而，“威脅”指的是漏洞有可能被利用的人或事件。威脅還依賴于系統或資源的上下文和可用性。

例如，Log4Shell漏洞利用了Log4j漏洞。該漏洞對運行該實用程序的未打補丁版本的企業造成威脅。沒有運行未打補丁的版本的企業——沒有威脅。

因此，各企業必須具體了解：

• 其IT產業中的所有資產和實體。
• 這些資產的安全衛生狀況(時間點和歷史)。
• 資產的背景(非關鍵、業務關鍵;暴露在互聯網上或有空隙;等等)。
• 為確保這些資產的安全而實施的和操作的控制。

有了這些信息和環境，安全團隊就可以開始構建適合企業及其風險承受能力的威脅模型。反過來，使用的威脅模型將允許團隊對威脅進行優先排序和管理，并更有效地降低風險。

基于人員、流程和技術的方法

人、流程和技術(PPT)通常被認為是技術的“三大支柱”。一些安全專家認為PPT是一個框架。無論從哪個角度來看，PPT都是最全面的風險管理方法。

PPT方法的目標是允許安全團隊全面管理風險，同時納入企業的成熟度、預算、威脅概況、人力資源、技能集和整個企業的技術堆棧，以及其運營和程序、風險偏好等。一個平衡良好的PPT計劃是一個多層次的計劃，它均勻地依賴于這三個支柱;其中一個領域的任何弱點都會傾斜天平，并使安全團隊更難取得成功-并管理風險。

結束語

每個企業都應該仔細評估其個人能力、業務目標和可用資源，以確定最適合它們的風險管理戰略。無論選擇哪條道路，安全團隊都必須與業務保持一致，并讓企業利益相關者參與進來，以確保持續的支持。