在企業(yè)試圖對(duì)IT的安全作出更好的決策時(shí)，最重要的就是IT風(fēng)險(xiǎn)評(píng)估。然而，雖然企業(yè)進(jìn)行了風(fēng)險(xiǎn)評(píng)估，但他們經(jīng)常出現(xiàn)一些錯(cuò)誤，從而大大降低了風(fēng)險(xiǎn)評(píng)估的效果。下面是企業(yè)需要避免的10個(gè)風(fēng)險(xiǎn)評(píng)估錯(cuò)誤。

1. 忘記評(píng)估第三方風(fēng)險(xiǎn)

大多數(shù)IT風(fēng)險(xiǎn)專家都認(rèn)為，現(xiàn)在大部分企業(yè)都沒有評(píng)估供應(yīng)商和其他合作伙伴的基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)，而這些基礎(chǔ)設(shè)施通常會(huì)觸及企業(yè)最敏感的的數(shù)據(jù)。

咨詢公司SystemExperts公司副總裁Brad Johnson表示，“很多企業(yè)做得不夠的方面是管理與第三方供應(yīng)商的關(guān)系。當(dāng)企業(yè)沒有真正進(jìn)行其盡職調(diào)查(無論是在簽訂合同之前還是之后)，他們勢(shì)必將錯(cuò)過關(guān)鍵的細(xì)節(jié)信息，這將提高風(fēng)險(xiǎn)。舉例來說，客戶公司可能不知道其供應(yīng)商將其受規(guī)管的數(shù)據(jù)存儲(chǔ)在公共云中。”

2.評(píng)估過于量化

誠然，分析和數(shù)字對(duì)于風(fēng)險(xiǎn)評(píng)估非常重要。但企業(yè)需要了解，這個(gè)數(shù)字游戲并不需要過于追求完美，特別是當(dāng)涉及評(píng)估安全泄露事故的影響時(shí)。

“對(duì)安全事故影響的評(píng)估可以讓企業(yè)更容易地討論和關(guān)注如何緩解風(fēng)險(xiǎn)，而不是花大量時(shí)間來討論這種影響是價(jià)值2000萬美元還是21000美元，”Tripwire公司首席技術(shù)官Dwayne Melancon表示，“在你確定事故影響是災(zāi)難性的、令人痛苦的，或者沒什么大不了的，你就可以很好地討論你想要花多少錢來緩解最嚴(yán)重的風(fēng)險(xiǎn)。”

過度分析可能會(huì)拖垮整個(gè)評(píng)估過程，企業(yè)應(yīng)該避免花太久時(shí)間來進(jìn)行風(fēng)險(xiǎn)分類等工作。Citrix ShareFile的SaaS分部安全和合規(guī)性高級(jí)經(jīng)理Manny Landron表示，還有些定性風(fēng)險(xiǎn)因素，企業(yè)需要想辦法納入評(píng)估中。 “過于狹隘的焦點(diǎn)、采用嚴(yán)格的定量測量、沒有一個(gè)框架，以及沒有足夠的定期計(jì)劃的風(fēng)險(xiǎn)評(píng)估都是企業(yè)需要避免的錯(cuò)誤。”

3.評(píng)估的目光過于短淺

防火墻管理公司FireMon的Jody Brazil表示，這并沒有例外，大多數(shù)大型企業(yè)往往在其風(fēng)險(xiǎn)評(píng)估中忽略關(guān)鍵資產(chǎn)和評(píng)估指標(biāo)。他表示，“其中最常見的問題是識(shí)別漏洞為‘風(fēng)險(xiǎn)’，而沒有其他信息，例如可能提供對(duì)數(shù)據(jù)的訪問權(quán)限或者被利用，也可能將個(gè)人標(biāo)記為‘風(fēng)險(xiǎn)’，而沒有對(duì)特定風(fēng)險(xiǎn)資產(chǎn)進(jìn)行標(biāo)記。”

大多數(shù)企業(yè)沒有追蹤其基礎(chǔ)設(shè)施資產(chǎn)來很好地評(píng)估它們。更重要的是，即使他們經(jīng)常評(píng)估的完整的數(shù)據(jù)集，但這通常是在單獨(dú)的孤島進(jìn)行，使其難以了解相互依存關(guān)系。

價(jià)格報(bào)價(jià)軟件開發(fā)公司FPX高級(jí)運(yùn)營總監(jiān)Gregory Blair表示，“有時(shí)候評(píng)估側(cè)重于非常特定的應(yīng)用程序，但是沒有放眼整個(gè)基礎(chǔ)設(shè)施，例如，評(píng)估可能只會(huì)檢查保護(hù)數(shù)據(jù)庫的應(yīng)用程序，而沒有檢查整個(gè)計(jì)算控制，例如加密、防火墻、身份驗(yàn)證和授權(quán)等。”

4. 評(píng)估沒有考慮業(yè)務(wù)背景

IT風(fēng)險(xiǎn)評(píng)估完全是關(guān)于背景知識(shí)，無論是上文提到的系統(tǒng)情況還是業(yè)務(wù)情況。如果企業(yè)沒有將漏洞和威脅加入到信息資產(chǎn)的背景知識(shí)中，其對(duì)業(yè)務(wù)的重要性就不能真正反映在風(fēng)險(xiǎn)評(píng)估中。

大數(shù)據(jù)風(fēng)險(xiǎn)分析公司Brinqa的Amad Fida表示，“在評(píng)估風(fēng)險(xiǎn)時(shí)，很多時(shí)候，首席信息安全官缺乏對(duì)業(yè)務(wù)背景的了解。換句話說，他們需要詢問，‘什么數(shù)據(jù)被訪問了以及這它對(duì)業(yè)務(wù)的影響力?’沒有考慮業(yè)務(wù)方面的分析結(jié)果提供了一個(gè)技術(shù)觀點(diǎn)，而不是業(yè)務(wù)加技術(shù)的觀點(diǎn)。”

5. 未將IT風(fēng)險(xiǎn)評(píng)估納入到企業(yè)評(píng)估

同樣地，企業(yè)需要了解IT風(fēng)險(xiǎn)與所有其他風(fēng)險(xiǎn)的相互作用。通常，企業(yè)將IT風(fēng)險(xiǎn)視為自己的風(fēng)險(xiǎn)類別，而沒有考慮其更廣泛的影響。

SystemExperts的Johnson表示，“越來越多的風(fēng)險(xiǎn)意識(shí)企業(yè)意識(shí)到IT是其業(yè)務(wù)成功的組成部分，他們都在努力確保讓IT參與到業(yè)務(wù)風(fēng)險(xiǎn)談話中，很多企業(yè)都有跨職能團(tuán)隊(duì)，他們從整體來檢查風(fēng)險(xiǎn)以更好地了解依存關(guān)系，這些團(tuán)隊(duì)會(huì)建議從業(yè)務(wù)的角度企業(yè)應(yīng)該側(cè)重的風(fēng)險(xiǎn)。”

6. 沒有進(jìn)行評(píng)估和忘記評(píng)估

專家警告稱，現(xiàn)在企業(yè)做的風(fēng)險(xiǎn)評(píng)估往往不夠。而這是應(yīng)對(duì)不斷變化的威脅環(huán)境的唯一方法。Rook咨詢公司安全顧問Luke Klink表示：“定期執(zhí)行風(fēng)險(xiǎn)評(píng)估讓企業(yè)管理人員可以有效地利用其安全預(yù)算。通過進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估，我們不再需要利用“遍地開花式、乞求式(spray and pray)的保護(hù)方法，而是以實(shí)際的方式執(zhí)行真正的風(fēng)險(xiǎn)管理。”

現(xiàn)在最先進(jìn)的企業(yè)正在按照NIST方法來進(jìn)行持續(xù)監(jiān)測，來更好地了解環(huán)境以及改進(jìn)評(píng)估間隔。他表示，“這種方法提供了更好的風(fēng)險(xiǎn)可視性、響應(yīng)準(zhǔn)備程度，并最大限度地減少整體風(fēng)險(xiǎn)，在現(xiàn)實(shí)中，安全風(fēng)險(xiǎn)ing顧應(yīng)該持續(xù)進(jìn)行，甚至嵌入到企業(yè)的事件響應(yīng)管理過程，每個(gè)事件都會(huì)觸發(fā)高層次的風(fēng)險(xiǎn)評(píng)估。如果發(fā)現(xiàn)關(guān)鍵風(fēng)險(xiǎn)，企業(yè)將可以執(zhí)行更詳細(xì)的風(fēng)險(xiǎn)評(píng)估。”

7.過于依賴評(píng)估工具

幫助企業(yè)持續(xù)監(jiān)測IT資產(chǎn)的自動(dòng)化工具不應(yīng)該是風(fēng)險(xiǎn)評(píng)估的全部。因?yàn)橛行╋L(fēng)險(xiǎn)必須要通過手動(dòng)滲透測試深入挖掘才能夠被發(fā)現(xiàn)。Rhino Security實(shí)驗(yàn)室量和創(chuàng)始人兼首席顧問Benjamin Caudill表示：“通常情況下，最重要的風(fēng)險(xiǎn)只能通過專門的手動(dòng)分析被發(fā)現(xiàn)，例如網(wǎng)站的邏輯缺陷。首席信息安全官應(yīng)該注意這個(gè)問題，因?yàn)檫^于依賴風(fēng)險(xiǎn)評(píng)估工具會(huì)給帶來虛假的安全感，不能找出某些漏洞。”

8. 執(zhí)行以漏洞為中心的評(píng)估

當(dāng)企業(yè)評(píng)估技術(shù)漏洞來確定風(fēng)險(xiǎn)時(shí)，他們往往忘記，數(shù)據(jù)本身的安全性或不安全性才是風(fēng)險(xiǎn)因素，而不是承載數(shù)據(jù)的系統(tǒng)。

Imperva公司安全戰(zhàn)略主管Barry Shteiman表示，“風(fēng)險(xiǎn)評(píng)估通常是以漏洞為中心的，而不是以數(shù)據(jù)為中心，IT通常選擇保護(hù)包含數(shù)據(jù)的平臺(tái)，而沒有真正了解系統(tǒng)中包含哪些數(shù)據(jù)，以及誰正在訪問或者訪問過這些數(shù)據(jù)。”

企業(yè)應(yīng)該牢記，在內(nèi)部網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的漏洞風(fēng)險(xiǎn)因素帶來的影響可能比不上訪問IP和感染IP的用戶帶來的風(fēng)險(xiǎn)。

9. 忘記衡量人的風(fēng)險(xiǎn)

Green Armor Solutions公司首席執(zhí)行官Joseph Steinberg表示，同樣地，企業(yè)必須記住，系統(tǒng)和軟件漏洞只是風(fēng)險(xiǎn)評(píng)估的一個(gè)組件。沒有考慮人類行為模式對(duì)風(fēng)險(xiǎn)的影響可能會(huì)導(dǎo)致最終風(fēng)險(xiǎn)評(píng)估結(jié)果無效。例如，風(fēng)險(xiǎn)評(píng)估可能會(huì)確認(rèn)只有正確的人能夠訪問敏感的數(shù)據(jù)，然而，評(píng)估可能不會(huì)是否進(jìn)行了評(píng)估員工培訓(xùn)來保護(hù)數(shù)據(jù)。

10.忘記考慮設(shè)備的物理安全性

當(dāng)企業(yè)運(yùn)行其評(píng)估時(shí)，經(jīng)常被忽視的一個(gè)問題是物理安全性。設(shè)施的物理安全通常會(huì)直接影響內(nèi)部的技術(shù)資產(chǎn)。物理安全性不僅影響著員工的安全、設(shè)備或硬拷貝數(shù)據(jù)資產(chǎn)的安全，而且還可能被用來植入秘密設(shè)備來允許攻擊者遠(yuǎn)程發(fā)動(dòng)攻擊