过去几年间,网络风险管理的重要性显著提升。企业不仅克服了疫情带来的运营挑战,还实现了向混合办公模式的转型,同时为重大地缘政治事件可能引发的连锁反应以及新兴网络风险做好了准备。
请通过收听 《监管科技报告》播客的"2022网络安全趋势"专辑,为您的阅读内容增添深度。完整收听本期节目,您将全面了解:如何构建强大的网络风险管理计划;美国证券交易委员会(SEC)拟议规则对上市公司网络风险策略、治理及事件披露的影响;网络安全框架中最常见的漏洞;新兴网络风险等诸多议题。
各国政府已投入大量资源建立专门机构,这些机构既负责监测威胁,也为企业和组织提供实用建议,旨在帮助其防范网络攻击、制定强有力的网络风险管理计划并确保韧性。
美国网络安全与基础设施安全局(CISA)和英国国家网络安全中心(NCSC)等机构定期发布报告,评估美国和英国企业在应对网络攻击方面的整体准备状况。其目的并非危言耸听,而是向企业领导者和团队普及新兴网络风险及其可采取的实际防护措施。 这类指导通常与企业内部信息安全团队的建议相呼应,并为加大网络安全项目及网络风险管理计划的投入提供了有力依据。
CISA网络风险与漏洞评估审查
美国网络安全与基础设施安全局(CISA)近期审查了其2021财年风险与漏洞评估报告,该报告涵盖了美国联邦政府及私营部门112家组织的风险与漏洞评估(RVA)。 本次评估重点揭示了恶意攻击者利用的网络攻击与渗透模式,包括初始入侵、攻击执行、持久驻留、权限提升及数据窃取等环节。报告同时强调了这些攻击对企业的实际影响,并针对每个环节提出了企业可采取的切实应对措施。
在2021财年审查中,CISA指出的关键风险包括网络钓鱼攻击和默认安全凭证的广泛使用。该分析报告强调,必须定期开展网络钓鱼攻击防范教育,并使用强密码且定期更换。 报告同时强调需定期审查入侵技术,以便当新型攻击手段出现时,组织能够迅速响应。其他重点问题包括:必须修改默认密码、定期更新软件并打补丁,以及发现并修复开放端口。
英国国家网络安全中心《网络安全威胁报告》
英国国家网络安全中心(NCSC)近期发布的报告也呼应了上述观点,特别强调了企业联网设备(ECD)所涉及的风险。ECD设备包括笔记本电脑、智能手机以及企业物联网(IoT)设备——这些物理设备(例如冰箱、烟雾探测器、摄像头和存在检测器)具备网络连接能力,可实现远程控制。 由于能为众多工作环境提供管理灵活性和效率提升,ECD设备广受欢迎。
然而,尽管电子通信设备(ECD)广受欢迎,但它们可能带来重大安全风险——因为多数员工缺乏对相关安全风险的认知,且这些设备在办公场所中难以被全面监控。英国国家网络安全中心(NCSC)的报告揭示了ECD存在的诸多威胁。 黑客常将其作为突破口,进而入侵其他更安全的系统。物联网设备缺乏可视性且普遍使用默认安全设置,使其成为横向攻击其他系统的理想载体——此类攻击可能导致数据窃取或勒索软件攻击。企业在供应链中使用此类设备同样构成威胁:即便企业自身制定了严格的电子通信设备政策并实施管控,其供应商却可能缺乏相应措施。
这种情况凸显了企业在资源和成本受限的情况下,如何最佳应对网络风险所面临的难题——这些风险既影响组织自身,也波及第三方。
赋能强大的网络风险管理能力
新技术能力的涌现正促使安全团队重新思考如何最有效地应对这类挑战。如今,他们能够提供一种替代方案来管理网络风险:将企业安全政策的实施与监控权交由终端用户及其管理者掌握,而非仅依赖于规模有限且超负荷运转的安全团队。
基于SaaS的方法意味着安全团队能够提供一个易于浏览的安全政策文档库,配备强大的搜索和问答功能,让员工能够以适合自身及项目进度的方式理解其安全义务。 教育与测试功能有助于提升员工应对新兴安全威胁的技能和意识。认证功能使员工能够记录并证明其如何遵守安全标准。人工智能能力则让信息安全团队能够在业务需求变化时,精准识别标准未被遵守的环节。
这种方法使信息安全团队能够以各方都能接受的节奏,更好地引导组织及第三方理解其网络安全政策。这也意味着信息安全团队仍可作为网络风险管理计划的最终决策者。
Mitratech的GRC平台提供一系列功能,涵盖关键的GRC应用场景,例如:网络风险管理、第三方风险管理、信息安全等众多领域。
请仔细浏览这组精心挑选的内容,它们旨在展示Mitratech如何助力各类组织提升其网络安全计划。
- 请查阅我们的手册:《网络风险管理》,全面了解在整个生命周期内构建成功网络风险管理计划的关键举措。
- 此外,请参阅我们的《网络弹性手册》,深入了解Mitratech治理、风险与合规(GRC)平台内提供的端到端集成功能。
