身份驗(yàn)證和授權(quán)等�。”
5�、未將IT風(fēng)險(xiǎn)評(píng)估納入到企業(yè)評(píng)估
同樣地�����,企業(yè)需要了解IT風(fēng)險(xiǎn)與所有其他風(fēng)險(xiǎn)的相互作用��。通常�,企業(yè)將IT風(fēng)險(xiǎn)視為自己的風(fēng)險(xiǎn)類別�����,而沒(méi)有考慮其更廣泛的影響���。
SystemExperts的Johnson表示��,“越來(lái)越多的風(fēng)險(xiǎn)意識(shí)企業(yè)意識(shí)到IT是其業(yè)務(wù)成功的組成部分�,他們都在努力確保讓IT參與到業(yè)務(wù)風(fēng)險(xiǎn)談話中����,很多企業(yè)都有跨職能團(tuán)隊(duì),他們從整體來(lái)檢查風(fēng)險(xiǎn)以更好地了解依存關(guān)系��,這些團(tuán)隊(duì)會(huì)建議從業(yè)務(wù)的角度企業(yè)應(yīng)該側(cè)重的風(fēng)險(xiǎn)���?��!?/span>
6���、沒(méi)有進(jìn)行評(píng)估和忘記評(píng)估
專家警告稱,現(xiàn)在企業(yè)做的風(fēng)險(xiǎn)評(píng)估往往不夠��。而這是應(yīng)對(duì)不斷變化的威脅環(huán)境的唯一方法���。Rook咨詢公司安全顧問(wèn)Luke Klink表示:“定期執(zhí)行風(fēng)險(xiǎn)評(píng)估讓企業(yè)管理人員可以有效地利用其安全預(yù)算。通過(guò)進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估�,我們不再需要利用“遍地開(kāi)花式、乞求式(spray and pray)的保護(hù)方法��,而是以實(shí)際的方式執(zhí)行真正的風(fēng)險(xiǎn)管理�。”
現(xiàn)在最先進(jìn)的企業(yè)正在按照NIST方法來(lái)進(jìn)行持續(xù)監(jiān)測(cè)�,來(lái)更好地了解環(huán)境以及改進(jìn)評(píng)估間隔。他表示���,“這種方法提供了更好的風(fēng)險(xiǎn)可視性����、響應(yīng)準(zhǔn)備程度���,并最大限度地減少整體風(fēng)險(xiǎn)��,在現(xiàn)實(shí)中�����,安全風(fēng)險(xiǎn)ing顧應(yīng)該持續(xù)進(jìn)行����,甚至嵌入到企業(yè)的事件響應(yīng)管理過(guò)程,每個(gè)事件都會(huì)觸發(fā)高層次的風(fēng)險(xiǎn)評(píng)估�����。如果發(fā)現(xiàn)關(guān)鍵風(fēng)險(xiǎn)�����,企業(yè)將可以執(zhí)行更詳細(xì)的風(fēng)險(xiǎn)評(píng)估�����?��!?/span>
7����、執(zhí)行以漏洞為中心的評(píng)估
當(dāng)企業(yè)評(píng)估技術(shù)漏洞來(lái)確定風(fēng)險(xiǎn)時(shí),他們往往忘記�,數(shù)據(jù)本身的安全性或不安全性才是風(fēng)險(xiǎn)因素,而不是承載數(shù)據(jù)的系統(tǒng)�����。
Imperva公司安全戰(zhàn)略主管Barry Shteiman表示�,“風(fēng)險(xiǎn)評(píng)估通常是以漏洞為中心的,而不是以數(shù)據(jù)為中心�����,IT通常選擇保護(hù)包含數(shù)據(jù)的平臺(tái)��,而沒(méi)有真正了解系統(tǒng)中包含哪些數(shù)據(jù)����,以及誰(shuí)正在訪問(wèn)或者訪問(wèn)過(guò)這些數(shù)據(jù)�。”
企業(yè)應(yīng)該牢記�,在內(nèi)部網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的漏洞風(fēng)險(xiǎn)因素帶來(lái)的影響可能比不上訪問(wèn)IP和感染IP的用戶帶來(lái)的風(fēng)險(xiǎn)。
8���、忘記考慮設(shè)備的物理安全性
當(dāng)企業(yè)運(yùn)行其評(píng)估時(shí)��,經(jīng)常被忽視的一個(gè)問(wèn)題是物理安全性��。設(shè)施的物理安全通常會(huì)直接影響內(nèi)部的技術(shù)資產(chǎn)���。物理安全性不僅影響著員工的安全�、設(shè)備或硬拷貝數(shù)據(jù)資產(chǎn)的安全�����,而且還可能被用來(lái)植入秘密設(shè)備來(lái)允許攻擊者遠(yuǎn)程發(fā)動(dòng)攻擊�����。
9�����、過(guò)于依賴評(píng)估工具
幫助企業(yè)持續(xù)監(jiān)測(cè)IT資產(chǎn)的自動(dòng)化工具不應(yīng)該是風(fēng)險(xiǎn)評(píng)估的全部����。因?yàn)橛行╋L(fēng)險(xiǎn)必須要通過(guò)手動(dòng)滲透測(cè)試深入挖掘才能夠被發(fā)現(xiàn)。Rhino Security實(shí)驗(yàn)室量和創(chuàng)始人兼首席顧問(wèn)Benjamin Caudill表示:“通常情況下,最重要的風(fēng)險(xiǎn)只能通過(guò)專門的手動(dòng)分析被發(fā)現(xiàn)�����,例如網(wǎng)站的邏輯缺陷�。首席信息安全官應(yīng)該注意這個(gè)問(wèn)題,因?yàn)檫^(guò)于依賴風(fēng)險(xiǎn)評(píng)估工具會(huì)給帶來(lái)虛假的安全感��,不能找出某些漏洞����。”
10���、忘記衡量人的風(fēng)險(xiǎn)
Green Armor Solutions公司首席執(zhí)行官Joseph Steinberg表示�����,同樣地,企業(yè)必須記住��,系統(tǒng)和軟件漏洞只是風(fēng)險(xiǎn)評(píng)估的一個(gè)組件����。沒(méi)有考慮人類行為模式對(duì)風(fēng)險(xiǎn)的影響可能會(huì)導(dǎo)致最終風(fēng)險(xiǎn)評(píng)估結(jié)果無(wú)效。例如,風(fēng)險(xiǎn)評(píng)估可能會(huì)確認(rèn)只有正確的人能夠訪問(wèn)敏感的數(shù)據(jù)�����,然而���,評(píng)估可能不會(huì)是否進(jìn)行了評(píng)估員工培訓(xùn)來(lái)保護(hù)數(shù)據(jù)��。