價格報價軟件開發(fā)公司FPX高級運營總監(jiān)Gregory Blair表示,“有時候評估側(cè)重于非常特定的應(yīng)用程序����,但是沒有放眼整個基礎(chǔ)設(shè)施�����,例如�����,評估可能只會檢查保護數(shù)據(jù)庫的應(yīng)用程序�����,而沒有檢查整個計算控制,例如加密��、防火墻��、身份驗證和授權(quán)等�����?�!?/span>
5����、未將IT風(fēng)險評估納入到企業(yè)評估
同樣地����,企業(yè)需要了解IT風(fēng)險與所有其他風(fēng)險的相互作用。通常�,企業(yè)將IT風(fēng)險視為自己的風(fēng)險類別��,而沒有考慮其更廣泛的影響�。
SystemExperts的Johnson表示,“越來越多的風(fēng)險意識企業(yè)意識到IT是其業(yè)務(wù)成功的組成部分����,他們都在努力確保讓IT參與到業(yè)務(wù)風(fēng)險談話中,很多企業(yè)都有跨職能團隊�����,他們從整體來檢查風(fēng)險以更好地了解依存關(guān)系����,這些團隊會建議從業(yè)務(wù)的角度企業(yè)應(yīng)該側(cè)重的風(fēng)險?!?/span>
6、沒有進行評估和忘記評估
專家警告稱���,現(xiàn)在企業(yè)做的風(fēng)險評估往往不夠���。而這是應(yīng)對不斷變化的威脅環(huán)境的唯一方法。Rook咨詢公司安全顧問Luke Klink表示:“定期執(zhí)行風(fēng)險評估讓企業(yè)管理人員可以有效地利用其安全預(yù)算���。通過進行詳細的風(fēng)險評估����,我們不再需要利用“遍地開花式、乞求式(spray and pray)的保護方法�����,而是以實際的方式執(zhí)行真正的風(fēng)險管理�。”
現(xiàn)在最先進的企業(yè)正在按照NIST方法來進行持續(xù)監(jiān)測�,來更好地了解環(huán)境以及改進評估間隔。他表示��,“這種方法提供了更好的風(fēng)險可視性�、響應(yīng)準(zhǔn)備程度,并最大限度地減少整體風(fēng)險�,在現(xiàn)實中,安全風(fēng)險ing顧應(yīng)該持續(xù)進行���,甚至嵌入到企業(yè)的事件響應(yīng)管理過程�,每個事件都會觸發(fā)高層次的風(fēng)險評估���。如果發(fā)現(xiàn)關(guān)鍵風(fēng)險�����,企業(yè)將可以執(zhí)行更詳細的風(fēng)險評估�。”
7�、執(zhí)行以漏洞為中心的評估
當(dāng)企業(yè)評估技術(shù)漏洞來確定風(fēng)險時����,他們往往忘記,數(shù)據(jù)本身的安全性或不安全性才是風(fēng)險因素�����,而不是承載數(shù)據(jù)的系統(tǒng)��。
Imperva公司安全戰(zhàn)略主管Barry Shteiman表示���,“風(fēng)險評估通常是以漏洞為中心的���,而不是以數(shù)據(jù)為中心,IT通常選擇保護包含數(shù)據(jù)的平臺��,而沒有真正了解系統(tǒng)中包含哪些數(shù)據(jù)����,以及誰正在訪問或者訪問過這些數(shù)據(jù)?����!?/span>
企業(yè)應(yīng)該牢記,在內(nèi)部網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的漏洞風(fēng)險因素帶來的影響可能比不上訪問IP和感染IP的用戶帶來的風(fēng)險����。
8、忘記衡量人的風(fēng)險
Green Armor Solutions公司首席執(zhí)行官Joseph Steinberg表示���,同樣地�,企業(yè)必須記住�����,系統(tǒng)和軟件漏洞只是風(fēng)險評估的一個組件�。沒有考慮人類行為模式對風(fēng)險的影響可能會導(dǎo)致最終風(fēng)險評估結(jié)果無效。例如����,風(fēng)險評估可能會確認(rèn)只有正確的人能夠訪問敏感的數(shù)據(jù),然而�����,評估可能不會是否進行了評估員工培訓(xùn)來保護數(shù)據(jù)���。
9�、忘記考慮設(shè)備的物理安全性
當(dāng)企業(yè)運行其評估時,經(jīng)常被忽視的一個問題是物理安全性���。設(shè)施的物理安全通常會直接影響內(nèi)部的技術(shù)資產(chǎn)。物理安全性不僅影響著員工的安全����、設(shè)備或硬拷貝數(shù)據(jù)資產(chǎn)的安全,而且還可能被用來植入秘密設(shè)備來允許攻擊者遠程發(fā)動攻擊��。
10�、過于依賴評估工具
幫助企業(yè)持續(xù)監(jiān)測IT資產(chǎn)的自動化工具不應(yīng)該是風(fēng)險評估的全部。因為有些風(fēng)險必須要通過手動滲透測試深入挖掘才能夠被發(fā)現(xiàn)���。Rhino Security實驗室量和創(chuàng)始人兼首席顧問Benjamin Caudill表示:“通常情況下���,最重要的風(fēng)險只能通過專門的手動分析被發(fā)現(xiàn),例如網(wǎng)站的邏輯缺陷�。首席信息安全官應(yīng)該注意這個問題,因為過于依賴風(fēng)險評估工具會給帶來虛假的安全感����,不能找出某些漏洞��?���!?/span>