技术漏洞的风险评估

陈顺洲
作者: 陈顺洲,CISA, CRISC, CISM, CGEIT, CCSP, CISSP, PMP
发表日期: 2023年4月26日
相关: 利用风险评估减轻技术漏洞

在过去的十年里,随着技术的快速发展和数字化的增加, 复杂技术漏洞的数量也有所增加.

作为航空行业的信息安全经理, 我必须通过订阅的威胁情报服务(如VulnDB)或通过接收来自当地航空当局(例如航空安全管理局)的安全建议和警报来更新最新漏洞或暴露.e.(新加坡民航局). 在一些引人注目的情况下(如log4j漏洞), 我的客户还将与我一起检查我们部署的解决方案或服务是否包含受特定漏洞影响的产品.

根据美国国家标准与技术研究院(NIST)的美国国家漏洞数据库(NVD), 超过23,在2022年发现了000个常见漏洞和暴露(在撰写本文时), 相对于大约20,到2021年,将有5000个常见漏洞和暴露. 但鉴于我有限的资源和时间,我无法一一研究. 因此, 我需要确保我专注于最重要的漏洞和资产,并解决365买球网站下载真正的业务风险,而不是将宝贵的时间浪费在不太可能被利用的漏洞上.

要确定要优先考虑哪些漏洞,可以使用基于风险的方法. 它有助于消除管理漏洞的猜测,并在将变更请求提交给变更批准委员会(change Approval Board, CAB)以作为变更管理过程的一部分进行批准时提供理由.

实施基于风险的方法, 第一步是对在同一时期发现的每个个别技术漏洞进行风险评估,并确保采取适当措施及时处理相关风险. 风险评估将包括三个标准阶段:风险识别, 风险分析和风险评价. 四种常见的风险反应类型是风险接受, 风险缓解, 风险转移和风险规避.

例如, 2022年11月, 思科发布了19个安全公告,涵盖了一系列思科产品的35个漏洞. 其中包括八个高影响力的咨询,涉及八个解决拒绝服务条件的漏洞, 默认凭证和安全引导旁路. 因此, 那些与我的组织没有使用或无关的思科产品, 我不需要进行风险评估. 对于那些与我的组织使用或相关的思科产品, 我需要进行风险评估, 并基于每个技术漏洞的风险等级, 将根据组织的风险偏好或风险承受能力选择适当的风险应对措施.

技术漏洞的风险评估旨在补充组织现有的综合安全风险评估, 而不是取代它. 符合国际标准化组织/国际电工委员会(ISO/IEC)标准ISO/IEC 27001 资讯安全管理, 365买球网站下载应按计划的时间间隔或在提出或发生重大变更时执行信息安全风险评估.

视当地法律法规而定, 在一定的时间间隔内进行全面的安全风险评估可能是强制性的. 例如, 在新加坡, 关键信息基础设施的所有者必须进行网络安全 风险评估 以订明的形式及方式,每年最少一次.

在任何情况下,风险评估应该是一个持续的活动和日常操作的一部分.

编者按: 想要进一步了解这个话题,请阅读作者最近在《外围买球365app》上发表的文章, “通过风险评估减轻技术漏洞”, ISACA期刊,第1卷2023.

ISACA杂志