在當今數字化時代,網絡安全問題日益突出,威脅與風險成為我們需要面對和管理的重要挑戰。然而,很多人卻常常混淆這兩個概念。現在,讓我們來一起看看從網絡安全理念進階、威脅與風險的區別以及風險控制的本質三個方面來理解并厘清這些概念。
安全理念的進階
隨著科技的進步和信息化的加速發展,網絡安全也經歷了不斷演變和完善的過程。
最初階段,“亡羊補牢”階段,主要是事件驅動,即事后修復漏洞或應對攻擊事件,好比生病了才去看醫生;
后來進入了“料敵先機”階段,主要是威脅驅動,開始注重預測和偵查可能存在的威脅,采取主動防御或縱深防御措施;
現在進入了“未雨綢繆”階段,主要是風險驅動,在事前識別潛在風險并采取相應措施,以確保系統持久穩定運行。
從安全理念不斷升級,可以看出需要的技術和安全能力越強;從驅動因素變化,可以看出投入和獲得收益變化,事件驅動時投入最少,風險驅動時投入大但收益也最大,因此只有用風險驅動理念去做安全,數字安全產業規模就能持續擴大。參考保險業,2021年保費達4.5萬億元,2021年GDP達114萬億,保費占GDP的比重約為3.95%。
2021年中國數字經濟規模達到45.5萬億元,占GDP比重達39.8%,若安全占數字經濟的4%,將達到1.8萬億。保險行業只有保費,數字安全行業還有建設費用、運營費用等,因此,未來數字安全行業的市場空間將不斷擴大,機會無限。
威脅與風險的區別
理解威脅與風險的區別對于有效的網絡安全管理至關重要。但很多業內人士或網絡安全人士混用這兩個詞,究竟有什么區別呢?
第一個區別點:臨近VS遙遠。威脅是臨近,風險是遙遠,例如,在遙遠的大草原上,看到有一群灰犀牛,這對于我們是有風險的,等灰犀牛跑到我們面前,那就是真正地威脅到我們生命安全了。
第二個區別點:清晰VS模糊。威脅是清晰,風險是模糊。例如,疫情期間,小區出現陽性病例時,我們外出時必須戴好口罩,打疫苗、做核酸等;若是在新聞上看到外地其他流感病毒,風險很模糊,我們外出也需要戴上口罩、加強健身等。
第三個區別點:特定VS不定,某個端口被掃描、某個惡意病毒爆發都是特定,而風險是模糊的、不確定,一旦把風險確定了,風險就會轉化成威脅。
總結來說,威脅是有限的,風險是無限的,威脅是暫時,風險是永遠的,威脅會不停地來臨,那所有的威脅組成的一連串的過程我們稱之為風險,這是兩大本質不同。我們在使用風險和威脅的時候,請注意這兩個本質區別。
威脅是可以清除的,可以把威脅降到最低,但是風險是可以緩解無法清除,對于風險一定要做控制,控制講究的是平衡,投入多少、收益多少,這就是風險管理辦法。
風險控制的本質
對于有效的網絡安全控制,合理分配和利用有限資源至關重要。
首先,要明確最重要和最敏感的資產、系統或信息,并將更多資源投入到它們上。這樣可以確保重點部分得到充分保護,以防止可能導致災難性后果的攻擊發生。
其次,在進行風險評估時,需要考慮不同威脅事件發生的可能性及其帶來的損失規模。根據實際情況確定優先處理哪些風險,并通過適當策略和技術手段加以應對。
數世咨詢CEO李少鵬強調,“一定要把你的優先級確定好,然后再把你有限的資源投到最高優先級上,這就是風險控制的本質”。
數世咨詢基于行業觀察,提出來了基于風險理念的優先級技術(RBPT),四個核心要素:
? 安全左移。從開始寫代碼的時候就加強安全,并對全員進行安全意識培訓;
? 業務優先。根據自身行業屬性,來定義企業重要資產,不同行業重要資產也不同;不同部門對安全敏感性不同,根據實際情況分級;
? 上下文。一條警告如果不和上下文進行關聯分析,拓展分析沒有意義。云科安信的圖鑒產品屬于該方向。
? 持續迭代。安全風險一直存在,需要安全運營閉環,過去講PPDR(安全策略(Policy)、防護(Protection)、檢測(Detection)、響應(Reaction))、零信任等,因此防護技術也需要持續迭代。
數世咨詢
綜上所述,我們必須正確理解威脅與風險區別、理解風險控制本質,只有如此才能更好地保護我們數字化時代中日益增長的信息資產和系統安全。讓我們共同努力構建一個更加穩固可靠、充滿信心和安全的網絡環境。
CNCERT國家工程研究中心
安全牛
安全內參
安全圈
黑白之道
安全牛
D1Net
安全圈
安全牛
一顆小胡椒
信息安全與通信保密雜志社
數世咨詢
