McAfee 安全观点

McAfee 安全观点

衡量风险，评估漏洞

随着威胁的日益增多，IT 部门及其安全专业人员承受的压力也越来越大。 每当出现新软件漏洞或新型恶意代码警报，IT 人员就会手忙脚乱地寻求合适的解决方法来尽快解决问题。 这种毫无章法的以具体事件为导向的解决方法不但会浪费大量时间和精力，而且不一定能为企业提供有效的防护。

因此，安全团队应当转变观念，为企业制定灵活的风险管理战略，集中有限资源向企业面临的最严重威胁开战。

McAfee 风险管理高级副总裁 George Kurtz 说：“任何企业都不可能有足够的人力和财力去完全消除潜在的 IT 风险。 因此，企业只能将面临的各种风险量化，然后，按照风险大小确定安全投资的顺序。”

为了量化风险并确定补救措施的优先顺序，Kurtz（随最近收购的 Foundstone 加盟 McAfee 管理团队）提出了一个模型，该模型从三个方面来考量风险：资产价值、资产漏洞和实际威胁。

资产价值：每分钟需处理价值数千美元交易的服务器显然要比客户服务代表的桌面机更重要。 因此，要制定一套智能的风险降低战略，企业必须清楚了解企业中各类 IT 资产的企业价值。

资产漏洞：除具有不同的企业价值外，IT 资产都还存在不同程度的固有漏洞。 与根本就不会连接到 Internet 的系统相比，为公共网页提供支持的系统肯定更容易受到攻击。 与距离企业安全外围数千公理之外的便携式计算机相比，锁在配线柜内的交换机面临的危险自然要小得多。

实际威胁：最后，安全小组需要清楚了解每一个特定资产面临的实际威胁。 例如，常用的商务操作系统比旧式系统遭受攻击的可能性要大。 虽然运行在旧式系统上的老的应用程序可能对公司具有很高价值，但它们遭受威胁的可能性会小一些，因此，对企业来说，这些旧系统上的应用程序所面临的风险可能比运行在 Microsoft® Windows® 或 Linux™ 上的应用程序所面临的风险要小得多。

综合考虑这三个因素，安全团队就能准确了解最大的业务风险所在，并据此确定风险降低举措的优先顺序。

企业可以从资产的业务价值、固有漏洞以及实际威胁三方面进行综合考虑，评估所面临的风险。

风险管理战略

除了解具体的风险等级外，安全团队还可以从其他角度来探索如何解决 IT 风险，以便大幅提高防护措施的有效性。 Kurtz 另外提出了四种可选风险管理战略：降低风险、接受风险、转移风险以及规避风险。

降低风险：这通常是人们遇到风险时头脑中的第一反应。 这一战略包括安全团队针对威胁所采取的各种应对措施，如防火墙、入侵检测和防病毒软件。

接受风险：如果解决风险的成本大于风险本身，或者解决该风险将使资源无法用于解决更为严重的风险，那么，就可以采取较为合理的行动 — 接受风险。

转移风险：在某些情况下，假如将有限的资源花费到风险降低上但却不可能取得明显的效果，那么将风险转移给第三方（如，保险公司）去处理则不失为明智之举。

规避风险：有时，风险的级别以及处理这种风险所要花费的成本高得实在令人难以接受。 这种情况下，最好采用规避风险的方式，方法可以是：撤掉会带来该风险的系统，或者不要将系统部署到重要位置。

Kurtz 说：“如果您认为不管什么样的风险，只要遇到则必须尽力缓解，那么不等风险绝迹，您的资源就已消耗殆尽了。 您必须根据 IT 环境的特点和安全预算的规模综合运用各种战略。”

安全团队通过尽可能实现风险管理流程（从资产发现和资产风险评估，到补救措施实施方法及成效验证）的自动化，可以进一步增强措施的有效性。

IT 研究机构 Gartner 提供的资料表明，与其他企业相比，通过实施正确的风险管理流程和技术来发现漏洞、确定漏洞的轻重缓急并针对漏洞采取补救措施的企业遭受攻击的可能性比其他企业要低 90%。

Kurtz 声称：“在这个问题上，最容易产生的误区是：我只需设立一道防火墙便可做到万无一失。 而实际上，安全级别很大程度上取决于你对各类风险的理解和管理，以及你如何集中有限资源来应对最严峻的安全问题。”

在本文完成后，McAfee 又推出了可提供类似功能的新产品。要了解更详细的信息，请参阅我们的产品部分。

了解更多信息

若要了解有关 McAfee® 风险管理解决方案的更多信息，请阅读白皮书：关键数字资产漏洞和威胁的管理战略(Strategies for Managing Vulnerabilities and Threats to Critical Digital Assets)。