McAfee 安全觀點

McAfee 安全觀點

評量風險以掌握弱點

隨著資訊組織面對的威脅持續增加，安全專業人員容易不知所措。 每當新的軟體弱點或惡意程式碼警示出現，都會讓資訊人員希望盡快取得相關的修補程式。 結果可能是雜亂、只以事件為導向的動作，這些動作會耗費許多時間和精力，但卻不一定能對企業提供最大的保護。

相反的，安全性團隊應該開發智慧型風險管理策略，讓有限制資源能集中在對企業最大的威脅上。

「沒有一家公司有足夠的財力和人力能完全消除所有與 IT 相關的可能威脅，」McAfee 的風險管理資深副總裁 George Kurtz 解釋。 「所以您必須能夠將您所面對的風險量化，並按照安全性投資來排定優先順序。」

Kurtz 已加入因最近取得的 Foundstone 而成立的 McAfee 管理團隊；為了將風險量化並將修正的動作排定優先順序，Kurtz 建議建立一個模型，讓模型可透過以下三個因子來測量風險：資產價值、資產弱點和實際威脅。

資產價值：每分鐘處理數千美元交易的伺服器是很重要的資產，其重要性明顯比客服人員的桌上型電腦還重要。 所以，一個智慧型風險降低策略需要清楚的洞察到企業價值，這些企業價值可由整個企業中各種類型的 IT 資產所代表。

資產弱點：IT 資產除了具有不同的企業資產外，也有不同等級的固有弱點。 提供公開網頁的系統，比根本不與網際網路連接的系統更容易遭到入侵。 鎖在機箱中的交換器，暴露性比遠在公司安全範圍幾千哩之外的筆記型電腦還低。

實際威脅：最後，安全性團隊必須對任何指定資產所暴露的實際威脅有明確的概觀。 例如，與舊型系統相比，市面上普及的作業系統受到較多漏洞軟體的鎖定。 所以，雖然那些在舊型系統上執行的早期應用程式可能對公司有很高的價值，但鎖定這些應用程式的威脅非常的少，因此也代表它們對公司造成的風險遠低於在 Microsoft® Windows® 或 Linux™ 上執行的應用程式。

透過將這個屬性分解為因子，安全性團隊可以真正瞭解到最大的企業風險在哪裏，並相應地設定其風險減低活動的優先順序。

透過將資產的企業價值、其固有弱點和它實際面對的威脅密度化為為因子，便可計算出風險。

風險管理策略

除了了解特定的風險等級外，安全性團隊可以擴大他們處理 IT 相關風險的範圍，如此可大幅的增強他們的效率。 Kurtz 指出四個可能的風險管理策略：風險減緩、風險接受、風險轉移和風險避免。

風險減緩：第一個想到對風險的反應。 它包括安全團隊對威脅的所有處理措施，包括防火牆、入侵偵測系統和防毒軟體。

風險接受：如果處理風險的成本大於風險本身，或者如果處理風險會讓資源抽離，而使得資源無法處理更嚴重的風險，那麼合理的動作應該是就接受風險吧！

風險轉移：在某些狀況下，比起將有限的資源分配到不可能造成差異的風險減低上，將移轉給第三方 (例如保險公司) 要更加的謹慎。

風險避免：有一種狀況是：就是無法忍受風險等級和處理風險的成本。 在這些情況下，最好的方法是透過將有問題的系統退除，或是不要將該系統設置在重要的位置上，來完全避免風險。

「如果您認為您必須減緩碰到的每個風險，那麼在您將暴露問題處理完畢之前，資源可能便已用盡。」Kurtz 說。 「您必須使用根據您 IT 環境特性和您安全性預算多寡所制定的策略組合。」

安全團隊可以儘可能將最多的風險管理程序自動化來進一步增加效率；其中風險管理程序包括找出資產、評估與這些資產相關的風險、確定修復程序已正確執行並產生預期中的效果。

根據 IT 研究公司 Gartner 的研究，若組織實行適當的風險管理程序和技術來找出弱點，排定弱點優先順序並加以修復，那麼這些組織有 90% 較不可能成為成功攻擊的受害者。

「最大的迷思在於您認為只要設定防火牆，您自己就安全了。」Kurtz 說。 「事實上，您的安全等級絕大部分取決於您對於風險的瞭解程度、您如何管理各種形式的所有風險，和您如何將有限的資源集中，讓資源發揮最大的功效。」

自從撰寫這篇文章以來，McAfee 已經推出許多新的產品，它們也都提供類似的功能。 如果想要其他的資訊，請參閱我們的產品介紹。

了解更多資訊

閱讀白皮書「管理重要數位資產之弱點和威脅的策略」，以更加了解 McAfee® 風險管理的相關資訊。