李强

作为网络安全专业人士，经常發现自己在打一场艰苦的战斗。云计算、远程员工和软件即服务应用程序的增长继续扩大攻击面，为不良行为者提供了越来越多的机会。恶意黑客具有出其不意的优势，这种优势只会随着网络变得更加复杂而增长。威胁范围不断扩大，安全团队必须将方法从基于威胁的思维方式转变为基于风险的思维方式。这是如何处理安全问题的重大变化，从基于合规性和法规的结构转变为旨在降低整体风险的结构。当技术领导者开始自问“可能发生的最糟糕的事情是什么”时，该问题的答案可以帮助指导基于风险的方法，因为它突出了最坏的情况以及恢复所需的条件。

改变正在发生

许多大型组织已经开始转向基于风险的方法。基于威胁的方法通常侧重于满足独特行业要求的任务清单，但忽视了安全的关键组成部分———降低风险。

正如一些安全专家所说，合规本身并不等同于安全，它为组织提供了基准和目标，并减少了违规期间的罪责，但往往将安全作为事后的想法。

基于风险的安全方法采用公司的整体视图来评估其关键资产的位置，并系统地识别和优先考虑组织面临的威胁。基于风险的思维方式不是孤立地查看单个安全控制，而是更清楚地了解您在哪里以及有多大可能会被破坏。

基于威胁的方法旨在减轻主动和潜在威胁，这是基于黑客或已进入系统的恶意软件。一旦进入内部，这些不良行为者可能会造成损害，威胁缓解策略旨在快速识别它们并采取果断行动。

在当前基于威胁的系统中，业务流程和安全需求通常在孤立的环境中工作。基于风险的方法允许技术领导者确定资产的优先级、分配资源并创建系统的方法来缓解高风险领域。技术和业务领导者应共同确定安全性如何与所需的业务目标保持一致。

基于风险的方法的最佳实践

希望转向更基于风险结构的组织必须考虑许多因素。基于风险的方法包括执行组织风险评估、识别和实施所需的控制等。让我们来看看技术领导者的一些关键最佳实践：

定义对业务至关重要的所有资产并确定其优先级。技术领导者必须评估他们所有的技术资产，包括互联网上的技术资产，创建资产清单并确定每项资产的价值以及相关的固有风险是至关重要的第一步。

实施稳健的策略来定义哪些用户和系统需要访问关键资产。组织将通过基于风险的方法更加关注用户身份和访问，利用可创建限制用户移动的强大身份验证配置技术和工具。

实施零例外执行政策。制定访问控制并坚持执行，即使这可能很困难，但很关键，并且与当前流行的安全方法（如零信任）保持一致。

确保记录未经授权的访问尝试。保留和分析此信息可以帮助了解攻击企图的来源，这也有助于组织加强围绕流行目标的安全协议。

进行定期攻击和用户错误模拟。紧急情况不是学习的最佳时机，进行模拟可为习惯压力情况的团队成员提供宝贵的经验，并让他们为如何在紧急情况下迅速采取行动做好准备。

保持开放的心态这种向基于风险的方法转变在许多方面并不出人意料。通过改变思维方式，可以从长远角度看待威胁形势，并调整方法以遵循更大的模式。

作为安全领导者，永远不能安心地履行保护职责。事物在不断变化，我们也必须如此，技术领导者不能害怕放弃旧的想法，转而采用新的方法和思维方式。

当今的组织拥有越来越多的需要保护的技术资产。利用基于风险的方法并专注于提供可见性、自动化和对企业运营的真正洞察力的工具。应该寻找并通过定期培训和模拟让团队保持强大的身份验证工具。