为什么风险在信息安全中如此重要?
Posted: Sat Jul 12, 2025 5:33 am
风险提供了一种通用语言,使信息安全团队能够与信息安全之外的合作伙伴(例如工程和业务团队)进行沟通。风险管理推动着安全、工程和业务需求之间的成本效益决策。如果没有成熟的安全风险管理能力,信息安全团队即使在其他领域拥有扎实的能力,也难以取得成功。
建立成熟的安全风险管理能力的一项要求是能够衡量风险。然而,衡量风险并非易事。关于如何衡量风险,存在诸多观点,但尚无广泛认可的方法和全面的指导。NIST SP 800-55 Rev. 1《信息安全绩效衡量指南》提供了一个起点,但其更侧重于衡量绩效而非风险。
我也不声称拥有整体解决方案或流程;但是,我的经验告诉我三个关键步骤可以提供高 手机号数据库列表 投资回报,以增强您的风险衡量能力。
步骤 1:根据你的组织定制漏洞严重程度评分
如果您没有计算过,那么它就不是一个计算过的风险。
纳维德·阿卜杜拉
投资——希望、炒作和心碎
安全团队可能只专注于使用静态的第三方漏洞严重程度评分,而忽略了漏洞在其自身环境中的影响。这样做可以理解,因为组织通常存在许多漏洞,使用现有评分更容易。然而,如果团队只使用第三方漏洞严重程度评分,最终可能会错误地确定安全活动的优先级,从而使组织面临风险。
例如,大多数安全团队使用CVE(通用漏洞和暴露)记录作为公开已知漏洞的来源。这些 CVE 具有由通用漏洞评分系统(CVSS) 生成的漏洞严重性评分。CVE 的 CVSS 评分通常包含软件供应商或主题专家根据漏洞的一般性质提供的严重性评级。一些安全团队仅使用此评分来确定漏洞的优先级,但这种方法忽略了漏洞严重性不断变化的特性以及特定于组织环境的影响。
建立成熟的安全风险管理能力的一项要求是能够衡量风险。然而,衡量风险并非易事。关于如何衡量风险,存在诸多观点,但尚无广泛认可的方法和全面的指导。NIST SP 800-55 Rev. 1《信息安全绩效衡量指南》提供了一个起点,但其更侧重于衡量绩效而非风险。
我也不声称拥有整体解决方案或流程;但是,我的经验告诉我三个关键步骤可以提供高 手机号数据库列表 投资回报,以增强您的风险衡量能力。
步骤 1:根据你的组织定制漏洞严重程度评分
如果您没有计算过,那么它就不是一个计算过的风险。
纳维德·阿卜杜拉
投资——希望、炒作和心碎
安全团队可能只专注于使用静态的第三方漏洞严重程度评分,而忽略了漏洞在其自身环境中的影响。这样做可以理解,因为组织通常存在许多漏洞,使用现有评分更容易。然而,如果团队只使用第三方漏洞严重程度评分,最终可能会错误地确定安全活动的优先级,从而使组织面临风险。
例如,大多数安全团队使用CVE(通用漏洞和暴露)记录作为公开已知漏洞的来源。这些 CVE 具有由通用漏洞评分系统(CVSS) 生成的漏洞严重性评分。CVE 的 CVSS 评分通常包含软件供应商或主题专家根据漏洞的一般性质提供的严重性评级。一些安全团队仅使用此评分来确定漏洞的优先级,但这种方法忽略了漏洞严重性不断变化的特性以及特定于组织环境的影响。