網(wǎng)絡(luò)安全和網(wǎng)絡(luò)威脅這倆詞兒常與網(wǎng)絡(luò)風險搞混，而且經(jīng)常被交換使用，但它們真心天差地別。這幾個概念之間的差異在哪兒？到底是什么真正定義了公司的網(wǎng)絡(luò)風險態(tài)勢、內(nèi)部風險態(tài)勢和公司風險環(huán)境中的威脅可利用性呢？

上月在舊金山舉行的 2017 RSA 大會，可謂安全行業(yè)的一個剪影。最大的收獲是：幾十年對著清單打勾勾的合規(guī)驅(qū)動式安全方法之后，“風險”終于成為了安全的新合規(guī)。終端用戶和廠商都在談?wù)擄L險，各種形式的風險。

雖然這是個好的發(fā)展趨勢，本次大會依然表現(xiàn)出了存在于網(wǎng)絡(luò)風險、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)威脅之間內(nèi)在聯(lián)系上的混淆。某廠商甚至宣稱“威脅就是新風險”。而這在風險專家看來，就是明晃晃的無知。什么才真正定義了網(wǎng)絡(luò)風險？網(wǎng)絡(luò)風險是由多種因素構(gòu)成，包括合規(guī)形勢、威脅、漏洞、可達性和業(yè)務(wù)關(guān)鍵性。

我們必須認識到一個事實，那就是：僅僅關(guān)注來自內(nèi)部安全情報的發(fā)現(xiàn)，比如漏洞掃描、配置管理數(shù)據(jù)庫、SIEM系統(tǒng)等等，會導(dǎo)致修復(fù)行動的偏差和資源分配的不足。2014的“貴賓犬”漏洞就是個很好的例子。國家漏洞數(shù)據(jù)庫(NVD)給該漏洞打的通用安全漏洞評分(CVSS)是5.5分，而滿分是10，這就造成大多數(shù)公司都選擇不對其進行修復(fù)。

通常，公司企業(yè)僅修復(fù) CVSS 7分及其以上的漏洞——為了能夠應(yīng)對自身環(huán)境中持續(xù)的漏洞攻擊。然而，如果企業(yè)早知道幾十萬“貴賓犬”漏洞利用被執(zhí)行，他們大概就會修改自己對該漏洞的評估了。

安全事件的發(fā)生需要兩個條件：必須出現(xiàn)某種形式的漏洞(例如：軟件缺陷或不安全編程；IT基礎(chǔ)設(shè)施的不安全配置；不安全業(yè)務(wù)運營；內(nèi)部人或其他人惡意進行或誤操作的風險行為)，以及得有威脅利用該漏洞。

一般情況下，安全人員無法直接控制威脅。因此，公司更傾向于專注已知的更顯眼的事實——漏洞和控制失敗，而忽略網(wǎng)絡(luò)風險評估中的威脅因素。但是，隨著過去幾年漏洞數(shù)量的大幅增長，如果不審查漏洞被利用的影響和可能性，幾乎不可能修復(fù)所有漏洞。關(guān)鍵在于，為什么要分配資源去修復(fù)根本沒有相關(guān)威脅且不可及的漏洞呢？

鑒于威脅就是利用漏洞的人，該關(guān)系必須是風險評估過程中的一個關(guān)鍵因素。它可再不能被當成拖油瓶來看待了。事實上，高級安全運營團隊采用威脅情報來獲得威脅人士（比如黑客、有組織犯罪團伙，或者國家支持的攻擊者)的能力、當前活動和潛在計劃方面的洞見。

一旦內(nèi)部安全情報與外部威脅數(shù)據(jù)(比如漏洞利用、惡意軟件、威脅人士、信任情報)融合，這些發(fā)現(xiàn)就必須與業(yè)務(wù)關(guān)鍵性相聯(lián)系起來，這樣才能確定安全漏洞的真正風險，以及它們對業(yè)務(wù)的最終影響。

總之，網(wǎng)絡(luò)風險，是公司在外部威脅上下文中，對內(nèi)部安全漏洞潛在暴露面的整體視圖。網(wǎng)絡(luò)風險管理除了帶來運營優(yōu)勢，還更好地關(guān)聯(lián)起了各方利益相關(guān)者，比如董事會、高管層、業(yè)務(wù)部門，以及安全和IT運營團隊，甚至內(nèi)部/外部審計員。