美国政府最近禁止在政府网络中引入特定外国IT供应商的设备的努力,象征着全球供应链对组织领导人的担忧日益加剧, 强调技术系统和人类系统之间广泛的相互依赖关系. 寻求更高效率的组织领导者正在发现技术的融合, 人类, 供应链引发的网络安全风险需要更深入地了解这些孤立的流程如何在一个高度编排和复杂的系统中协同工作. 具体地说, 我们如何理解和衡量我们组织的人力系统的风险面?
尽管最近美国和中国在潜在威胁上关系紧张 中兴或华为 向美国政府系统和关键基础设施展示, 关于如何管理广泛的网络安全风险的指导方针一直在稳步发展. 国家标准,包括最新版的 NIST网络安全框架(CSF), 详细说明所关注的问题和考虑风险的需要,作为处理澳门赌场官方下载风险因素的健全和全面的行动计划的一部分. 然而,尽管框架, 指导, 控制, 其他标准强调了进行风险评估的重要性, 我们常常缺乏方法来评估风险的各个因素,以及它们如何在一个复杂的系统中组合在一起. 有一些方法,例如 公平这些机构最近出现,开始量化特定资产的网络风险,但迄今为止还没有 map 和 集成 技术、人力和供应链要素对任务功能的网络风险. 研究, 包括马里兰大学, 正在演示如何定义和测量人力和技术系统.
为相互依赖的系统建模网络风险的一个中心概念是将组织的任务业务功能与底层信息技术基础设施联系起来. 该映射功能中的每个设备都有用户连接到它, 以及一些供应链(例如.g. 硬件、软件、数据). 这种相互依赖的技术和人力网络的级联集正是网络安全作为新的攻击媒介持续存在和不断发展的问题的原因, 利用方法和技术. 笔记本电脑支持路由器, 服务器, 还有其他设备, 但人们也会触摸这些设备, 两者的结合支持任务/业务功能. 例如, 特定用户可能有权访问支持您的生产线的组织的某些设备. 然后,他们对每个设备保持一定级别的访问权限.g. 根特权), 他们可能更倾向于点击恶意链接, 最后,他们暴露于外部世界(包括物理和数字),使他们成为妥协的目标.
当你开始考虑 每一个 高层领导关注的任务/业务功能, 一系列看似令人眼花缭乱的组合出现,甚至压倒了最勇敢的风险管理者. 风险可能源于通过暴露系统中的漏洞进行的远程攻击, 点击鱼叉鱼的用户, 或者通过没有保持足够控制的供应商. 威胁参与者利用组织攻击面的技术和人员复杂性来实现他们的目标. 虽然将任务映射到技术和人际网络的任务似乎令人望而生畏, 防守者确实有优势……你了解你的组织. 而威胁行为者必须发现哪些系统和人员掌握着实现其目标的关键, 防御良好的网络可以集中资源进行评估, 架构师, 火车, 为设备辩护, 人, 以及支持最关键业务功能的供应链. 因此,在实践中减少用户对组织造成的网络风险可能需要我们根据用户的设备访问对特定任务构成更大风险的用户进行排名, 权限级别, 妥协倾向, 以及账户攻击面(社交媒体账户数量), 电子邮件, 等.). 供应链供应商也可以执行类似的活动. 我们能否根据硬件绘制和排序供应商的风险, 软件。, 他们为我们的组织提供数据, 排名来自于供应链的长度, 他们的供应商网络风险态势, 以及它们与我们的IT网络保持的连接的数量和重要性? 创建指数和排名,对组织中广泛的人为风险进行排序,从而实现培训资源的优先级排序, 技术和组织控制, 领导要把重点放在最重要的关系上, 人员, 以及支撑他们组织的技术系统.
由于使用了一套复杂的技术和人为攻击媒介,重大网络事件持续增加,因此需要一种评估系统性风险的新方法. 将任务映射到IT基础设施, 用户, 供应链提供了一种清晰的方式来讨论和深思熟虑地解决针对组织的任何数量的攻击场景. 没有这个连接地图的任务,没有人力和技术网络, 我们将继续迷失在网络事件的海洋中.
