難以避免的洩漏事故怎麼解？

世界各地的企業都在擔憂網路安全威脅問題，特別是每天看到大量竊取資訊和智財權的網路入侵報告，以及新型漏洞利用方法的興起，包括勒索軟體、高階持續性威脅和內部威脅等。

讓問題更嚴重的是當前快速變化的運營環境，包括雲計算、物聯網、移動和遠端使用者，以及需要為使用者攜帶的任何網路裝置提供支援，在這種情況下，如何、在**部署何種安全措施的問題變得難以回答。

在2023年的採訪中，前fbi局長james comey稱，「在美國主要有兩種公司，即那些被中國攻擊的公司，以及不知道他們已經被中國攻擊的公司。」

一年多後，在2023年1月的世界經濟論壇中，思科前首席執行官john chambers稱：「主要有兩種型別的公司：已經被攻擊的公司以及還不知道已經被攻擊的公司。」

這些言論是表明網路安全洩露事故不可避免?如果遭遇網路安全洩露事故不可避免，如果真的不可能阻止洩露事故，那麼，試圖保護資訊和資訊系統是不是浪費時間和金錢?

如果網路安全洩露事故真的不可避免，企業就不會將重要智財權和個人及財務資訊儲存在聯網系統。但企業沒有那樣做，這說明使用聯網系統肯定具有超越這種風險的優勢。

網路安全是管理風險的過程

儘管網路安全洩露事故不可避免，我們仍然可以而且應該保護資訊。在任何風險受管理的環境中，如果風險不可阻止或避免，總是有可部署的戰略。事實上，風險管理的前提是，任何風險情況的不確定性都不能完全消除。

如果不確定性可以消除，則風險也可消除。如果網路安全洩露事故不可避免，或者網路安全洩露事故的風險不是零，則可使用兩種基本保護策略。第乙個是降低網路安全洩露事故發生的可能性，第二是當網路安全洩露事故發生時降低影響或損害。

這些基本保護策略適用於管理任何型別的風險，包括網路安全風險。管理網路安全風險的一般方法非常簡單。

首先，確定對業務運營至關重要的資產。在這種情況下，應確定必須受保護的資訊資產。除原始資料之外，資訊資產可能包括人員、流程和技術。

其次，風險評估過程需確定可能通過不必要披露、未經授權修改或失去資訊資產訪問許可權而損害資訊保安的風險情況。這裡的風險元件很少。

網路安全入侵的一般情況如下所述：攻擊者利用漏洞並破壞資訊資產的安全性。在這種情況下，風險的元件是漏洞，而漏洞利用可利用這個漏洞，並且，攻擊者願意利用這個漏洞利用來破壞資產安全性。

在這種一般網路安全洩露情況中，網路安全管理員唯一可控制的是網路中存在的漏洞。因此，管理網路安全風險的最後一步是發現和消除或修復漏洞。

理想情況下，在發現漏洞後，應立即消除漏洞。消除漏洞也可消除漏洞被利用的所有威脅情況，從而降低漏洞利用的可能性。

優先排序網路安全風險

在其核心，風險管理是決策支援工具。當確定所有相關網路安全風險情景後，這裡的決策支援任務是對已確定風險情景進行優先排序。

如果沒有足夠資源來處理所有已確定的漏洞，則對網路安全風險緩解活動的優先排序很重要;即使有足夠資源來緩解漏洞，優先排序也很有價值，因為了解潛在影響至關重要。

結果與影響

漏洞的優先順序排序通常是根據其對企業的潛在影響，如果潛在影響是有限考慮因素，那麼了解這種影響非常重要。

當漏洞被利用時，會出現一些不必要的結果，例如不必要的披露、未經授權修改或失去對資訊資產的訪問。影響是指這些不想要的結果帶來的後果。

例如，如果hipaa隱私或安全法規涵蓋的健康記錄被盜，結果是資訊洩露，而對企業的影響可能包括強制性違規通知的成本以及潛在罰款和民事處罰--可能高達數百萬美元。

我們可根據多種方式根據潛在影響對漏洞緩解工作進行優先排序。常用優先順序排序工具是通用漏洞評估系統(cvss)，這為理解資訊科技漏洞的特徵和影響提供了乙個標準。美國國家標準與技術研究所維護的national vulnerability database為幾乎所有已知漏洞提供cvss評分。

即使使用cvss評分作為優先排序網路安全風險緩解活動的基礎，企業也必須確定這種方法是否對其有效。例如，如果某個特定漏洞的cvss評級為低或中等，很多企業會選擇不修復該漏洞。

但對於擁有很多系統(包括關鍵任務系統)的企業呢?這些企業需要了解的是，該漏洞對他們的潛在影響並沒有很好地通過cvss展現，實際影響可能比cvss評級高得多，而且企業應該修復該漏洞。

結論

即使網路安全洩露事故確實不可避免，但並非一切都會丟失，事實是，不可能完全消除網路安全洩露相關的不確定性。

管理不確定性的傳統方法是通過風險管理。在了解管理網路安全就是管理風險後，那麼，網路安全風險管理為什麼不能通過風險管理方法來管理?

難以避免的洩漏事故 怎麼解？