当前的技术和信息系统 它是推动企业和组织前进和加速发展的重要工具。 包括将企业转变为数字社会。 (转型)使那些企业和组织面临更多来自网络威胁(Cyber Threats)的风险。 因此,它在企业和组织中扮演着非常重要的角色。 具有高度风险的网络威胁安全 准备应对威胁 网络风险包括人员、流程和信息技术工具方面的风险管理。 帮助提高政府和公共服务用户的信心和稳定性。
以泰国银行(BOT)的网络风险评估和网络风险管理为例,泰国银行(BOT)制定了信息技术风险监管标准。确保经营者在信息技术方面有良好的治理 有信息技术安全。 和适当的风险管理 管理信息技术风险的规则包括两个重要部分:
- 以泰国银行(BOT)的网络风险评估和网络风险管理为例,泰国银行(BOT)制定了信息技术风险监管标准。确保经营者在信息技术方面有良好的治理 有信息技术安全。 和适当的风险管理 管理信息技术风险的规则包括两个重要部分:
- 信息技术风险管理(IT风险管理),其重点是根据适当的信息技术风险管理标准获得资格。 有组织结构 照顾者的角色和责任的组成和分配 制定全面的信息技术风险管理政策,并根据国际标准工具原则 3 – 防线,根据服务或业务运营的性质监督信息技术风险,以监督运营和管理网络风险,检查措施
该图代表三道防线模型(内部审计师协会,2013 年)。
“防线模式”的主要目的是按照程序规定分级监管的原则。三道防线包括第一道防线、第二道防线和第三道防线。通过创建良好的治理流程和效率,并根据企业范围的风险管理框架成为管理的一部分,包括拥有足够的运营知识和专业知识的人员以及各级人员都了解网络安全,每个级别(线)。监督和监测网络安全
什么是网络风险?
网络风险是受敏感信息、财务或在线业务运营中断影响的趋势。 包括提供一些与企业经营和公共服务相关的服务。 网络风险通常与可能导致数据泄露的事件有关。 数据窃取 或破坏数据以致无法提供服务。 网络风险是对企业和组织运营的安全威胁。 网络风险的例子包括:
- 勒索软件是主要的恶意软件类型之一,旨在通过使用高级加密标准 (AES) 等方法对数据进行加密来攻击目标信息系统中的数据、文件和文档,这是业界最受信任的加密标准之一和旨在确保和保护数据安全的组织,以便机密数据不会受到损害。 出于这个原因,对手开发了恶意软件,通过加密目标的数据来利用这种加密,使它们在支付赎金之前无法访问。与勒索软件开发人员
- 数据泄漏 当敏感或机密信息无意中暴露在 Internet 或任何其他形式上时,就会发生数据泄漏。 删除的数据可能会通过闪存驱动器、外部硬盘或便携式计算机保存,也可能会丢失,这可能会带来恶意者获取敏感数据的风险。
- 网络钓鱼是一种诱骗目标输入个人信息的攻击形式。 机密信息 财务信息 身份证信息 使用各种方法允许目标向坏人发送该信息。 例如向诈骗目标发送电子邮件 “你有一定数量的提款。 如果没有,请点击下面的链接 取消交易”或“您很幸运只需填写此信息即可获得免费 iPhone”,当目标向坏人发送信息时,不希望使用该信息访问目标其他部分的人,例如财务信息 作为个人信息的各种系统代码信息
- 恶意软件(Malware)或恶意软件是由怀有恶意的人开发的软件。 窃取信息并破坏计算机系统 恶意软件分为几类,例如:
- 病毒(Virus)是对信息系统危害性很强的软件,其目的是攻击 封锁,使系统无法使用。
- 蠕虫(worms)是感染连接到内部和外部网络的信息系统的软件。 阻碍和扩大网络系统内的转发,使信息系统无法使用。
- 特洛伊木马(Trojan)是一种软件,其目的是拦截、更改或修改可能影响信息系统内数据完整性或可能导致信息系统内损坏的数据。
- 间谍软件 (Spyware) 秘密运行的恶意软件。 在计算机上并向远程用户报告。 间谍软件专注于窃取财务或个人信息。
- 广告软件是收集计算机系统使用信息并投放有针对性的广告的软件。 尽管广告软件可能并不危险, 但在某些情况下,广告软件可能会导致信息系统出现问题,从而将网站访问重新路由到不安全的网站。
- 勒索软件是一种软件,其目的是通过加密来攻击目标信息系统中的数据、文件和文档。 文件和文档,以便目标无法使用它们
- 内部威胁是组织内有权访问机密信息的人员可能发生的内部威胁,他们的访问可能会危及关键组织信息或系统。 这种类型的威胁可能是员工、供应商、承包商、合作伙伴或关系密切的人。 网络风险和漏洞有不同的工作方式。 漏洞是导致对手未经授权访问网络的漏洞,可能会在企业和组织的信息系统中造成网络风险。
网络安全风险评估 网络安全风险评估可帮助企业和组织了解、控制和减轻所有类型的网络风险。 这是风险管理和风险缓解的一个重要因素。 没有网络安全风险评估 可能会影响重要的信息和资源 它是企业和组织的实时行动。 实施网络安全措施 有一种基于OWASP风险评估的计算方法。
风险评估程序如下:
- 识别风险 是识别信息系统将发生的风险。
- 概率估计中的因素 是一个可以帮助确定概率的因素 这与威胁本身有关
- 影响评估因素 是影响信息系统运行的因素
- 确定风险的严重程度 是可能影响信息系统的严重程度
- 决定将来是否修复它。 未来有可能修复这个漏洞吗?
- 风险评估模拟 重要的是要有一个可定制的风险优先级框架供企业实施。
当进入网络威胁风险评估步骤时 考虑到具有低风险级别的漏洞意味着低严重性的漏洞。 高危漏洞定义为可能对信息系统造成较大破坏或严重程度较高的漏洞。 并且容易被攻击 使用漏洞严重性分析和风险评估的原则如下:
暴力
许多漏洞可能会阻碍 或终止服务 或损坏数据。
中 该漏洞不允许系统停止提供服务。 或者需要利用其他漏洞 有助于使系统终止服务。
低 该漏洞无法终止。 但要获取有关该服务的基本信息
网络风险评估由美国国家标准技术研究院 (NIST) 定义为用于识别的风险评估 评估风险并确定风险的优先级 对企业和组织的运作 企业和组织、个人、其他企业和组织以及国家因信息系统的运营和使用而产生的资产。 网络风险评估的主要目标是: 通知利益相关者并鼓励对新出现的风险做出适当的反应。 准备好能够为高管总结重要信息。 协助高管和董事做出有关安全的决定。
网络安全风险管理 网络安全风险管理是 优先排序指南 网络安全措施 它考虑了设计威胁的潜在影响。 用来攻击目标。 制定风险管理指南 建立网络安全的安全 哪些企业和组织正在兴起 它可能无法消除所有系统漏洞或阻止攻击。 全网络方式 通过网络安全风险管理 企业和组织应该注意系统的缺陷。 威胁趋势 以及最重要的针对企业的攻击。
NIST 网络安全框架功能支持创建网络安全风险预防策略。 网络和网络风险降低,以及网络风险管理,包括以下组成部分:
- 识别 识别功能有助于形成业务和组织对如何管理系统、人员、资产、信息和能力风险的理解。 其主要目的是识别可能容易受到此类威胁的所有人员、流程或系统。
- 保护保护功能支持限制或控制威胁影响的能力。 但是,其主要目的是通过消除或阻止漏洞来限制攻击威胁。
- 检测 检测功能确定事件以识别在正确时间发生的事件。 主要目的是,如果无法阻止威胁(即预防措施),如何知道发生了什么? 企业和组织正面临网络威胁。
- 响应 响应功能包括针对网络威胁采取适当的活动以减轻影响。 主要目标是识别威胁。 防止进一步损坏 声誉受损 或侵犯隐私
- 恢复 恢复功能包括确定适当的活动以维护弹性计划并在网络安全事件期间恢复受损的服务。 主要目标是使事件恢复到与以前相同或更好的状态。
风险评估的好处可以使管理层能够做出应对风险的决策,并有效地任命一名负责管理被评估风险的人。 和分析 企业或组织信息系统内的额外安全性 在风险评估之后 美国国家标准技术研究院(NIST)的Cybersecurity Framework Cyber Risk Management Framework也被确立为网络安全风险管理框架之一。 NIST 是业内最受欢迎的,它提供了端到端的活动图及其相关结果。网络安全风险管理的五个功能——识别、保护、检测、响应和恢复——是其中的一部分。对数字 4.0 时代企业和组织的运营。
Mr. Supachokchai Saetan
参考自:
- J. B. U. F. Stefan Varga*, “Cyber-threat perception and risk management in the Swedish financial sector,” ScieneDirect, p. 13, 201.
- A. S. I. K. Y. B.-M. Isabel Arend*, “Smart cities and cyber security: Are we there yet?A comparative study on the role of standards, third party risk management and security ownership,” ScienceDirect, p. 3, 2020.
- C. &. I. S. AGENCY, “DEFINING INSIDER THREATS,” CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, [ออนไลน์]. Available: https://www.cisa.gov/defining-insider-threats. [%1 ที่เข้าถึง18 11 2564].
- ธนาคารแห่งประเทศไทย, “กรอบการประเมินความพร้อมด้าน Cyber Resilience,” กรอบการประเมินความพร้อมด้าน Cyber Resilience ภายใต้หลักเกณฑ์การกำกับดูแลการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk Management), 2562.
- M. J. P. S. Radoica Luburić, “Quality Management in terms of strengthening the “Three Lines of Defence” in Risk Management – Process Approach,” Researchgate, p. 4, 2558.
- IIA Position Paper, “THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL,” p. 4, 2556.
-
This author does not have any more posts.