網(wǎng)絡(luò)安全和網(wǎng)絡(luò)威脅這倆詞兒常與網(wǎng)絡(luò)風(fēng)險搞混，而且經(jīng)常被交換使用，但它們真心天差地別。這幾個概念之間的差異在哪兒？到底是什么真正定義了公司的網(wǎng)絡(luò)風(fēng)險態(tài)勢、內(nèi)部風(fēng)險態(tài)勢和公司風(fēng)險環(huán)境中的威脅可利用性呢？

上月在舊金山舉行的 2017 RSA 大會，可謂安全行業(yè)的一個剪影。最大的收獲是：幾十年對著清單打勾勾的合規(guī)驅(qū)動式安全方法之后，“風(fēng)險”終于成為了安全的新合規(guī)。終端用戶和廠商都在談?wù)擄L(fēng)險，各種形式的風(fēng)險。

雖然這是個好的發(fā)展趨勢，本次大會依然表現(xiàn)出了存在于網(wǎng)絡(luò)風(fēng)險、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)威脅之間內(nèi)在聯(lián)系上的混淆。某廠商甚至宣稱“威脅就是新風(fēng)險”。而這在風(fēng)險專家看來，就是明晃晃的無知。什么才真正定義了網(wǎng)絡(luò)風(fēng)險？網(wǎng)絡(luò)風(fēng)險是由多種因素構(gòu)成，包括合規(guī)形勢、威脅、漏洞、可達(dá)性和業(yè)務(wù)關(guān)鍵性。

我們必須認(rèn)識到一個事實(shí)，那就是：僅僅關(guān)注來自內(nèi)部安全情報(bào)的發(fā)現(xiàn)，比如漏洞掃描、配置管理數(shù)據(jù)庫、SIEM系統(tǒng)等等，會導(dǎo)致修復(fù)行動的偏差和資源分配的不足。2014的“貴賓犬”漏洞就是個很好的例子。國家漏洞數(shù)據(jù)庫(NVD)給該漏洞打的通用安全漏洞評分(CVSS)是5.5分，而滿分是10，這就造成大多數(shù)公司都選擇不對其進(jìn)行修復(fù)。

通常，公司企業(yè)僅修復(fù) CVSS 7分及其以上的漏洞——為了能夠應(yīng)對自身環(huán)境中持續(xù)的漏洞攻擊。然而，如果企業(yè)早知道幾十萬“貴賓犬”漏洞利用被執(zhí)行，他們大概就會修改自己對該漏洞的評估了。

安全事件的發(fā)生需要兩個條件：必須出現(xiàn)某種形式的漏洞(例如：軟件缺陷或不安全編程；IT基礎(chǔ)設(shè)施的不安全配置；不安全業(yè)務(wù)運(yùn)營；內(nèi)部人或其他人惡意進(jìn)行或誤操作的風(fēng)險行為)，以及得有威脅利用該漏洞。

一般情況下，安全人員無法直接控制威脅。因此，公司更傾向于專注已知的更顯眼的事實(shí)——漏洞和控制失敗，而忽略網(wǎng)絡(luò)風(fēng)險評估中的威脅因素。但是，隨著過去幾年漏洞數(shù)量的大幅增長，如果不審查漏洞被利用的影響和可能性，幾乎不可能修復(fù)所有漏洞。關(guān)鍵在于，為什么要分配資源去修復(fù)根本沒有相關(guān)威脅且不可及的漏洞呢？

鑒于威脅就是利用漏洞的人，該關(guān)系必須是風(fēng)險評估過程中的一個關(guān)鍵因素。它可再不能被當(dāng)成拖油瓶來看待了。事實(shí)上，高級安全運(yùn)營團(tuán)隊(duì)采用威脅情報(bào)來獲得威脅人士（比如黑客、有組織犯罪團(tuán)伙，或者國家支持的攻擊者)的能力、當(dāng)前活動和潛在計(jì)劃方面的洞見。

一旦內(nèi)部安全情報(bào)與外部威脅數(shù)據(jù)(比如漏洞利用、惡意軟件、威脅人士、信任情報(bào))融合，這些發(fā)現(xiàn)就必須與業(yè)務(wù)關(guān)鍵性相聯(lián)系起來，這樣才能確定安全漏洞的真正風(fēng)險，以及它們對業(yè)務(wù)的最終影響。

總之，網(wǎng)絡(luò)風(fēng)險，是公司在外部威脅上下文中，對內(nèi)部安全漏洞潛在暴露面的整體視圖。網(wǎng)絡(luò)風(fēng)險管理除了帶來運(yùn)營優(yōu)勢，還更好地關(guān)聯(lián)起了各方利益相關(guān)者，比如董事會、高管層、業(yè)務(wù)部門，以及安全和IT運(yùn)營團(tuán)隊(duì)，甚至內(nèi)部/外部審計(jì)員。