如何进行网络安全风险评估

导读：

1.收集信息

2.绘制出你的系统

3.抵制人为因素

4.考虑潜在风险，可能性和影响

大约43％的网络攻击针对小型企业。

专家估计，到2021年，全球的网络犯罪将耗资6万亿美元。

根据马里兰大学的一项研究，针对具有互联网接入的计算机的网络攻击每39秒发生一次。

当今高度互联的世界中的数据泄露已经司空见惯。头条新闻定期告诉主要零售连锁店，消费者信用报告机构甚至政府实体都成为外部攻击者入侵的牺牲品。

作为一家小型企业，让糟糕的演员远离您的数据以及扩展您的客户数据似乎是一项艰巨的任务。然而，通过执行网络安全风险评估，您将迈出第一步，更好地了解网络的安全漏洞以及修补漏洞所需的操作。

网络安全风险评估用于识别您最重要的数据和设备，黑客如何获取访问权限，如果您的数据落入坏人手中可能会出现什么样的风险以及您作为目标的脆弱程度。虽然您可以进行自己的综合分析，但是有很多公司愿意指导您完成整个过程并提供收费的监控服务。

应该注意的是，根据您的行业，您可能已经接受了经过认证的实体的强制性网络安全风险评估。在这种情况下，您可能需要使用第三方系统来遵守法规。

根据Verizon 2019 数据违规调查报告，43％的入侵针对小型企业。这应该不足为奇，因为有近3000万美国小企业，其中大部分是黑客的软目标。由于信息系统审计和控制协会建议至少每两年进行一次网络安全风险评估，以下是您今天可以使用的一些操作和提示。

1.收集信息

执行网络安全风险评估的最重要原因是收集有关您的网络的网络安全框架，其安全控制及其漏洞的信息。如果您不知道自己在做什么或者在寻找什么，那么进行评估不当可能会让您容易受到攻击。

“如果企业没有经验，工具或团队进行彻底和准确的风险评估，并且只是试图通过自己动手来节省成本，那么当黑客或数据泄露时，他们将来可能会遇到成本增加的问题。Kyle David Group营销经理Keri Lindenmuth表示，否则可能会出现这种情况。“由于财务影响，许多小型企业无法从数据泄露中恢复，并最终永远关闭。”

为此，如果您的小型企业拥有对您的系统有深入了解的IT专业人员，您应该与他们合作制定风险评估计划。

如果您不聘请IT专家或与IT专家签约，但您熟悉您的系统及其运作方式，那么如果您在整个过程中保持客观，您仍然可以进行自己的评估。

通常，公司会忽略安全性的某些方面，因为更改这些内容会导致太多的中断，或者修复成本太高。如果您的结果指向网络中的主要漏洞，您需要愿意做出重大更改。

2.绘制出你的系统

一旦您考虑了如何收集信息，就该开始实际评估了。首先，您需要确定系统的工作方式，服务功能以及使用系统的人员等等。

您的目标是确定网络中存在的任何风险和漏洞。一旦确定，您将需要评估这些问题区域的风险大小，您目前正在采取哪些措施来缓解这些问题并计算您的整体风险。

考虑连接到网络的所有内容。打印机，笔记本电脑，手机和智能设备都是恶意代码进入您网络的入口点。您可以在某些自动程序的帮助下找到漏洞，例如付费应用程序Nessus Professional和免费工具OpenVAS，它们在网络的多个方面运行漏洞扫描以检测风险。

在办公室，确保您的物理设备也是安全的很重要。攻击者经常通过支持互联网的设备访问，并通过未修补的漏洞访问您的网络。诸如无线打印机，Wi-Fi路由器和移动设备之类的设备可被利用来让黑客访问您的网络的其余部分。

避免出现问题的一种简单方法是确保设备的固件都是最新的。Microsoft提供了一个免费工具，可帮助您检测网络上的Microsoft产品是否都是最新的。

3.抵制人为因素

人为错误也可能导致网络漏洞。数据泄露的最大原因之一是无意中造成员工随意点击可疑链接或从网络钓鱼电子邮件下载附件。在开始专门的网络安全培训之前，对员工的响应和在线实践进行漏洞测试非常有用。

您可以使用在线网络钓鱼模拟器运行网络钓鱼漏洞测试。它允许您设置伪装成来自工作同事的电子邮件，目的是说服员工下载附件或提交凭据。否定结果不应导致任何惩罚性行动。相反，您可以使用该信息设置有关网络安全最佳实践的其他培训，并为您的员工提供避免网络钓鱼攻击的提示。结果还可以帮助您确定是否应在网络访问上实施双因素身份验证。

除了意外的访问点之外，通过使用未加密的USB闪存驱动器，不良的文档保留和破坏做法，使用不安全的通道传输个人信息以及无意中将敏感数据发送给错误的人，您的网络安全可能会受到威胁。

虽然可能发生事故，但恶意攻击是最常见的网络攻击。在这些情况下，恶意软件（恶意软件），内部黑客威胁或分布式拒绝服务（DDoS）攻击等策略可能会严重影响您的网络。

网上有很多工具可以帮助您确定攻击者是否可以通过您的网站轻松地强行进入您的网络。例如，Pentest Tools是一种付费服务，可扫描您的网站，Web应用程序和网络，以确定是否存在漏洞。渗透测试软件可帮助您了解黑客可以通过网络获取数据的位置。网站的常见问题是缺少SSL / TLS证书和HTTPS，这是保护域的因素。

4.考虑潜在风险，可能性和影响

在考虑网络安全的技术和人力方面，考虑哪些威胁可能会影响您的网络以及发生这种威胁的可能性。在网络安全风险评估期间，您将要列出黑客可以利用来访问您的网络和数据的每个可能的攻击点，无论它们是恶意的还是良性的。

一种准备方法是遵循美国国家标准与技术研究院进行风险评估指南。本文档包含可用于评估每种潜在安全风险的样本表。

一旦识别出潜在威胁，您就需要确定它们将如何影响实际网络的基础架构和防御。

您还需要确定这些威胁实际发生的可能性。根据Sage Data Security，您可以将其分为“可能性评级”，例如：

威胁源具有高度的积极性和足够的能力，并且防止漏洞被执行的控制是无效的。

威胁源具有动力和能力，但是可能会阻碍成功运行漏洞的控制措施。

威胁源缺乏动力或能力，或者已采取控制措施来防止或至少显着阻碍漏洞的执行。

在确定潜在威胁，它们将如何影响您的网络以及它们发生的可能性之后，您将需要想象如果这些攻击对您的业务成功将会发生什么。我知道这可能是可怕的，但如果确实发生了这些事情，重要的是要知道事情会有多糟糕，并制定一个行动方针来应对后果。毕竟，大多数中小型企业一旦受到数据泄露的影响就会受到影响。

在一天结束时，您的小企业的网络安全是至关重要的。您的数据以及客户的数据非常有价值且非常重要 - 当然，这也是黑客想要获取数据的原因。

如果您决定进行自己的网络安全风险评估，您可能会在熟悉网络及其工作原理的同时发现明显的安全问题。虽然这总是一件好事，但专业的网络安全顾问或公司可以进行更加量化的风险评估，可以帮助您避免由一些最新和最微妙的漏洞造成的大规模数据泄露。