Cyber Risk Assessments: Risikobewertung hilft CISOs

分析 2025年9月26日 · 5分钟 · 风险管理

概述

安全负责人经常被问及当前最大的网络风险。但企业在具体风险方面面临多大威胁？CISO应该能够回答这个问题。

借助网络风险评估，CISO不仅能够确定企业的具体风险，还能展示其工作成果。照片：Elnur – shutterstock.com

达到一定年龄后，许多人会定期去医院做体检。这是明智之举，甚至由健康保险支付费用。通过这种方式，可以及早发现风险和危险并采取相应措施。网络安全也是如此：定期风险评估帮助安全团队识别漏洞和优化潜力。然而，此类评估并未得到全面实施。

网络风险评估的优势

CISO将网络安全风险评估纳入工作有以下优势：

识别漏洞：网络风险评估有助于发现企业IT基础设施、网络和系统中的安全漏洞。这提供了在网络犯罪分子利用这些漏洞之前进行修复的机会。

优先处理风险管理措施：并非每个系统都至关重要，同样，并非所有企业数据都同等重要。风险评估结果明确了哪些资产和系统最重要且面临最高攻击风险。基于此，安全负责人可以优先处理措施，从而更有效地分配资源，首先解决最关键的风险。

满足合规要求：几乎每个企业都必须遵守各种数据保护和数据安全规定，例如GDPR或支付卡行业数据安全标准（PCI DSS）。许多这些法律要求明确要求进行特殊风险评估，例如GDPR框架下的数据保护影响评估。风险评估有助于满足各种法规的合规要求。通过这种方式，可以确保遵守必要的安全标准，并避免违规时可能面临的罚款或法律后果。

做出明智决策并降低成本：通过网络风险评估，企业可以全面了解其网络风险。一方面，他们可以在此基础上就风险缓解策略做出明智决策，从而降低成功且代价高昂的网络攻击的可能性。另一方面，他们能够进行有针对性的、更有效的网络安全投资。

关注数据风险

大多数网络攻击的目标是企业数据——其影响代价高昂：根据IBM的《2025年数据泄露成本报告》，一次数据事件平均造成444万美元的损失。因此，特别关注数据及其面临的风险是值得的。

这一点更为重要，因为与基础设施和其他系统不同，数据并非“不可泄露”。服务器可以重新设置，云实例可以重建。但一旦数据被盗，就会留在网络犯罪分子手中。备份也无法提供保护。

对全球各行业700多家企业进行的数据风险评估中，对近100亿云对象的分析显示了数据通常面临的风险。据此，十分之一的云数据集对所有员工开放。这创造了一个内部半径，显著扩大了勒索软件攻击时的潜在损害。

但缺乏多因素认证（MFA）也使攻击者更容易泄露内部暴露的数据：微软发现，超过99%的被泄露账户没有MFA。

结论

这些一般结果已经指出了最大的问题领域。然而，在数据风险评估框架内确定个体数据风险并识别弱点至关重要。

通常情况下，企业根本不知道他们拥有哪些数据、存储在哪里以及谁可以访问。只有掌握了这些基本信息，才能识别风险并采取有针对性的措施。时间投入大约两到四个小时，是可管理的，并在详细报告中提供立即可行的建议。此外，评估过程通常还会揭示其他安全问题，从正在进行的网络攻击到长达15年的Kerberos密码。

通过定期进行的网络风险评估，可以清晰记录数据安全领域的进展——对管理层也是如此。CISO终于有了一个工具，使他们的网络安全成果可见。

阅读提示：通过以下四个步骤最小化网络风险