网络风险、网络威胁、网络安全，是一回事吗？

上月在旧金山举行的 2017 RSA 大会，可谓安全行业的一个剪影。最大的收获是：几十年对着清单打勾勾的合规驱动式安全方法之后，“风险”终于成为了安全的新合规。终端用户和厂商都在谈论风险，各种形式的风险。

虽然这是个好的发展趋势，本次大会依然表现出了存在于网络风险、网络安全和网络威胁之间内在联系上的混淆。某厂商甚至宣称“威胁就是新风险”。而这在风险专家看来，就是明晃晃的无知。什么才真正定义了网络风险？网络风险是由多种因素构成，包括合规形势、威胁、漏洞、可达性和业务关键性。

我们必须认识到一个事实，那就是：仅仅关注来自内部安全情报的发现，比如漏洞扫描、配置管理数据库、SIEM系统等等，会导致修复行动的偏差和资源分配的不足。2014的“贵宾犬”漏洞就是个很好的例子。国家漏洞数据库(NVD)给该漏洞打的通用安全漏洞评分(CVSS)是5.5分，而满分是10，这就造成大多数公司都选择不对其进行修复。

通常，公司企业仅修复 CVSS 7分及其以上的漏洞——为了能够应对自身环境中持续的漏洞攻击。然而，如果企业早知道几十万“贵宾犬”漏洞利用被执行，他们大概就会修改自己对该漏洞的评估了。

安全事件的发生需要两个条件：必须出现某种形式的漏洞(例如：软件缺陷或不安全编程；IT基础设施的不安全配置；不安全业务运营；内部人或其他人恶意进行或误操作的风险行为)，以及得有威胁利用该漏洞。

一般情况下，安全人员无法直接控制威胁。因此，公司更倾向于专注已知的更显眼的事实——漏洞和控制失败，而忽略网络风险评估中的威胁因素。但是，随着过去几年漏洞数量的大幅增长，如果不审查漏洞被利用的影响和可能性，几乎不可能修复所有漏洞。关键在于，为什么要分配资源去修复根本没有相关威胁且不可及的漏洞呢？

鉴于威胁就是利用漏洞的人，该关系必须是风险评估过程中的一个关键因素。它可再不能被当成拖油瓶来看待了。事实上，高级安全运营团队采用威胁情报来获得威胁人士（比如黑客、有组织犯罪团伙，或者国家支持的攻击者)的能力、当前活动和潜在计划方面的洞见。

一旦内部安全情报与外部威胁数据(比如漏洞利用、恶意软件、威胁人士、信任情报)融合，这些发现就必须与业务关键性相联系起来，这样才能确定安全漏洞的真正风险，以及它们对业务的最终影响。

总之，网络风险，是公司在外部威胁上下文中，对内部安全漏洞潜在暴露面的整体视图。网络风险管理除了带来运营优势，还更好地关联起了各方利益相关者，比如董事会、高管层、业务部门，以及安全和IT运营团队，甚至内部/外部审计员。