1.4　评估威胁和风险

评估威胁和风险对于每个组织来说都是非常不同的。当与所涉及的单个基础设施相结合时，内部和外部的每个足迹都是独特的。评估威胁和风险时，不仅要对资产有大致的了解，还要有深刻的认识。如果你不了解组织所面临的威胁和风险，就很难制定适合的技术和建议来提供合适的防御。风险管理通常可以分为四个步骤：识别风险、评估风险、降低风险以及监控风险。

1.4.1　识别风险

组织应当关注会跨越行业垂直领域的大量威胁和风险。关注行业趋势和特定威胁，才能制订安全计划并确定优先级，从而使其更加有效。很多组织很少思考他们所面临的威胁和风险，直到他们成为这些威胁和风险的受害者。可以从信息共享和分析中心（ISAC）获得有关这种情况的宝贵资源。ISAC 的全国理事会将这些资源汇集起来，共享特定于行业的信息安全。“ISAC 收集、分析并向其成员传达有用的威胁信息，并为成员提供降低风险和增强弹性的工具。”

除了识别特定于行业的威胁，还要识别总体趋势威胁，比如恶意软件、勒索软件、钓鱼诈骗以及远程攻击。需要注意的两个非常重要的地方是 OWASP Top 10 以及 CIS 20（之前称为 SANS Top 20）关键安全控制。每个组织都可以使用这些内容以及由云安全联盟提供的标准。本书会对其中的大部分项目进行更为深入的介绍，但每年更新它们应该是任何战略计划的关键部分。

1.4.2　评估风险

在识别出潜在风险之后，要评估这些风险，以判定它们是否适用于特定的环境。内部和外部漏洞扫描、防火墙规则审计，以及资产管理和发现等任务，将从总体上揭示风险类型。

1.4.3　降低风险

降低风险是你阅读本书的根本原因，也是本书大部分内容的主要目的。降低风险包括规避风险、治理风险、转移风险和接受风险。示例如下所示。

规避风险

　　Dave 认为为客户存储社会安全号码是一个无关紧要的环节，并且终止了这种实践。

治理风险

　　Alex 开始关闭开放的端口，实施更严格的防火墙规则，并给端点打补丁。

转移风险

　　Ian 将信用卡处理外包给第三方，而不是在本地存储数据。

接受风险

　　Kate 知道特定端点不能访问其他端点，并运行了一个第三方应用。这个应用有一个对其运行来说必要的低风险漏洞。尽管现在没有什么办法改变或者治理这个漏洞，但是由于风险足够低，所以可以接受。

　不到万不得已，不能接受风险。如果一个风险达到了这种程度，则请第三方供应商和管理团队提供完整的文档，以及在做出这一决定之前已经尝试过的流程文档。至少每年对接受的风险做一次审查，以确保它们被重新评估。

1.4.4　监控风险

定期召开季度或年度会议来追踪风险。一年中会发生很多变更，这些变更会影响你需要考虑的风险的数量和类型。作为任何变更监控或变更控制的一部分，要确定这种变更是否会以某种方式影响风险。