風險管理之基本的風險評估和管理方法
介紹
本節(jié)面向剛接觸網絡安全風險管理或想要獲得風險管理基本分步方法指導的讀者。以下步驟提供了一組通用的介紹性步驟,可用于幫助您更好地了解所面臨的網絡安全風險,告知您對這些風險的風險管理響應并確定其優(yōu)先級。
健康警告#1
這里介紹的步驟并非取自任何單一的方法、標準、方法或技術。下面提供的步驟本質上是介紹性的,并不能單獨提供在大型復雜環(huán)境中有效管理網絡風險所需的風險管理見解;它們僅適合用作剛剛開始網絡安全風險管理之旅的組織的起點。出于所有這些原因以及更多原因,這些步驟不應被視為 NCSC 批準的網絡安全風險管理方法。
步驟 1 – 建立風險管理的背景
在第一步中,應該考慮可能影響和指導您做出的網絡安全風險管理決策和選擇的因素。這些事情可能包括您組織的業(yè)務優(yōu)先級和目標,應該保護這些事情免受誰或什么的影響(例如,是否需要在官方信息的威脅模型背景下保護系統(tǒng)和服務,或者我們的服務或出于某種原因對網絡犯罪分子或國家行為者有吸引力的系統(tǒng))、適用于組織的任何法律和監(jiān)管義務,以及組織為完成其需要做的事情將或不會跨越的網絡安全風險紅線。這種背景應該以幫助人們理解如何管理網絡安全風險的方式表達,至少應通過以下方式來管理:表達對絕對需要保護的內容和原因的自上而下的觀點,并提供有關組織愿意容忍的風險類型和原因以及不愿意容忍的風險的聲明。這些信息將幫助負責制定風險管理決策的人員有效、自信地工作。
步驟2 – 定義風險評估范圍
在開始任何風險評估活動之前,定義評估范圍非常重要。評估范圍應定義正在評估的現(xiàn)有系統(tǒng)或正在構建的新系統(tǒng)的邊界,并且范圍應明確定義其中包含的所有資產。在表達評估范圍時,創(chuàng)建模型圖可能會很有用。這對于傳達和描述范圍有很大幫助。
除了表達評估的邊界之外,對于系統(tǒng)范圍的任何模型來說,描述以下內容也很有用:
- 范圍內的內部以及外部與其他系統(tǒng)、服務或組織的任何互連
- 組織可以對其內的資產和系統(tǒng)施加控制的邊界,以及不能控制的邊界
- 評估范圍內的系統(tǒng)以某種方式依賴的任何外部系統(tǒng)、服務或組織
下面顯示了一個示例范圍圖,其中風險評估的范圍是員工對基于云的應用程序的訪問。這清楚地顯示了范圍內的關鍵系統(tǒng)組件、參與者、連接以及明確超出范圍的內容。
圖片
步驟 3 – 了解資產并評估影響
這一步是為了讓了解關心的事物以及應該保護的事物。為了幫助實現(xiàn)這一點,可以建立一個資產登記冊,其中可能包括(例如)對成功實現(xiàn)業(yè)務目標至關重要的設備、系統(tǒng)、服務、軟件、信息和/或流程。此步驟的一個重要部分是識別并記錄組織內每項資產(或資產組)的所有權。這很重要,因為資產所有者是幫助了解與其資產相關的影響的關鍵,他們對資產發(fā)生的情況、資產的使用方式以及影響資產的風險應如何管理負責。
現(xiàn)在已經有了資產或您關心的事情的列表,現(xiàn)在應該評估如果這些資產以某種方式受到損害將會產生什么影響。妥協(xié)可能包括某人讀取、更改或刪除不該讀取的信息或數(shù)據,某人干擾系統(tǒng)或服務的工作方式,以及由于某些故障或原因而完全喪失使用系統(tǒng)、服務或信息的能力。網絡安全攻擊。您應該以對您有意義的方式表達資產影響,以便可以在所有業(yè)務資產的背景下理解這些資產的重要性。我們建議您建立風險登記冊,以幫助您記錄您的資產、確定資產的負責人并記錄資產對您的業(yè)務的價值。
資產登記冊可能類似于下表,其中清楚地標識了資產及其所有權以及影響評估和評級。需要注意清楚地記錄用于評估影響的任何標簽背后的含義。例如,高影響可能意味著完全喪失實現(xiàn)組織目標的能力,而低影響可能意味著對組織的運營造成不便或輕微干擾。
表 1:資產登記示例
資產ID | 描述 | 對影響的評估 |
0001 | 所有者:IP 所有者 知識產權- 與我們的主要產品相關的設計和其他知識產權 (IP) 信息。 | 影響等級:高 未經授權的發(fā)布、修改或無法訪問我們的知識產權可能會導致我們失去相對于競爭對手的競爭優(yōu)勢,從而給組織帶來財務損失。 |
0002 | 所有者:IT 所有者 企業(yè)IT系統(tǒng)——該系統(tǒng)提供辦公自動化、業(yè)務信息(包括IP和員工信息)的存儲和處理、與客戶的通信以及互聯(lián)網的訪問。 | 影響等級: 中 未經授權訪問我們的公司系統(tǒng)或其可用性或工作方式出現(xiàn)任何故障將意味著我們將無法實現(xiàn)我們的組織目標或履行我們的合同、法律或監(jiān)管責任。 |
0003 | 業(yè)主:人力資源業(yè)主 人力資源和員工信息- 這是與員工及其就業(yè)相關的敏感個人信息。 | 影響等級: 高 未經授權發(fā)布、披露、更改或刪除此信息可能會導致隱私法的制裁和/或失去員工的信任和聲譽。 |
0004 | 所有者:OT 所有者 OT 和 ICS 系統(tǒng)– 這是用于生產和控制我們主要產品生產的系統(tǒng) | 影響等級: 高 這些系統(tǒng)工作方式的任何改變、故障或拒絕其可用性都意味著我們無法生產我們的主要產品,從而導致企業(yè)的財務和聲譽損失。 |
0005 | 業(yè)主:公司銷售業(yè)主 在線銷售服務- 這是我們用來向客戶銷售主要產品的系統(tǒng)和服務。該系統(tǒng)包括我們的網站、支付服務、庫存控制和庫存系統(tǒng)、客戶數(shù)據集以及我們的送貨服務。 | 影響等級: 高 未經授權訪問或發(fā)布本系統(tǒng)存儲和處理的客戶信息、未經授權更改其工作方式、系統(tǒng)及其服務不可用或欺詐性使用可能會導致組織的財務損失、聲譽受損以及法律或監(jiān)管制裁。 |
步驟 4 - 評估威脅
這一步是要理解兩件事,
- 誰或什么可能對您的組織及其目標構成威脅。
- 他們可能會如何攻擊或以其他方式損害您關心的事物。
為了實現(xiàn)此步驟的第一個目標,您應該尋找威脅信息的權威來源,這些信息可以幫助了解誰可能試圖對組織造成傷害以及原因。此威脅信息可能來自 NCSC 或 NPSA 等國家當局、供應商和/或行業(yè)團體,或者基于有關誰攻擊了您或您的部門等組織的歷史知識。如果您不確定如何以一致且可重復的方式描述和傳達有關您的威脅和威脅信息的信息,那么來自 Oasis Open 組織的 STIX v2.1提供了有用的詞匯表。
健康警告#2
保護系統(tǒng)和服務免受每個潛在威脅參與者的影響是不切實際的、不具有成本效益的,或者在大多數(shù)情況下甚至是不可能的。因此,重要的是將對威脅的分析和評估與步驟 1 中建立的上下文聯(lián)系起來,以便清楚地了解您到底想保護您的系統(tǒng)和服務免受誰的侵害以及原因。例如,如果您的組織決定需要根據官方信息的威脅模型來保護系統(tǒng)或服務那么您可能會認為黑客活動分子、記者、黑客、罪犯和犯罪團伙等威脅行為者是相關的且在范圍內,但您可能會認為國家行為者超出了范圍,因為您的組織已做出基于風險的決定,不尋求保證您的系統(tǒng)或服務受到保護,免受它們的侵害。在不同的情況下,您正在處理的系統(tǒng)或服務可能支持在線銷售商品或支付金錢,這意味著組織可能適合將資源充足的在線犯罪團伙視為犯罪團伙的高門檻。需要保護系統(tǒng)或服務免受威脅。
下一步是了解威脅可能如何攻擊,以及它們可能針對組織和試圖保護的事物使用的策略和技術。威脅建模等技術以及使用助記符(如STRIDE、網絡殺傷鏈、攻擊樹的開發(fā)和威脅信息的公開知識庫(如MITRE ATT&CK))對于建立這種理解非常有幫助,并為進一步評估提供信息。網絡安全風險。
如果不確定如何記錄威脅分析或無法對一種威脅與另一種威脅進行評級,那么可以考慮使用簡單的 3x3 矩陣,其中威脅能力、動機和威脅本身按照簡單的從低到高的等級進行評分。
表 2:威脅分析示例
動機 | |||
能力 | 低的 | 中等 | 高的 |
高的 | 中等 | 高的 | 高的 |
中等 | 低的 | 中等 | 高的 |
低的 | 低的 | 低的 | 中等 |
健康警告 #3
應該意識到,雖然矩陣易于使用,但如果使用不當,可能會導致錯誤和風險傳達錯誤。如果您要使用如上所示的矩陣,請確保仔細傳達量表和所使用的任何標簽的含義。
步驟 5 – 評估弱點
人員、流程、地點和技術中可能存在漏洞,威脅行為者可能會利用這些漏洞來實現(xiàn)其目的和目標。有多種技術和資源可以幫助您評估漏洞:
- 可以使用良好的指導(例如NCSC 的安全系統(tǒng)管理指南、安全設計原則或云安全指南)來幫助您思考使用的系統(tǒng)和服務中可能存在漏洞的位置
- 可以構建攻擊樹來幫助您了解威脅行為者為實現(xiàn)其目標而需要采取的步驟
- 可以利用公開披露的技術漏洞的目錄或數(shù)據庫(例如 MITRE 的常見漏洞枚舉 [CVE] 數(shù)據庫)來幫助您了解影響您使用的技術的已知漏洞
- 可以使用威脅信息的知識庫(例如 MITRE ATT&CK)來幫助您更多地了解作為現(xiàn)實世界和已知攻擊的一部分而被利用的漏洞
- 可以根據漏洞被利用的難易程度、漏洞在您的組織及其系統(tǒng)中的傳播范圍以及威脅行為者知道或假設您存在影響您的系統(tǒng)的漏洞的難易程度來評估漏洞和服務
如果不確定如何記錄漏洞分析或無法對一個漏洞與另一個漏洞進行評級,那么您可以考慮使用簡單的 3x3 矩陣,其中威脅暴露度、可利用性和漏洞本身按照簡單的從低到高進行評分規(guī)模。
表 3:漏洞分析示例
面臨威脅 | |||
易于利用 | 低的 | 中等 | 高的 |
高的 | 中等 | 高的 | 高的 |
中等 | 低的 | 中等 | 高的 |
低的 | 低的 | 低的 | 中等 |
步驟 6 – 估計可能性
以某種方式結合對威脅和漏洞的分析,以評估特定威脅利用特定策略或技術來利用漏洞來實現(xiàn)其目的和目標的可能性,從而對發(fā)生。
可能性是對某事發(fā)生的可能性的估計,可能性可以用一個尺度來描述,其中 0 表示某事沒有發(fā)生的可能性,1 表示某事將會發(fā)生,各種確定性/不確定性狀態(tài)作為其間的尺度間隔。可能性也可以表示為某事發(fā)生的百分比概率,0% 表示沒有機會,100% 表示某事會發(fā)生。這些等級可以使用標簽來表示,例如低、中和高。
在考慮可能性時,您應該尋找有關這些威脅、漏洞和攻擊對與您類似的其他組織或部門產生什么影響的信息。例如,如果您的競爭對手或與您合作的合作伙伴組織正在遭受類似的攻擊,那么可以肯定地說您也可能會受到攻擊。
估計可能性的另一種方法是將其視為威脅動機和能力、漏洞利用的容易程度以及您暴露于該漏洞的程度的某種產物。在這種情況下記錄和分析可能性的一個簡單方法是使用如下所示的矩陣,其中威脅和漏洞評級以及可能性進行評分并以簡單的從低到高的等級表示。
表 4:似然分析示例
漏洞評級 | |||
威脅評級 | 低的 | 中等 | 高的 |
高的 | 中等 | 高的 | 高的 |
中等 | 低的 | 中等 | 高的 |
低的 | 低的 | 低的 | 中等 |
無論決定估計、分析和描述可能性,都應該記住,風險管理是一種應對不確定性的練習。這意味著我們需要注意,不要通過對風險的任何組成部分(即威脅、脆弱性、影響和可能性)進行估計、評估或評級,給決策者帶來錯誤的確定性。這可以通過幫助決策者了解用于分析、評估和評級風險組成部分(例如可能性)的方法、流程和信息,并以有意義的方式傳達風險來實現(xiàn)。這將在下一步中更詳細地討論。
步驟 7 – 評估網絡安全風險
網絡安全風險是與技術系統(tǒng)和服務的使用相關的未來事件,可能對某人、系統(tǒng)、企業(yè)或組織產生某種形式的影響。與其他業(yè)務領域(例如金融領域)的風險管理相比,在網絡安全領域,我們認為這一未來事件與我們對技術的使用有關。危害可能包括與信息資產的機密性、完整性和可用性相關的傳統(tǒng)影響,但組織和企業(yè)不應將他們的思維僅限于這些信息資產質量。損害可能包括系統(tǒng)或服務的正確運行、其可用性、企業(yè)的良好聲譽、組織未能履行其法律、監(jiān)管或合同責任或財務影響。
如前所述,為了提高對網絡安全風險及其實現(xiàn)方式的理解和評估,可能會發(fā)現(xiàn)進行一些威脅建模或構建一些攻擊樹很有幫助。詳細介紹技術漏洞和攻擊的公開信息源(例如常見漏洞枚舉列表和ATT&CK 知識庫)(均由 MITRE 公司提供)也可能有助于了解可能出現(xiàn)問題的情況以及如何出現(xiàn)問題。
為了達到風險的定性水平,我們可以以某種方式將您對可能性的估計(包括威脅和脆弱性)與您對影響的評估結合起來,以得出風險。確保以有意義的方式傳達您的風險,并傳達與風險評估相關的不確定性。
如果沒有足夠的信心根據考慮的威脅、漏洞和影響信息自由地編寫風險聲明,或者您不知道如何將它們組合起來形成風險評級,那么可以考慮使用簡單的矩陣例如下面的可能性評估和影響評估相結合得出風險評級。然后,該風險評級可用于幫助您向決策者傳達已識別風險的重要性,或優(yōu)先考慮一種風險。
表 5:風險聲明示例
影響評級 | |||
可能性評級 | 低的 | 中等 | 高的 |
高的 | 中等 | 高的 | 高的 |
中等 | 低的 | 中等 | 高的 |
低的 | 低的 | 低的 | 中等 |
溝通并記錄風險
確保使用風險聲明以有意義的方式傳達風險,使決策者能夠了解所涉及的時間范圍和不確定性。
在向決策者描述風險時,向他們傳達分析的確定性或不確定性非常重要。如果不這樣做,就會向決策者傳達這樣的信息:您完全確定您所描述的風險將會發(fā)生。例如,承認不確定性的風險聲明可能如下所示:
“在未來 12 至 24 個月內,我們中的人很有可能成為網絡犯罪團伙使用勒索軟件攻擊的目標(10% 左右)。如果勒索軟件攻擊成功,它可能會導致我們完全無法訪問 IT 和 OT 系統(tǒng),從而使我們在一段時間內無法與客戶和合作伙伴溝通,無法制造我們的產品或提供我們的服務,直到恢復對我們的系統(tǒng)和信息的訪問為止,我們每天的成本約為 1-200 萬英鎊。”
從這個聲明中你可以看出,我們對可能性、時間尺度和影響的評估存在不確定性。
步驟 8 – 確定風險優(yōu)先級并提出風險管理行動建議
在此步驟中,應該審查在前面的步驟中提出的整套風險,并確定風險管理的優(yōu)先級。作為分析師并作為此過程的一部分,需要向業(yè)務部門推薦可以最有效地管理所識別的風險的方法。例如,可以建議企業(yè):
- 使用某種技術或非技術網絡安全控制來處理風險
- 通過改變或停止導致風險存在的活動來避免風險
- 通過將處理其財務影響的責任轉移給第三方(例如通過保險)來轉移風險,并指出通過網絡保險轉移風險僅處理已實現(xiàn)的風險的財務影響;風險的其他方面和影響,例如聲譽、法律或監(jiān)管影響,需要以其他方式進行管理
- 接受風險并且不采取任何行動,同時接受如果風險按照您的分析描述的那樣實現(xiàn),他們將不得不處理風險的后果
此步驟還提供了一個有用的機會來消除或組合重復的風險,并識別風險之間的聯(lián)系和關系。例如,成功的拒絕服務風險可能依賴于最初意識到的網絡釣魚或惡意軟件風險。請參閱下表,該表說明了如何呈現(xiàn)風險優(yōu)先級列表。
表 6:優(yōu)先風險示例
風險識別碼 | 風險描述 | 風險等級 |
R0001 | 網絡犯罪分子有可能成功實施勒索軟件攻擊,拒絕我們的用戶訪問我們的企業(yè) IT 系統(tǒng)及其存儲和處理的信息,從而影響我們提供核心服務的能力。 | 高的 |
R0002 | 網絡犯罪分子有可能成功實施勒索軟件攻擊,拒絕我們的用戶訪問我們的企業(yè) IT 系統(tǒng)及其存儲和處理的信息,從而影響我們提供核心服務的能力。 | 高的 |
R0003 | 存在內部人員可能利用其授權訪問權限故意復制和發(fā)布外部敏感業(yè)務信息的風險,導致我們因知識產權和聲譽損失而損失收入。 | 中等的 |
步驟 9 – 制定風險處理計劃
如果您建議使用技術或非技術控制措施來處理網絡安全風險,則有必要記錄和描述這些控制措施,并盡可能提供有關如何/應該實施這些控制措施的指導和信息。在考慮您可能尋求應用的控制措施時,考慮使用提供良好控制基準的標準或方案可能會很有用。例如,國際標準組織 (ISO)或NCSC 的 Cyber Essentials 計劃提供的內容。無論您選擇應用什么控制或控制基線,都應注意確保明智且按比例地應用它們,以避免出現(xiàn)不必要的控制或更糟的情況,即控制不能有效地幫助管理風險。雖然真正的風險治療計劃將包括有關擬議治療及其實施方式的更多細節(jié),但基本治療計劃可能如下所示:
表 7:風險處理計劃示例
風險識別碼 風險描述 風險影響 | 風險處理ID 建議的風險處理(PRT) | 實施指南/合規(guī)性/標準 |
編號: R0001 描述:勒索軟件風險 影響:信息的機密性和業(yè)務系統(tǒng)的可用性。 | 編號: RT0001 PRT:系統(tǒng)和信息備份 | 減輕惡意軟件和勒索軟件攻擊 (NCSC)
設備安全指南 (NCSC) |
編號: RT0002 PRT: 系統(tǒng)強化和鎖定 | ||
編號: RT0003 PRT: 注冊 NCSC ACD 服務 | ||
編號: RT0004 PRT: 啟用 MFA | ||
編號: RT0005 PRT: 漏洞管理 | ||
編號: RT0006 PRT: 事件管理 | ||
編號: R0002 描述:網絡釣魚風險 影響:網絡釣魚攻擊可能會影響我們所依賴的系統(tǒng)、服務和信息的機密性、完整性和可用性。 | 編號: RT0007 PRT: 采用反欺騙措施(包括 DMARC、SPF 和 DKIM) | 網絡釣魚攻擊:保衛(wèi)組織 (NCSC) |
編號: RT0008 PRT: 郵件過濾和阻止 | ||
編號: RT0009 PRT: 可疑電子郵件報告 | ||
編號: RT0010 PRT: 用戶培訓 | ||
編號: RT0011 PRT: 密碼管理和 MFA | ||
編號: RT0012 PRT: 事件管理 | ||
步驟 10 – 制定保障計劃
保證是一種提供信心的方法,讓我們相信我們關心的事物受到保護,并且安全控制以您期望的方式單獨和協(xié)同工作,以確保系統(tǒng)的安全。應不斷從您用于處理網絡安全風險的控制措施(無論是程序、物理、人員還是技術)中尋求保證。因此,通過有效利用保障活動來獲得對風險處理的信心對于管理網絡風險至關重要。要完成此步驟,您需要考慮如何獲得并維持所提議的安全控制的保證。可以尋求保證:
- 安全控制結合起來保護我們關心的業(yè)務成果、系統(tǒng)或服務的方式。例如通過設計審查、架構審查、安全測試等。
- 控件的設計方式
- 實施控制的方式
- 控件的使用方式
- 通過控制測試
- 在使用和管理您的系統(tǒng)和服務的人員中
- 在您工作的地方以及容納您的系統(tǒng)和服務的地方
- 在您的業(yè)務流程以及您使用的技術系統(tǒng)和服務中
您應該確保您已經考慮了對所建議的所有控制措施的保障,保障計劃可能如下表所示。
表 8:保險計劃示例
風險處理ID | 建議的風險處理 | 我們將如何保持對控制的保證或信心 |
RT0001 | 系統(tǒng)及信息備份 | 至少每周進行一次完整備份和增量備份;這些將是存儲在安全設施中的在線和離線備份的組合。備份本身和恢復過程將定期進行測試。 |
RT0002 | 系統(tǒng)強化和鎖定 | 系統(tǒng)將通過設計確保安全,架構和設計將由內部和外部主題專家進行審查;系統(tǒng)和服務將在部署之前以及投入使用后定期進行安全測試。 |
RT0003 | 注冊NCSC ACD 服務 | 作為常規(guī)安全測試流程的一部分,將檢查適用的 NCSC ACD 服務的注冊情況。 |
RT0004 | 啟用 MFA | 根據 NCSC 和其他良好實踐應用 MFA - 系統(tǒng)和服務將在部署之前進行安全測試,并在投入使用后定期進行安全測試。 |
RT0005 | 漏洞管理 | 系統(tǒng)和服務將接受預部署和定期的服務中漏洞掃描。 |
RT0006 和 RT0012 | 事件管理 | 我們的事件管理計劃將根據 NCSC 關于 IM 的指導制定。 |
RT0007 | 采用反欺騙措施(包括 DMARC、SPF 和 DKIM) | 使用 NCSC 的郵件檢查服務來測試我們的郵件安全性。 |
RT0008 | 郵件過濾和阻止 | 我們的郵件過濾和阻止設置將作為部署前和服務中安全測試的一部分進行測試。 |
RT0009 | 可疑電子郵件報告 | 作為我們定期安全測試的一部分,我們將要求隨機選擇的用戶描述他們將如何保護自己和企業(yè)免受網絡釣魚,以及如果收到可疑電子郵件他們會做什么。 |
RT0010 | 用戶培訓 | 至于上面的RT0009。 |
RT0011 | 密碼管理和 MFA | 將根據 NCSC 和其他良好實踐應用密碼和身份驗證策略。密碼策略和規(guī)則將作為預部署和服務安全測試的一部分進行檢查。 |
步驟 11 – 持續(xù)迭代和改進
重要的是:應將風險評估和管理視為一個持續(xù)的過程。如果不這樣做,就意味著將很快無法調整系統(tǒng)、服務和安全性來應對新技術和新出現(xiàn)的威脅。這意味著應該定期重新審視網絡安全風險評估和控制措施,并在出現(xiàn)重大變化時立即重新審視。可能促使審查的變化可能包括威脅的變化,或者系統(tǒng)或服務使用方式的重大變化。
后記:風險評估以及風險管理是一個世界性話題,各國在網絡安全領域都會出臺很多有關的文件或資料,我們在一條線索上去學時垂直性的學習和了解,我們在不同線索上學習,是橫向對比不同國家如何管理,一方面找到共通性,另一方面找到個異性。整理這些東西,是我個人學習的一個過程,不是讓大家生搬硬套,而是給大家多一種思路和理解,參考借鑒。
