本文來自安全牛。
隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入,各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的數(shù)量和復(fù)雜度也在快速提升。在此背景下,現(xiàn)代企業(yè)的安全管理團(tuán)隊(duì)需要及時(shí)轉(zhuǎn)變防護(hù)思路,從傳統(tǒng)安全事件發(fā)生后的被動(dòng)響應(yīng)模式,轉(zhuǎn)變到提前開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,實(shí)現(xiàn)對(duì)未知安全威脅的主動(dòng)預(yù)防。
風(fēng)險(xiǎn)評(píng)估的目標(biāo)
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是指從風(fēng)險(xiǎn)管理的角度,運(yùn)用科學(xué)的手段,系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性。通過開展風(fēng)險(xiǎn)評(píng)估工作,企業(yè)組織可以對(duì)重要信息系統(tǒng)所面臨的信息安全風(fēng)險(xiǎn)進(jìn)行發(fā)現(xiàn)識(shí)別和定性評(píng)估。同時(shí)根據(jù)評(píng)估結(jié)果,企業(yè)可以更有針對(duì)性地進(jìn)行威脅管控和處置,對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)中的薄弱環(huán)節(jié)進(jìn)行優(yōu)先處理和加固。這樣可以更有效的提升企業(yè)網(wǎng)絡(luò)安全防護(hù)水平。
安全事件的發(fā)生是有概率的,不能只根據(jù)安全威脅的發(fā)現(xiàn)時(shí)間和可能后果,便決定網(wǎng)絡(luò)安全的投入和安全措施的強(qiáng)度。對(duì)于一些被實(shí)際利用的概率極低的安全風(fēng)險(xiǎn),即使其具有比較嚴(yán)重的爆發(fā)后果,也不需要不計(jì)代價(jià)地進(jìn)行修復(fù)處置。企業(yè)在開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估時(shí),必須堅(jiān)持綜合考慮安全事件的后果影響及其可利用性的評(píng)價(jià)原則。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估還需要組織確定關(guān)鍵業(yè)務(wù)目標(biāo),并識(shí)別對(duì)實(shí)現(xiàn)這些目標(biāo)至關(guān)重要的信息資產(chǎn),然后識(shí)別可能對(duì)這些資產(chǎn)帶來不利影響的網(wǎng)絡(luò)攻擊,從而準(zhǔn)確了解相關(guān)業(yè)務(wù)所面臨的威脅環(huán)境。這可以讓業(yè)務(wù)部門和安全團(tuán)隊(duì)共同做出最優(yōu)化的處置決定,實(shí)施合理的安全控制措施,將整體風(fēng)險(xiǎn)隱患降低到企業(yè)能夠接受的范圍中。
風(fēng)險(xiǎn)評(píng)估的關(guān)鍵要素
開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估涉及到資產(chǎn)、威脅、脆弱性等許多基礎(chǔ)性要素,每個(gè)要素都有各自的要求和屬性。為了保障風(fēng)險(xiǎn)評(píng)估工作取得預(yù)定的實(shí)際效果,企業(yè)應(yīng)該在評(píng)估中做好以下方面的工作要素準(zhǔn)備:
要素1:確定評(píng)估范圍
風(fēng)險(xiǎn)評(píng)估應(yīng)先確定評(píng)估的范圍。一般情況下,風(fēng)險(xiǎn)評(píng)估的范圍需要覆蓋整個(gè)組織,但這樣會(huì)讓評(píng)估工作過于繁重。因此,可以先從某些業(yè)務(wù)部門、場(chǎng)所或公司的特定領(lǐng)域開始實(shí)施,比如支付處理或Web應(yīng)用程序。在風(fēng)險(xiǎn)評(píng)估工作開始前,需要盡可能全面地了解業(yè)務(wù)部門的需求和意見,這有助于了解各種網(wǎng)絡(luò)資產(chǎn)和流程的重要性、風(fēng)險(xiǎn)隱患、評(píng)估影響以及對(duì)風(fēng)險(xiǎn)的承受程度。在進(jìn)行風(fēng)險(xiǎn)評(píng)估之前,為了更好的指導(dǎo)組織有條不紊地評(píng)估信息安全風(fēng)險(xiǎn),確保緩解控制措施適當(dāng)且有效,評(píng)估人員還應(yīng)當(dāng)審視ISO/IEC 27001標(biāo)準(zhǔn)和NIST SP 800-37等主流安全框架。
要素2:識(shí)別信息資產(chǎn)
有效開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,需要明確知道應(yīng)該保護(hù)的對(duì)象是誰,因此,評(píng)估團(tuán)隊(duì)?wèi)?yīng)該識(shí)別并清點(diǎn)風(fēng)險(xiǎn)評(píng)估范圍內(nèi)的所有包括軟件和硬件在內(nèi)的信息資產(chǎn)。對(duì)業(yè)務(wù)至關(guān)重要的資產(chǎn)不僅是識(shí)別和清點(diǎn)的重點(diǎn),也同樣是攻擊者的主要目標(biāo),所以需要在資產(chǎn)識(shí)別的基礎(chǔ)上,盡可能做好系統(tǒng)威脅暴露面的管理。通過對(duì)信息資產(chǎn)的清點(diǎn),不僅便于可視化資產(chǎn)和流程之間的連接路徑,還可以了解網(wǎng)絡(luò)的出入點(diǎn),從而使識(shí)別威脅隱患變得更加容易。
要素3:了解威脅利用方法
威脅利用方法是指不法分子可能使用的對(duì)組織資產(chǎn)造成損害的策略、技術(shù)和方法。為了幫助識(shí)別各項(xiàng)信息資產(chǎn)可能存在的威脅隱患,在風(fēng)險(xiǎn)評(píng)估中應(yīng)該使用MITRE ATT&CK之類的威脅知識(shí)庫,直觀地呈現(xiàn)典型攻擊的各種階段和目標(biāo),這樣有助于確定他們需要的保護(hù)類型。
要素4:分析潛在風(fēng)險(xiǎn)
分析潛在風(fēng)險(xiǎn)是為了評(píng)估風(fēng)險(xiǎn)場(chǎng)景實(shí)際發(fā)生的可能性,以及一旦發(fā)生后對(duì)組織造成的影響。在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中,風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性應(yīng)該取決于威脅和漏洞的可發(fā)現(xiàn)性、可利用性和可再現(xiàn)性,而不是取決于歷史經(jīng)驗(yàn)的套用。影響是指威脅利用漏洞的后果對(duì)組織造成的危害程度,應(yīng)在每個(gè)場(chǎng)景中評(píng)估對(duì)機(jī)密性、完整性和可用性造成的影響。這一部分的評(píng)估在本質(zhì)上是非常主觀的,因此評(píng)估者的專業(yè)度和經(jīng)驗(yàn)積累就非常重要。
要素5:確定風(fēng)險(xiǎn)優(yōu)先級(jí)
通過使用風(fēng)險(xiǎn)矩陣(風(fēng)險(xiǎn)級(jí)別為“可能性乘以影響”)可以對(duì)每個(gè)風(fēng)險(xiǎn)場(chǎng)景進(jìn)行分類。為了確保企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)程度是可控的,任何高于約定容忍程度的威脅場(chǎng)景都應(yīng)優(yōu)先被處理,有三種方法可以做到這一點(diǎn):第一是避免,如果風(fēng)險(xiǎn)大于好處,那么立刻停止該項(xiàng)活動(dòng)可能是正確的行動(dòng)方案;第二是轉(zhuǎn)移,通過網(wǎng)絡(luò)保險(xiǎn)或?qū)⒛承I(yè)務(wù)外包給第三方,與其他方分擔(dān)部分風(fēng)險(xiǎn);第三是緩解,部署安全控制措施,降低風(fēng)險(xiǎn)程度。
5x5風(fēng)險(xiǎn)矩陣示意圖
要素6:記錄所有風(fēng)險(xiǎn)
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)重大且持續(xù)的工作。隨著新威脅層出不窮,新的系統(tǒng)或活動(dòng)不斷引入,安全風(fēng)險(xiǎn)評(píng)估需要重復(fù)進(jìn)行。因此,需要在每一次的評(píng)估工作中,做好可為未來的評(píng)估提供可重復(fù)的流程和模板。同時(shí),有必要在風(fēng)險(xiǎn)注冊(cè)中心記下所有已識(shí)別的風(fēng)險(xiǎn)場(chǎng)景。保持定期審查和更新,確保管理層始終了解其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的最新信息,主要包括:風(fēng)險(xiǎn)場(chǎng)景、鑒定日期、現(xiàn)有的安全控制、當(dāng)前風(fēng)險(xiǎn)程度、處理計(jì)劃、進(jìn)展?fàn)顩r、殘余風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)處置負(fù)責(zé)人等。