系統(tǒng)和組件驅(qū)動的風(fēng)險管理技術(shù)的概述。

關(guān)于組件驅(qū)動方法

在網(wǎng)絡(luò)安全中，風(fēng)險通常用系統(tǒng)的組成部分來描述，例如硬件（計算機、服務(wù)器等）或軟件。我們將這種方法稱為自下而上或組件驅(qū)動的風(fēng)險技術(shù)。按照這種觀點，風(fēng)險被評估為給定系統(tǒng)組件的價值及其以某種方式受到損害的可能性的某種組合。更具體地說，這需要評估這些組件面臨的威脅、它們的漏洞以及妥協(xié)可能造成的業(yè)務(wù)影響。

這種方法允許分析師識別系統(tǒng)內(nèi)特定組件面臨的特定風(fēng)險。然后，它允許根據(jù)風(fēng)險影響的嚴重程度（或威脅利用漏洞的難易程度）對這些風(fēng)險進行優(yōu)先級排序。以這種方式確定風(fēng)險優(yōu)先級的目的是在可能的情況下首先減輕最嚴重的風(fēng)險。

關(guān)于系統(tǒng)驅(qū)動方法

補充方法主要關(guān)注系統(tǒng)（而不是組件）的目標(biāo)或用途。我們將此類方法稱為自上而下或系統(tǒng)驅(qū)動的風(fēng)險技術(shù)，因為它們主要關(guān)注整個系統(tǒng)，而不是單個組件。自上而下的技術(shù)考慮系統(tǒng)各個方面之間的交互，包括人員、業(yè)務(wù)流程和技術(shù)。

這些方法要求風(fēng)險分析師首先陳述系統(tǒng)的高級目的。從那里，您可以迭代地向該陳述添加更多細節(jié)，作為設(shè)計如何實現(xiàn)高級目標(biāo)的一種方式。重點是理解系統(tǒng)的各個部分如何相互作用。像這樣的方法對于系統(tǒng)工程師和其他涉及迭代設(shè)計技術(shù)的人來說是非常熟悉的，這些想法在這些技術(shù)中很常見。

風(fēng)險從何而來？除了考慮系統(tǒng)應(yīng)該服務(wù)的目的之外，自上而下的風(fēng)險管理技術(shù)還會考慮系統(tǒng)不應(yīng)該服務(wù)的高級目的。我們用系統(tǒng)運行過程中可能發(fā)生的“損失”來討論這些問題。例如，如果您正在設(shè)計一個控制自動安全門的系統(tǒng)，該系統(tǒng)的目的可能是讓人們進出。您可能發(fā)現(xiàn)的損失可能是讓未經(jīng)授權(quán)的人員通過，或者將人員困在門的機械裝置中而受傷。

這種損失的概念似乎是顯而易見的。然而，我們的經(jīng)驗表明，在項目生命周期開始時很少考慮系統(tǒng)不能做什么的這些高級描述（與考慮的目的不同）。通常只有當(dāng)系統(tǒng)的設(shè)計相當(dāng)成熟時才會考慮損失（因此您已經(jīng)了解系統(tǒng)在邏輯上可能是什么樣子）。這就是人們普遍抱怨安全性“是用螺栓固定的，而不是內(nèi)置的”的部分原因。

使用拉斯穆森層次結(jié)構(gòu)來區(qū)分風(fēng)險評估技術(shù)

為了幫助檢查自下而上和自上而下的技術(shù)如何相互關(guān)聯(lián)，我們可以借鑒Jens Rasmussen 的抽象層次結(jié)構(gòu)，如下所示。

圖片

該模型引入了這樣的想法：您可以查看不同抽象級別的系統(tǒng)。僅考慮插圖的前三層使我們能夠從概念角度思考該系統(tǒng)。也就是說，我們的分析重點是系統(tǒng)應(yīng)該實現(xiàn)什么（而不是它應(yīng)該如何工作）。自下而上或組件驅(qū)動的方法 是分析該層次結(jié)構(gòu)的底部兩層可能出現(xiàn)的問題。在這里，您關(guān)心的是物理存在的事物或其表示形式，例如詳細說明特定技術(shù)決策的詳細架構(gòu)圖。

另外，自上而下或系統(tǒng)驅(qū)動的方法 考慮系統(tǒng)的高級目的和損失。目的是確定因系統(tǒng)概念設(shè)計而可能造成損失的方式。在這個抽象級別，威脅和漏洞等概念在組件驅(qū)動方法中使用時沒有任何意義。在這里，您正在尋找系統(tǒng)可以實現(xiàn)任何損失的方法。

引入該框架的原因是為了證明組件驅(qū)動和系統(tǒng)驅(qū)動的風(fēng)險管理技術(shù)以根本不同的方式分析風(fēng)險，但它們相互支持。當(dāng)應(yīng)用于正確的問題時，它們都是有價值的風(fēng)險管理工具。

何時使用系統(tǒng)和組件驅(qū)動技術(shù)

這些技術(shù)可以相互結(jié)合使用，以提供對風(fēng)險的補充視角。例如，您可以使用自上而下的方法來識別最關(guān)鍵的系統(tǒng)、交互或漏洞，然后切換到自下而上的分析來詳細探索這些關(guān)鍵領(lǐng)域。

他們以不同的方式增加價值；兩者都不比另一個“更好”。然而，每種技術(shù)更適合某些類型的風(fēng)險管理問題：

• 組件驅(qū)動的方法對于探索已知技術(shù)漏洞的暴露程度非常有用。例如，您的組織中可能有一臺計算機由于操作原因而無法修補或升級。這在某些類型的操作技術(shù)中很常見。組件驅(qū)動的風(fēng)險分析可用于探索未修補的計算機中的漏洞如何影響您的組織。這種分析可以確定可以在這臺不可避免的易受攻擊的計算機周圍實施的保護措施。
• 系統(tǒng)方法在分析大型復(fù)雜系統(tǒng)時非常有用。特別是，它們可以幫助您探索 交互失敗。 例如，系統(tǒng)的正確和安全操作可能取決于組成系統(tǒng)的多個組件或子系統(tǒng)之間的交互。當(dāng)系統(tǒng)內(nèi)的各個組件按照其應(yīng)有的方式精確工作時，就會發(fā)生這種情況，但存在一些問題這些組件相互交互的方式存在缺陷，從而有可能發(fā)生安全漏洞。一個很好的例子可能是針對在線支付系統(tǒng)的欺詐風(fēng)險，其中組件驅(qū)動的觀點可能會忽略客戶系統(tǒng)對整個系統(tǒng)安全的重要性。

下表總結(jié)了每種技術(shù)的優(yōu)勢：

組件驅(qū)動技術(shù)和系統(tǒng)風(fēng)險管理技術(shù)可以一起使用。例如，您可以使用系統(tǒng)驅(qū)動的方法來確保在做出任何特定技術(shù)決策之前從概念上識別安全風(fēng)險，然后在您致力于采用特定解決方案后切換到組件驅(qū)動的分析。