幾乎每個組織都擁有互聯(lián)網(wǎng)連接和某種形式的 IT 基礎(chǔ)設(shè)施，這意味著幾乎所有組織都面臨網(wǎng)絡(luò)攻擊的風險。為了了解這種風險有多大并能夠管理它，組織需要完成網(wǎng)絡(luò)安全風險評估，這是一個確定哪些資產(chǎn)最容易受到組織面臨的網(wǎng)絡(luò)風險影響的過程。這是一種專門針對網(wǎng)絡(luò)威脅的風險評估，因此火災(zāi)和洪水等風險（一般風險評估中會包括這些風險）不在范圍內(nèi)。

減輕 評估過程中發(fā)現(xiàn)的風險 將防止和減少代價高昂的安全事故和數(shù)據(jù)泄露，并避免監(jiān)管和合規(guī)問題。風險評估過程還要求組織內(nèi)的每個人都考慮網(wǎng)絡(luò)安全風險如何影響組織的目標，這有助于 創(chuàng)造一種更具風險意識的文化。那么，網(wǎng)絡(luò)安全風險評估的核心是什么呢？

網(wǎng)絡(luò)安全風險評估包含哪些內(nèi)容？

網(wǎng)絡(luò)安全風險評估要求組織確定其關(guān)鍵業(yè)務(wù)目標并確定實現(xiàn)這些目標所必需的信息技術(shù)資產(chǎn)。然后， 識別可能對這些資產(chǎn)產(chǎn)生不利影響的網(wǎng)絡(luò)攻擊 ，確定這些攻擊發(fā)生的可能性并了解它們可能產(chǎn)生的影響；總之，為特定業(yè)務(wù)目標構(gòu)建完整的威脅環(huán)境圖景。這使利益相關(guān)者和安全團隊能夠做出明智的決定，決定如何以及在何處實施安全控制，以將總體風險降低到組織可以接受的水平。

如何進行網(wǎng)絡(luò)安全風險評估：五個步驟

網(wǎng)絡(luò)安全風險評估可以分為許多部分，但主要有五個步驟：范圍界定、風險識別、風險分析、風險評估和文檔記錄。

步驟 1：確定風險評估的范圍

風險評估首先要確定評估范圍。評估范圍可以是整個組織，但這通常太大，因此更可能是業(yè)務(wù)部門、地點或業(yè)務(wù)的特定方面，例如支付處理或 Web 應(yīng)用程序。獲得評估范圍內(nèi)所有利益相關(guān)者的全力支持至關(guān)重要，因為他們的意見對于了解哪些資產(chǎn)和流程最重要、識別風險、評估影響和定義風險承受水平至關(guān)重要。可能需要專門從事風險評估的第三方來幫助他們完成這項資源密集型的工作。

所有參與者都應(yīng)熟悉風險評估中使用的術(shù)語，例如可能性和影響，以便對風險的構(gòu)成方式有共同的理解。對于不熟悉網(wǎng)絡(luò)安全概念的人，ISO/IEC TS 27100 提供了有用的概述。在進行風險評估之前，最好先查看 ISO/IEC 27001 等標準以及 NIST SP 800-37 和 ISO/IEC TS 27110等框架，這些框架可以幫助指導(dǎo)組織如何以結(jié)構(gòu)化的方式評估其信息安全風險，并確保緩解控制措施適當且有效。

各種標準和法律（如 HIPAA、薩班斯-奧克斯利法案和 PCI DSS） 都要求組織完成正式的風險評估，并且通常會提供完成評估的指南和建議。然而， 在進行評估時，應(yīng)避免采用以合規(guī)性為導(dǎo)向的清單方法 ，因為僅僅滿足合規(guī)性要求并不一定意味著組織不會面臨任何風險。

第二步：如何識別網(wǎng)絡(luò)安全風險

(1) 識別資產(chǎn)

您無法保護您不知道的東西，因此下一個任務(wù)是識別并創(chuàng)建風險評估范圍內(nèi)所有物理和邏輯資產(chǎn)的清單。在識別資產(chǎn)時，不僅要確定那些被視為組織 皇冠上的寶石 的資產(chǎn)（對業(yè)務(wù)至關(guān)重要的資產(chǎn)，可能是攻擊者的主要目標），還要確定攻擊者想要控制的資產(chǎn)，例如 Active Directory 服務(wù)器或圖片存檔和通信系統(tǒng)，以用作擴大攻擊的支點。根據(jù)資產(chǎn)清單創(chuàng)建網(wǎng)絡(luò)架構(gòu)圖是一種很好的方法，可以直觀地顯示資產(chǎn)和流程之間的互連和通信路徑以及網(wǎng)絡(luò)入口點，從而使識別威脅的下一個任務(wù)變得更容易。

(2) 識別威脅

威脅是威脅行為者使用的策略、技術(shù)和方法，可能會對組織的資產(chǎn)造成損害。為了幫助識別對每項資產(chǎn)的潛在威脅，請使用威脅庫（例如 Mitre ATT&CK 知識庫） 和 網(wǎng)絡(luò)威脅聯(lián)盟的資源，它們都提供高質(zhì)量、最新的網(wǎng)絡(luò)威脅信息。安全供應(yīng)商報告和政府機構(gòu)（例如 網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）的建議 可以成為有關(guān)特定行業(yè)、垂直行業(yè)和地理區(qū)域或特定技術(shù)中出現(xiàn)的新威脅的極佳新聞來源。

還要考慮每項資產(chǎn)在洛克希德·馬丁網(wǎng)絡(luò)殺傷鏈中的位置 ，因為這將有助于確定它們所需的保護類型。網(wǎng)絡(luò)殺傷鏈列出了典型真實攻擊的階段和目標。

(3) 確定可能出現(xiàn)的問題

此任務(wù)涉及指定已識別威脅利用漏洞攻擊范圍內(nèi)資產(chǎn)的后果。例如，考慮以下場景：

• 威脅：攻擊者執(zhí)行 SQL 注入。
• 漏洞/資產(chǎn)：未修補的網(wǎng)絡(luò)服務(wù)器。
• 后果：客戶的私人數(shù)據(jù)被盜，導(dǎo)致監(jiān)管罰款和聲譽受損。

在這樣的簡單場景中總結(jié)這些信息，可以讓所有利益相關(guān)者更容易地了解他們在關(guān)鍵業(yè)務(wù)目標方面面臨的風險，并讓安全團隊更容易確定適當?shù)拇胧┖妥罴褜嵺`來應(yīng)對風險。

步驟 3：分析風險并確定潛在影響

現(xiàn)在是時候確定步驟 2 中記錄的風險情景實際發(fā)生的可能性，以及如果發(fā)生對組織的影響。在網(wǎng)絡(luò)安全風險評估中，風險可能性（即特定威脅能夠利用特定漏洞的概率）應(yīng)基于威脅和漏洞的可發(fā)現(xiàn)性、可利用性和可重現(xiàn)性來確定，而不是基于歷史事件。這是因為網(wǎng)絡(luò)安全威脅的動態(tài)性質(zhì)意味著 可能性 與過去發(fā)生的頻率沒有那么緊密的聯(lián)系，例如洪水和地震。

按 1（罕見）到 5（極有可能）的等級對可能性進行排序，按 1（可忽略）到 5（非常嚴重）的等級對影響進行排序，可以輕松創(chuàng)建步驟 4 中所示的風險矩陣。

影響是指威脅利用漏洞造成的后果對組織造成的損害程度。應(yīng)在每種情況下評估對機密性、完整性和可用性的影響，并將最高影響作為最終分數(shù)。評估的這一方面本質(zhì)上是主觀的，這就是為什么利益相關(guān)者和安全專家的意見如此重要。以 上面的SQL 注入為例 ，對機密性的影響評級可能會被評為“非常嚴重”。

步驟 4：確定風險并確定其優(yōu)先順序

使用如下所示的風險矩陣，其中風險級別為“可能性乘以影響”，可以對每個風險場景進行分類。如果 SQL 注入攻擊的風險被視為“可能”或“極有可能”，則我們的示例風險場景將被歸類為“非常高”。

任何超出商定容忍水平的情況都應(yīng)優(yōu)先處理，以使其在組織的風險容忍水平之內(nèi)。以下是實現(xiàn)此目的的三種方法：

• 避免。 如果風險大于收益，停止某項活動可能是最好的做法，因為這意味著不再接觸它。
• 轉(zhuǎn)移。 通過將某些操作外包給第三方，例如 DDoS 緩解或購買網(wǎng)絡(luò)保險，與其他方分擔部分風險。第一方保險通常僅承保因網(wǎng)絡(luò)事件而產(chǎn)生的費用，例如通知客戶數(shù)據(jù)泄露，而第三方保險將承保數(shù)據(jù)泄露后的和解費用以及罰款和罰金。它不承保的是知識產(chǎn)權(quán)損失或品牌聲譽受損的無形成本。
• 緩解。 部署安全控制措施和其他措施，以降低可能性和/或影響，從而將風險水平降低到商定的風險容忍度范圍內(nèi)。應(yīng)將實施降低不可接受的高風險措施的責任分配給適當?shù)膱F隊。還應(yīng)設(shè)定進度和完成報告的日期，以確保風險所有者和處理計劃保持最新狀態(tài)。

然而，沒有任何系統(tǒng)或環(huán)境能夠做到 100% 安全，因此總會存在一些風險。這被稱為 殘留風險 ，必須由高級利益相關(guān)者正式接受，作為 組織網(wǎng)絡(luò)安全戰(zhàn)略的一部分。

步驟 5：記錄所有風險

將所有已識別的風險情景記錄在風險登記冊中非常重要 。應(yīng)定期審查和更新風險登記冊，以確保管理層始終掌握最新的網(wǎng)絡(luò)安全風險信息。風險登記冊應(yīng)包括以下內(nèi)容：

• 風險情景。
• 識別日期。
• 現(xiàn)有的安全控制。
• 當前風險程度。
• 處理計劃，即為將風險控制在可接受的風險承受水平內(nèi)而計劃的活動和時間表，以及投資的商業(yè)理由。
• 進展狀態(tài)，如治療計劃的執(zhí)行狀態(tài)。
• 殘留風險，或?qū)嵤┲委熡媱澓蟮娘L險水平。
• 風險所有者，指負責確保剩余風險保持在容忍水平之內(nèi)的個人或團體。

網(wǎng)絡(luò)安全風險評估是一項龐大且持續(xù)的工作，因此如果要改善組織未來的安全性，就需要投入時間和資源。隨著新的網(wǎng)絡(luò)威脅出現(xiàn)以及新系統(tǒng)或新活動的引入，需要重復(fù)進行評估；但如果第一次就做得很好，它將為未來的評估提供可重復(fù)的流程和模板，同時降低網(wǎng)絡(luò)攻擊對業(yè)務(wù)目標產(chǎn)生不利影響的可能性。