幾乎每個(gè)組織都擁有互聯(lián)網(wǎng)連接和某種形式的 IT 基礎(chǔ)設(shè)施，這意味著幾乎所有組織都面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。為了了解這種風(fēng)險(xiǎn)有多大并能夠管理它，組織需要完成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，這是一個(gè)確定哪些資產(chǎn)最容易受到組織面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)影響的過(guò)程。這是一種專門針對(duì)網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)評(píng)估，因此火災(zāi)和洪水等風(fēng)險(xiǎn)（一般風(fēng)險(xiǎn)評(píng)估中會(huì)包括這些風(fēng)險(xiǎn)）不在范圍內(nèi)。

減輕 評(píng)估過(guò)程中發(fā)現(xiàn)的風(fēng)險(xiǎn) 將防止和減少代價(jià)高昂的安全事故和數(shù)據(jù)泄露，并避免監(jiān)管和合規(guī)問(wèn)題。風(fēng)險(xiǎn)評(píng)估過(guò)程還要求組織內(nèi)的每個(gè)人都考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)如何影響組織的目標(biāo)，這有助于 創(chuàng)造一種更具風(fēng)險(xiǎn)意識(shí)的文化。那么，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的核心是什么呢？

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估包含哪些內(nèi)容？

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估要求組織確定其關(guān)鍵業(yè)務(wù)目標(biāo)并確定實(shí)現(xiàn)這些目標(biāo)所必需的信息技術(shù)資產(chǎn)。然后， 識(shí)別可能對(duì)這些資產(chǎn)產(chǎn)生不利影響的網(wǎng)絡(luò)攻擊 ，確定這些攻擊發(fā)生的可能性并了解它們可能產(chǎn)生的影響；總之，為特定業(yè)務(wù)目標(biāo)構(gòu)建完整的威脅環(huán)境圖景。這使利益相關(guān)者和安全團(tuán)隊(duì)能夠做出明智的決定，決定如何以及在何處實(shí)施安全控制，以將總體風(fēng)險(xiǎn)降低到組織可以接受的水平。

如何進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估：五個(gè)步驟

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估可以分為許多部分，但主要有五個(gè)步驟：范圍界定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估和文檔記錄。

步驟 1：確定風(fēng)險(xiǎn)評(píng)估的范圍

風(fēng)險(xiǎn)評(píng)估首先要確定評(píng)估范圍。評(píng)估范圍可以是整個(gè)組織，但這通常太大，因此更可能是業(yè)務(wù)部門、地點(diǎn)或業(yè)務(wù)的特定方面，例如支付處理或 Web 應(yīng)用程序。獲得評(píng)估范圍內(nèi)所有利益相關(guān)者的全力支持至關(guān)重要，因?yàn)樗麄兊囊庖?jiàn)對(duì)于了解哪些資產(chǎn)和流程最重要、識(shí)別風(fēng)險(xiǎn)、評(píng)估影響和定義風(fēng)險(xiǎn)承受水平至關(guān)重要。可能需要專門從事風(fēng)險(xiǎn)評(píng)估的第三方來(lái)幫助他們完成這項(xiàng)資源密集型的工作。

所有參與者都應(yīng)熟悉風(fēng)險(xiǎn)評(píng)估中使用的術(shù)語(yǔ)，例如可能性和影響，以便對(duì)風(fēng)險(xiǎn)的構(gòu)成方式有共同的理解。對(duì)于不熟悉網(wǎng)絡(luò)安全概念的人，ISO/IEC TS 27100 提供了有用的概述。在進(jìn)行風(fēng)險(xiǎn)評(píng)估之前，最好先查看 ISO/IEC 27001 等標(biāo)準(zhǔn)以及 NIST SP 800-37 和 ISO/IEC TS 27110等框架，這些框架可以幫助指導(dǎo)組織如何以結(jié)構(gòu)化的方式評(píng)估其信息安全風(fēng)險(xiǎn)，并確保緩解控制措施適當(dāng)且有效。

各種標(biāo)準(zhǔn)和法律（如 HIPAA、薩班斯-奧克斯利法案和 PCI DSS） 都要求組織完成正式的風(fēng)險(xiǎn)評(píng)估，并且通常會(huì)提供完成評(píng)估的指南和建議。然而， 在進(jìn)行評(píng)估時(shí)，應(yīng)避免采用以合規(guī)性為導(dǎo)向的清單方法 ，因?yàn)閮H僅滿足合規(guī)性要求并不一定意味著組織不會(huì)面臨任何風(fēng)險(xiǎn)。

第二步：如何識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

(1) 識(shí)別資產(chǎn)

您無(wú)法保護(hù)您不知道的東西，因此下一個(gè)任務(wù)是識(shí)別并創(chuàng)建風(fēng)險(xiǎn)評(píng)估范圍內(nèi)所有物理和邏輯資產(chǎn)的清單。在識(shí)別資產(chǎn)時(shí)，不僅要確定那些被視為組織 皇冠上的寶石 的資產(chǎn)（對(duì)業(yè)務(wù)至關(guān)重要的資產(chǎn)，可能是攻擊者的主要目標(biāo)），還要確定攻擊者想要控制的資產(chǎn)，例如 Active Directory 服務(wù)器或圖片存檔和通信系統(tǒng)，以用作擴(kuò)大攻擊的支點(diǎn)。根據(jù)資產(chǎn)清單創(chuàng)建網(wǎng)絡(luò)架構(gòu)圖是一種很好的方法，可以直觀地顯示資產(chǎn)和流程之間的互連和通信路徑以及網(wǎng)絡(luò)入口點(diǎn)，從而使識(shí)別威脅的下一個(gè)任務(wù)變得更容易。

(2) 識(shí)別威脅

威脅是威脅行為者使用的策略、技術(shù)和方法，可能會(huì)對(duì)組織的資產(chǎn)造成損害。為了幫助識(shí)別對(duì)每項(xiàng)資產(chǎn)的潛在威脅，請(qǐng)使用威脅庫(kù)（例如 Mitre ATT&CK 知識(shí)庫(kù)） 和 網(wǎng)絡(luò)威脅聯(lián)盟的資源，它們都提供高質(zhì)量、最新的網(wǎng)絡(luò)威脅信息。安全供應(yīng)商報(bào)告和政府機(jī)構(gòu)（例如 網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）的建議 可以成為有關(guān)特定行業(yè)、垂直行業(yè)和地理區(qū)域或特定技術(shù)中出現(xiàn)的新威脅的極佳新聞來(lái)源。

還要考慮每項(xiàng)資產(chǎn)在洛克希德·馬丁網(wǎng)絡(luò)殺傷鏈中的位置 ，因?yàn)檫@將有助于確定它們所需的保護(hù)類型。網(wǎng)絡(luò)殺傷鏈列出了典型真實(shí)攻擊的階段和目標(biāo)。

(3) 確定可能出現(xiàn)的問(wèn)題

此任務(wù)涉及指定已識(shí)別威脅利用漏洞攻擊范圍內(nèi)資產(chǎn)的后果。例如，考慮以下場(chǎng)景：

• 威脅：攻擊者執(zhí)行 SQL 注入。
• 漏洞/資產(chǎn)：未修補(bǔ)的網(wǎng)絡(luò)服務(wù)器。
• 后果：客戶的私人數(shù)據(jù)被盜，導(dǎo)致監(jiān)管罰款和聲譽(yù)受損。

在這樣的簡(jiǎn)單場(chǎng)景中總結(jié)這些信息，可以讓所有利益相關(guān)者更容易地了解他們?cè)陉P(guān)鍵業(yè)務(wù)目標(biāo)方面面臨的風(fēng)險(xiǎn)，并讓安全團(tuán)隊(duì)更容易確定適當(dāng)?shù)拇胧┖妥罴褜?shí)踐來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)。

步驟 3：分析風(fēng)險(xiǎn)并確定潛在影響

現(xiàn)在是時(shí)候確定步驟 2 中記錄的風(fēng)險(xiǎn)情景實(shí)際發(fā)生的可能性，以及如果發(fā)生對(duì)組織的影響。在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中，風(fēng)險(xiǎn)可能性（即特定威脅能夠利用特定漏洞的概率）應(yīng)基于威脅和漏洞的可發(fā)現(xiàn)性、可利用性和可重現(xiàn)性來(lái)確定，而不是基于歷史事件。這是因?yàn)榫W(wǎng)絡(luò)安全威脅的動(dòng)態(tài)性質(zhì)意味著 可能性 與過(guò)去發(fā)生的頻率沒(méi)有那么緊密的聯(lián)系，例如洪水和地震。

按 1（罕見(jiàn)）到 5（極有可能）的等級(jí)對(duì)可能性進(jìn)行排序，按 1（可忽略）到 5（非常嚴(yán)重）的等級(jí)對(duì)影響進(jìn)行排序，可以輕松創(chuàng)建步驟 4 中所示的風(fēng)險(xiǎn)矩陣。

影響是指威脅利用漏洞造成的后果對(duì)組織造成的損害程度。應(yīng)在每種情況下評(píng)估對(duì)機(jī)密性、完整性和可用性的影響，并將最高影響作為最終分?jǐn)?shù)。評(píng)估的這一方面本質(zhì)上是主觀的，這就是為什么利益相關(guān)者和安全專家的意見(jiàn)如此重要。以 上面的SQL 注入為例 ，對(duì)機(jī)密性的影響評(píng)級(jí)可能會(huì)被評(píng)為“非常嚴(yán)重”。

步驟 4：確定風(fēng)險(xiǎn)并確定其優(yōu)先順序

使用如下所示的風(fēng)險(xiǎn)矩陣，其中風(fēng)險(xiǎn)級(jí)別為“可能性乘以影響”，可以對(duì)每個(gè)風(fēng)險(xiǎn)場(chǎng)景進(jìn)行分類。如果 SQL 注入攻擊的風(fēng)險(xiǎn)被視為“可能”或“極有可能”，則我們的示例風(fēng)險(xiǎn)場(chǎng)景將被歸類為“非常高”。

任何超出商定容忍水平的情況都應(yīng)優(yōu)先處理，以使其在組織的風(fēng)險(xiǎn)容忍水平之內(nèi)。以下是實(shí)現(xiàn)此目的的三種方法：

• 避免。 如果風(fēng)險(xiǎn)大于收益，停止某項(xiàng)活動(dòng)可能是最好的做法，因?yàn)檫@意味著不再接觸它。
• 轉(zhuǎn)移。 通過(guò)將某些操作外包給第三方，例如 DDoS 緩解或購(gòu)買網(wǎng)絡(luò)保險(xiǎn)，與其他方分擔(dān)部分風(fēng)險(xiǎn)。第一方保險(xiǎn)通常僅承保因網(wǎng)絡(luò)事件而產(chǎn)生的費(fèi)用，例如通知客戶數(shù)據(jù)泄露，而第三方保險(xiǎn)將承保數(shù)據(jù)泄露后的和解費(fèi)用以及罰款和罰金。它不承保的是知識(shí)產(chǎn)權(quán)損失或品牌聲譽(yù)受損的無(wú)形成本。
• 緩解。 部署安全控制措施和其他措施，以降低可能性和/或影響，從而將風(fēng)險(xiǎn)水平降低到商定的風(fēng)險(xiǎn)容忍度范圍內(nèi)。應(yīng)將實(shí)施降低不可接受的高風(fēng)險(xiǎn)措施的責(zé)任分配給適當(dāng)?shù)膱F(tuán)隊(duì)。還應(yīng)設(shè)定進(jìn)度和完成報(bào)告的日期，以確保風(fēng)險(xiǎn)所有者和處理計(jì)劃保持最新?tīng)顟B(tài)。

然而，沒(méi)有任何系統(tǒng)或環(huán)境能夠做到 100% 安全，因此總會(huì)存在一些風(fēng)險(xiǎn)。這被稱為 殘留風(fēng)險(xiǎn) ，必須由高級(jí)利益相關(guān)者正式接受，作為 組織網(wǎng)絡(luò)安全戰(zhàn)略的一部分。

步驟 5：記錄所有風(fēng)險(xiǎn)

將所有已識(shí)別的風(fēng)險(xiǎn)情景記錄在風(fēng)險(xiǎn)登記冊(cè)中非常重要 。應(yīng)定期審查和更新風(fēng)險(xiǎn)登記冊(cè)，以確保管理層始終掌握最新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息。風(fēng)險(xiǎn)登記冊(cè)應(yīng)包括以下內(nèi)容：

• 風(fēng)險(xiǎn)情景。
• 識(shí)別日期。
• 現(xiàn)有的安全控制。
• 當(dāng)前風(fēng)險(xiǎn)程度。
• 處理計(jì)劃，即為將風(fēng)險(xiǎn)控制在可接受的風(fēng)險(xiǎn)承受水平內(nèi)而計(jì)劃的活動(dòng)和時(shí)間表，以及投資的商業(yè)理由。
• 進(jìn)展?fàn)顟B(tài)，如治療計(jì)劃的執(zhí)行狀態(tài)。
• 殘留風(fēng)險(xiǎn)，或?qū)嵤┲委熡?jì)劃后的風(fēng)險(xiǎn)水平。
• 風(fēng)險(xiǎn)所有者，指負(fù)責(zé)確保剩余風(fēng)險(xiǎn)保持在容忍水平之內(nèi)的個(gè)人或團(tuán)體。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)龐大且持續(xù)的工作，因此如果要改善組織未來(lái)的安全性，就需要投入時(shí)間和資源。隨著新的網(wǎng)絡(luò)威脅出現(xiàn)以及新系統(tǒng)或新活動(dòng)的引入，需要重復(fù)進(jìn)行評(píng)估；但如果第一次就做得很好，它將為未來(lái)的評(píng)估提供可重復(fù)的流程和模板，同時(shí)降低網(wǎng)絡(luò)攻擊對(duì)業(yè)務(wù)目標(biāo)產(chǎn)生不利影響的可能性。