如何通過(guò)5個(gè)步驟進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
幾乎每個(gè)組織都擁有互聯(lián)網(wǎng)連接和某種形式的 IT 基礎(chǔ)設(shè)施,這意味著幾乎所有組織都面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。為了了解這種風(fēng)險(xiǎn)有多大并能夠管理它,組織需要完成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,這是一個(gè)確定哪些資產(chǎn)最容易受到組織面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)影響的過(guò)程。這是一種專門針對(duì)網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)評(píng)估,因此火災(zāi)和洪水等風(fēng)險(xiǎn)(一般風(fēng)險(xiǎn)評(píng)估中會(huì)包括這些風(fēng)險(xiǎn))不在范圍內(nèi)。
減輕 評(píng)估過(guò)程中發(fā)現(xiàn)的風(fēng)險(xiǎn) 將防止和減少代價(jià)高昂的安全事故和數(shù)據(jù)泄露,并避免監(jiān)管和合規(guī)問(wèn)題。風(fēng)險(xiǎn)評(píng)估過(guò)程還要求組織內(nèi)的每個(gè)人都考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)如何影響組織的目標(biāo),這有助于 創(chuàng)造一種更具風(fēng)險(xiǎn)意識(shí)的文化。那么,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的核心是什么呢?
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估包含哪些內(nèi)容?
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估要求組織確定其關(guān)鍵業(yè)務(wù)目標(biāo)并確定實(shí)現(xiàn)這些目標(biāo)所必需的信息技術(shù)資產(chǎn)。然后, 識(shí)別可能對(duì)這些資產(chǎn)產(chǎn)生不利影響的網(wǎng)絡(luò)攻擊 ,確定這些攻擊發(fā)生的可能性并了解它們可能產(chǎn)生的影響;總之,為特定業(yè)務(wù)目標(biāo)構(gòu)建完整的威脅環(huán)境圖景。這使利益相關(guān)者和安全團(tuán)隊(duì)能夠做出明智的決定,決定如何以及在何處實(shí)施安全控制,以將總體風(fēng)險(xiǎn)降低到組織可以接受的水平。
如何進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估:五個(gè)步驟
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估可以分為許多部分,但主要有五個(gè)步驟:范圍界定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估和文檔記錄。
步驟 1:確定風(fēng)險(xiǎn)評(píng)估的范圍
風(fēng)險(xiǎn)評(píng)估首先要確定評(píng)估范圍。評(píng)估范圍可以是整個(gè)組織,但這通常太大,因此更可能是業(yè)務(wù)部門、地點(diǎn)或業(yè)務(wù)的特定方面,例如支付處理或 Web 應(yīng)用程序。獲得評(píng)估范圍內(nèi)所有利益相關(guān)者的全力支持至關(guān)重要,因?yàn)樗麄兊囊庖?jiàn)對(duì)于了解哪些資產(chǎn)和流程最重要、識(shí)別風(fēng)險(xiǎn)、評(píng)估影響和定義風(fēng)險(xiǎn)承受水平至關(guān)重要。可能需要專門從事風(fēng)險(xiǎn)評(píng)估的第三方來(lái)幫助他們完成這項(xiàng)資源密集型的工作。
所有參與者都應(yīng)熟悉風(fēng)險(xiǎn)評(píng)估中使用的術(shù)語(yǔ),例如可能性和影響,以便對(duì)風(fēng)險(xiǎn)的構(gòu)成方式有共同的理解。對(duì)于不熟悉網(wǎng)絡(luò)安全概念的人,ISO/IEC TS 27100 提供了有用的概述。在進(jìn)行風(fēng)險(xiǎn)評(píng)估之前,最好先查看 ISO/IEC 27001 等標(biāo)準(zhǔn)以及 NIST SP 800-37 和 ISO/IEC TS 27110等框架,這些框架可以幫助指導(dǎo)組織如何以結(jié)構(gòu)化的方式評(píng)估其信息安全風(fēng)險(xiǎn),并確保緩解控制措施適當(dāng)且有效。
各種標(biāo)準(zhǔn)和法律(如 HIPAA、薩班斯-奧克斯利法案和 PCI DSS) 都要求組織完成正式的風(fēng)險(xiǎn)評(píng)估,并且通常會(huì)提供完成評(píng)估的指南和建議。然而, 在進(jìn)行評(píng)估時(shí),應(yīng)避免采用以合規(guī)性為導(dǎo)向的清單方法 ,因?yàn)閮H僅滿足合規(guī)性要求并不一定意味著組織不會(huì)面臨任何風(fēng)險(xiǎn)。
第二步:如何識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
(1) 識(shí)別資產(chǎn)
您無(wú)法保護(hù)您不知道的東西,因此下一個(gè)任務(wù)是識(shí)別并創(chuàng)建風(fēng)險(xiǎn)評(píng)估范圍內(nèi)所有物理和邏輯資產(chǎn)的清單。在識(shí)別資產(chǎn)時(shí),不僅要確定那些被視為組織 皇冠上的寶石 的資產(chǎn)(對(duì)業(yè)務(wù)至關(guān)重要的資產(chǎn),可能是攻擊者的主要目標(biāo)),還要確定攻擊者想要控制的資產(chǎn),例如 Active Directory 服務(wù)器或圖片存檔和通信系統(tǒng),以用作擴(kuò)大攻擊的支點(diǎn)。根據(jù)資產(chǎn)清單創(chuàng)建網(wǎng)絡(luò)架構(gòu)圖是一種很好的方法,可以直觀地顯示資產(chǎn)和流程之間的互連和通信路徑以及網(wǎng)絡(luò)入口點(diǎn),從而使識(shí)別威脅的下一個(gè)任務(wù)變得更容易。
(2) 識(shí)別威脅
威脅是威脅行為者使用的策略、技術(shù)和方法,可能會(huì)對(duì)組織的資產(chǎn)造成損害。為了幫助識(shí)別對(duì)每項(xiàng)資產(chǎn)的潛在威脅,請(qǐng)使用威脅庫(kù)(例如 Mitre ATT&CK 知識(shí)庫(kù)) 和 網(wǎng)絡(luò)威脅聯(lián)盟的資源,它們都提供高質(zhì)量、最新的網(wǎng)絡(luò)威脅信息。安全供應(yīng)商報(bào)告和政府機(jī)構(gòu)(例如 網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局)的建議 可以成為有關(guān)特定行業(yè)、垂直行業(yè)和地理區(qū)域或特定技術(shù)中出現(xiàn)的新威脅的極佳新聞來(lái)源。
還要考慮每項(xiàng)資產(chǎn)在洛克希德·馬丁網(wǎng)絡(luò)殺傷鏈中的位置 ,因?yàn)檫@將有助于確定它們所需的保護(hù)類型。網(wǎng)絡(luò)殺傷鏈列出了典型真實(shí)攻擊的階段和目標(biāo)。
(3) 確定可能出現(xiàn)的問(wèn)題
此任務(wù)涉及指定已識(shí)別威脅利用漏洞攻擊范圍內(nèi)資產(chǎn)的后果。例如,考慮以下場(chǎng)景:
- 威脅:攻擊者執(zhí)行 SQL 注入。
- 漏洞/資產(chǎn):未修補(bǔ)的網(wǎng)絡(luò)服務(wù)器。
- 后果:客戶的私人數(shù)據(jù)被盜,導(dǎo)致監(jiān)管罰款和聲譽(yù)受損。
在這樣的簡(jiǎn)單場(chǎng)景中總結(jié)這些信息,可以讓所有利益相關(guān)者更容易地了解他們?cè)陉P(guān)鍵業(yè)務(wù)目標(biāo)方面面臨的風(fēng)險(xiǎn),并讓安全團(tuán)隊(duì)更容易確定適當(dāng)?shù)拇胧┖妥罴褜?shí)踐來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)。
步驟 3:分析風(fēng)險(xiǎn)并確定潛在影響
現(xiàn)在是時(shí)候確定步驟 2 中記錄的風(fēng)險(xiǎn)情景實(shí)際發(fā)生的可能性,以及如果發(fā)生對(duì)組織的影響。在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中,風(fēng)險(xiǎn)可能性(即特定威脅能夠利用特定漏洞的概率)應(yīng)基于威脅和漏洞的可發(fā)現(xiàn)性、可利用性和可重現(xiàn)性來(lái)確定,而不是基于歷史事件。這是因?yàn)榫W(wǎng)絡(luò)安全威脅的動(dòng)態(tài)性質(zhì)意味著 可能性 與過(guò)去發(fā)生的頻率沒(méi)有那么緊密的聯(lián)系,例如洪水和地震。
按 1(罕見(jiàn))到 5(極有可能)的等級(jí)對(duì)可能性進(jìn)行排序,按 1(可忽略)到 5(非常嚴(yán)重)的等級(jí)對(duì)影響進(jìn)行排序,可以輕松創(chuàng)建步驟 4 中所示的風(fēng)險(xiǎn)矩陣。
影響是指威脅利用漏洞造成的后果對(duì)組織造成的損害程度。應(yīng)在每種情況下評(píng)估對(duì)機(jī)密性、完整性和可用性的影響,并將最高影響作為最終分?jǐn)?shù)。評(píng)估的這一方面本質(zhì)上是主觀的,這就是為什么利益相關(guān)者和安全專家的意見(jiàn)如此重要。以 上面的SQL 注入為例 ,對(duì)機(jī)密性的影響評(píng)級(jí)可能會(huì)被評(píng)為“非常嚴(yán)重”。
步驟 4:確定風(fēng)險(xiǎn)并確定其優(yōu)先順序
使用如下所示的風(fēng)險(xiǎn)矩陣,其中風(fēng)險(xiǎn)級(jí)別為“可能性乘以影響”,可以對(duì)每個(gè)風(fēng)險(xiǎn)場(chǎng)景進(jìn)行分類。如果 SQL 注入攻擊的風(fēng)險(xiǎn)被視為“可能”或“極有可能”,則我們的示例風(fēng)險(xiǎn)場(chǎng)景將被歸類為“非常高”。
任何超出商定容忍水平的情況都應(yīng)優(yōu)先處理,以使其在組織的風(fēng)險(xiǎn)容忍水平之內(nèi)。以下是實(shí)現(xiàn)此目的的三種方法:
- 避免。 如果風(fēng)險(xiǎn)大于收益,停止某項(xiàng)活動(dòng)可能是最好的做法,因?yàn)檫@意味著不再接觸它。
- 轉(zhuǎn)移。 通過(guò)將某些操作外包給第三方,例如 DDoS 緩解或購(gòu)買網(wǎng)絡(luò)保險(xiǎn),與其他方分擔(dān)部分風(fēng)險(xiǎn)。第一方保險(xiǎn)通常僅承保因網(wǎng)絡(luò)事件而產(chǎn)生的費(fèi)用,例如通知客戶數(shù)據(jù)泄露,而第三方保險(xiǎn)將承保數(shù)據(jù)泄露后的和解費(fèi)用以及罰款和罰金。它不承保的是知識(shí)產(chǎn)權(quán)損失或品牌聲譽(yù)受損的無(wú)形成本。
- 緩解。 部署安全控制措施和其他措施,以降低可能性和/或影響,從而將風(fēng)險(xiǎn)水平降低到商定的風(fēng)險(xiǎn)容忍度范圍內(nèi)。應(yīng)將實(shí)施降低不可接受的高風(fēng)險(xiǎn)措施的責(zé)任分配給適當(dāng)?shù)膱F(tuán)隊(duì)。還應(yīng)設(shè)定進(jìn)度和完成報(bào)告的日期,以確保風(fēng)險(xiǎn)所有者和處理計(jì)劃保持最新?tīng)顟B(tài)。
然而,沒(méi)有任何系統(tǒng)或環(huán)境能夠做到 100% 安全,因此總會(huì)存在一些風(fēng)險(xiǎn)。這被稱為 殘留風(fēng)險(xiǎn) ,必須由高級(jí)利益相關(guān)者正式接受,作為 組織網(wǎng)絡(luò)安全戰(zhàn)略的一部分。
步驟 5:記錄所有風(fēng)險(xiǎn)
將所有已識(shí)別的風(fēng)險(xiǎn)情景記錄在風(fēng)險(xiǎn)登記冊(cè)中非常重要 。應(yīng)定期審查和更新風(fēng)險(xiǎn)登記冊(cè),以確保管理層始終掌握最新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息。風(fēng)險(xiǎn)登記冊(cè)應(yīng)包括以下內(nèi)容:
- 風(fēng)險(xiǎn)情景。
- 識(shí)別日期。
- 現(xiàn)有的安全控制。
- 當(dāng)前風(fēng)險(xiǎn)程度。
- 處理計(jì)劃,即為將風(fēng)險(xiǎn)控制在可接受的風(fēng)險(xiǎn)承受水平內(nèi)而計(jì)劃的活動(dòng)和時(shí)間表,以及投資的商業(yè)理由。
- 進(jìn)展?fàn)顟B(tài),如治療計(jì)劃的執(zhí)行狀態(tài)。
- 殘留風(fēng)險(xiǎn),或?qū)嵤┲委熡?jì)劃后的風(fēng)險(xiǎn)水平。
- 風(fēng)險(xiǎn)所有者,指負(fù)責(zé)確保剩余風(fēng)險(xiǎn)保持在容忍水平之內(nèi)的個(gè)人或團(tuán)體。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)龐大且持續(xù)的工作,因此如果要改善組織未來(lái)的安全性,就需要投入時(shí)間和資源。隨著新的網(wǎng)絡(luò)威脅出現(xiàn)以及新系統(tǒng)或新活動(dòng)的引入,需要重復(fù)進(jìn)行評(píng)估;但如果第一次就做得很好,它將為未來(lái)的評(píng)估提供可重復(fù)的流程和模板,同時(shí)降低網(wǎng)絡(luò)攻擊對(duì)業(yè)務(wù)目標(biāo)產(chǎn)生不利影響的可能性。