网络安全之风险管理:了解组件驱动的风险管理
网络安全中组件驱动的风险管理原则。
组件驱动的风险评估是网络安全行业中最成熟和最常见的评估类型。本文描述了组件驱动技术的共同点,它们在哪些方面增加了价值,哪些方面没有。
一旦了解了这些基础知识,应该能够掌握任何组件驱动的标准或框架(因为它们基于类似的风险观点)并了解它们与系统驱动方法的区别。
如果还没有这样做,请在阅读本文之前阅读组件驱动和系统驱动的风险评估简介。
范围和资产
不出所料,组件驱动的风险评估侧重于系统组件。那么我们所说的“系统组件”是什么意思呢?典型的例子包括:
硬件(计算机、服务器等)
软件
数据集
服务
个人信息
关键业务信息
职员
对系统组件的关注要求您首先定义正在分析的功能(例如,工资单功能)。此功能称为评估的“范围”。然后,您需要说明在对范围的风险评估中考虑了哪些组件,哪些不是。这通常被称为“资产清单”或“资产登记册”。
无法控制的组件(但您自己的系统所依赖的组件)称为依赖项,并且可以包含在资产列表中,前提是这些依赖项如何影响可以控制的组件。范围有时最好以图表的形式呈现,它清楚地显示了哪些内容、哪些内容以及关键资产是如何连接的。
风险要素
一旦确定了范围,大多数组件驱动的方法都需要风险分析师评估风险的三个要素。这三个要素通常用影响、脆弱性和威胁这三个术语来描述。
影响
影响是风险被实现的后果。在进行组件驱动的风险评估时,影响通常是根据给定资产以给定方式受到损害的后果来描述的。这种影响以不同的方式描述,但更常见的技术之一是评估对信息的机密性、完整性和可用性的影响。例如,可能会根据客户数据集的机密性丢失或公司帐户的损坏(完整性丢失)来描述影响。这些财产之一的损失可能与其他类型的后果有关,例如金钱损失、生命损失、项目延误或任何其他类型的不良后果。
漏洞
漏洞是组件中的一个弱点,可以有意或无意地实现影响。例如,漏洞可能是允许用户非法增加其用户账户权限的软件,或业务流程中的弱点(例如,在向某人颁发访问在线系统的凭据之前未正确检查某人的身份或服务)。无论所讨论的漏洞类型如何,它都可以用来造成影响。
威胁
威胁是导致特定影响发生的个人、团体或环境。例如,这可能是:
一个孤独的黑客,或一个国家资助的团体
犯了诚实错误的员工
组织无法控制的情况(例如高影响天气)
评估威胁的目的是改进对给定风险实现可能性的评估。通常,在评估人类威胁行为者时,分析师会考虑可能想要伤害组织的人。这使他们能够同时考虑这些团体的能力和意图。风险专家使用威胁分类法和分类方法来提供威胁能力的通用语言。
威胁评估的弱点之一是威胁的能力可以迅速变化,并且很难获得关于这些变化的可靠信息。因此,不要对威胁能力的评估视为静态评估,并确保认识到威胁评估中的不确定性和可变性。
应用和传达威胁、脆弱性和影响
一旦评估了这些风险要素,下一步就是将这些评估结合起来,以确定哪些风险最令人担忧。一些技术通过将威胁、脆弱性和影响的评估组合到每个系统组件的单一风险度量中来实现这一点。这并不像某些标准声称的那样简单。风险的三个组成部分彼此根本不同,比较它们就像比较苹果和橙子。一些方法建议使用风险矩阵来结合对威胁、脆弱性和影响的评估。
优先考虑的风险
一旦对各种威胁、脆弱性和影响进行评估并组合以创建风险列表,就可以根据它们的相关程度对它们进行优先级排序。可以首先管理最相关的风险。可以通过多种方式传达风险的优先级。例如,可以:
估计影响的财务损失(如果要实现)
提供资产受到损害时需要发生的事件链的叙述
许多标准化的组件驱动风险管理技术使用定性标签来描述影响级别,通常带有“高”、“中”和“低”等标签。虽然这些相当直观,但研究表明,不同的人对这些标签的解释方式存在巨大差异。当考虑到这种理解上缺乏一致性时,应该非常谨慎地使用这些标签(以及类似的“红绿灯”方法)。使用的技术应该适合风险评估的受众;它想影响谁?你想告知什么决定?从评估中提供的信息是否有助于或阻碍决策?
有些方法有一个现成的任务或目标列表,可用于减轻已识别的风险。这些被称为“控制集”,可以从中为每个风险选择最合适的缓解措施。
常用的组件驱动网络风险管理方法和框架
本节简要介绍常用的组件驱动的网络风险管理方法和框架。
选择适合技术
在选择风险方法或框架时,需要考虑:
使用该方法的总成本。例如,工具、许可和专业知识的采购。
项目范围。风险方法是否与正在评估的内容相称?
确保所需的资源是相称的和可持续的。需要哪些专业资源,现实有吗?
是否有任何许可限制?
方法/框架 它是什么?
它是如何工作的? 它是给谁的? 成本和先决条件 ISO/IEC 27005:2011 为信息风险管理提供指南的国际标准。虽然它确实概述了一个通用的风险评估过程,但它将风险评估技术的选择留给了企业。
ISO 27005 是 ISO 27000 系列标准的一部分。
该标准没有规定应该使用哪种风险管理技术。因此,这可以包括系统驱动和组件驱动技术。但是,ISO 27005 要求风险评估考虑威胁、漏洞和影响,这强调了组件驱动的方法。 ISO 27005 的原则可应用于各种类型和规模的组织。 鉴于指南的广泛性质,需要专业技能资源来根据业务要求定制实施。这些资源的成本应与购买标准的成本一起考虑。 信息安全论坛 (ISF) IRAM 2 ISF 的风险管理方法旨在帮助组织更好地理解和管理信息风险。
该方法使用多个阶段,通过对风险组成部分(威胁、脆弱性和影响)的分析和评估来识别、评估和处理风险。 IRAM 2 针对组织。 IRAM 2 仅提供给 ISF 的成员,组织需要具备适当的信息风险管理专业知识才能有效地使用它。这应该被计入成本。 HMG 信息保障标准 1 和 2 信息保障标准 1 & 2 (IS 1&2) 及其支持文件是一套传统的信息风险管理指南,由 CESG 在创建国家网络安全中心之前制定。
使用 IS 1 和 2 进行技术风险管理曾经是公共部门组织的强制性要求。虽然这种情况在 2015 年不再是这种情况,此后不再支持该标准,但 IS 1 和 2 中的风险评估方法仍然可用。
风险处理方法包括:制定风险处理计划、定义已识别控制的实施方法(主要基于 ISO 27002)、制定保证计划、剩余风险评估和差距分析。风险评估方法包括定义范围、相应的信息资产,然后对其进行影响、威胁和脆弱性评估。 IS 1 和 2 主要由公共部门组织使用。然而,它也可以被任何组织用来评估和管理他们的技术风险。 IS1 和 2 中介绍的步骤很复杂,需要熟练的从业者才能获得一致且合理的结果。 美国国家标准与技术研究院 (NIST) SP 800-30 美国政府首选的风险评估方法,强制要求美国政府机构使用。它具有详细的分步过程,从准备评估的初始阶段到进行评估、交流结果和维护评估。指南本身是全面而清晰的。不出所料,作为美国标准,NIST 风险管理框架中的大部分支持文档都非常关注美国,通常关注可能与非美国用户几乎没有关系的监管问题。 SP 800-30 中的风险评估过程从为过程建立上下文、范围、假设和关键信息源的准备步骤中获取输入,然后使用已识别的威胁和漏洞来确定可能性、影响和风险。接下来的流程要求传达结果并维护评估,包括监控控制的有效性和验证合规性。 该方法应可供私营和公共部门中各种规模的组织使用。它旨在与 ISO 标准一致,并且足够灵活以与其他风险管理框架一起使用。 它可以直接从 NIST 网站免费获得。 八度快板 运营关键威胁、资产和漏洞评估 (OCTAVE) 方法源自美国卡内基梅隆大学。旧版本仍在使用,但最新版本 OCTAVE Allegro 更加精简并得到积极支持。它主要用于定性评估,但也可用于简单的定量分析。 Octave Allegro 是一种以资产为中心的方法。第一步是针对组织的驱动因素和目标建立一致的、定性的风险衡量标准。在对资产进行概要分析后,根据现实世界的情况考虑威胁和影响以识别风险。然后根据风险衡量标准和计划的缓解措施对这些风险进行优先排序。 OCTAVE 旨在以“研讨会”的方式进行管理,由来自业务运营和 IT 领域的一小部分参与者组成,不需要广泛的专业知识。因此,这种方法可能适合寻求风险评估过程的组织,该过程无需在培训或顾问方面投入大量资金。 执行风险评估的资源可以免费下载,并且是该过程不可或缺的一部分。 ISACA COBIT 5 风险 COBIT 5 for Risk 由 ISACA 提供,提供涵盖治理和理解企业 IT 风险的指南。 COBIT 5 for Risk 以原则和指南的形式提供风险管理和治理框架。 COBIT 5 for Risk 可能适合寻求改进其安全风险管理和治理方法的组织 COBIT 5 for Risk 手册可在 ISACA 网站上购买。希望使用 COBIT 5 for Risk 的组织还需要考虑实施其指南和原则所需的任何专家资源。
参考来源:英国国家网络安全中心官网