高效開展網(wǎng)絡(luò)安全風(fēng)險評估的六要素
2022年09月30日
隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入,各種網(wǎng)絡(luò)安全風(fēng)險的數(shù)量和復(fù)雜度也在快速提升����。在此背景下,現(xiàn)代企業(yè)的安全管理團(tuán)隊需要及時轉(zhuǎn)變防護(hù)思路����,從傳統(tǒng)安全事件發(fā)生后的被動響應(yīng)模式,轉(zhuǎn)變到提前開展網(wǎng)絡(luò)安全風(fēng)險評估�,實現(xiàn)對未知安全威脅的主動預(yù)防。
網(wǎng)絡(luò)安全風(fēng)險評估是指從風(fēng)險管理的角度�����,運(yùn)用科學(xué)的手段���,系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性��。通過開展風(fēng)險評估工作�,企業(yè)組織可以對重要信息系統(tǒng)所面臨的信息安全風(fēng)險進(jìn)行發(fā)現(xiàn)識別和定性評估�。同時根據(jù)評估結(jié)果,企業(yè)可以更有針對性地進(jìn)行威脅管控和處置,對企業(yè)網(wǎng)絡(luò)安全建設(shè)中的薄弱環(huán)節(jié)進(jìn)行優(yōu)先處理和加固���。這樣可以更有效的提升企業(yè)網(wǎng)絡(luò)安全防護(hù)水平���。
安全事件的發(fā)生是有概率的,不能只根據(jù)安全威脅的發(fā)現(xiàn)時間和可能后果���,便決定網(wǎng)絡(luò)安全的投入和安全措施的強(qiáng)度�����。對于一些被實際利用的概率極低的安全風(fēng)險��,即使其具有比較嚴(yán)重的爆發(fā)后果�,也不需要不計代價地進(jìn)行修復(fù)處置��。企業(yè)在開展網(wǎng)絡(luò)安全風(fēng)險評估時�,必須堅持綜合考慮安全事件的后果影響及其可利用性的評價原則。
網(wǎng)絡(luò)安全風(fēng)險評估還需要組織確定關(guān)鍵業(yè)務(wù)目標(biāo)�����,并識別對實現(xiàn)這些目標(biāo)至關(guān)重要的信息資產(chǎn)�,然后識別可能對這些資產(chǎn)帶來不利影響的網(wǎng)絡(luò)攻擊�����,從而準(zhǔn)確了解相關(guān)業(yè)務(wù)所面臨的威脅環(huán)境。這可以讓業(yè)務(wù)部門和安全團(tuán)隊共同做出最優(yōu)化的處置決定�,實施合理的安全控制措施,將整體風(fēng)險隱患降低到企業(yè)能夠接受的范圍中����。
開展網(wǎng)絡(luò)安全風(fēng)險評估涉及到資產(chǎn)、威脅�����、脆弱性等許多基礎(chǔ)性要素��,每個要素都有各自的要求和屬性�����。為了保障風(fēng)險評估工作取得預(yù)定的實際效果���,企業(yè)應(yīng)該在評估中做好以下方面的工作要素準(zhǔn)備:
風(fēng)險評估應(yīng)先確定評估的范圍�。一般情況下���,風(fēng)險評估的范圍需要覆蓋整個組織����,但這樣會讓評估工作過于繁重。因此�����,可以先從某些業(yè)務(wù)部門�、場所或公司的特定領(lǐng)域開始實施,比如支付處理或Web應(yīng)用程序�����。在風(fēng)險評估工作開始前���,需要盡可能全面地了解業(yè)務(wù)部門的需求和意見��,這有助于了解各種網(wǎng)絡(luò)資產(chǎn)和流程的重要性����、風(fēng)險隱患�、評估影響以及對風(fēng)險的承受程度。在進(jìn)行風(fēng)險評估之前�,為了更好的指導(dǎo)組織有條不紊地評估信息安全風(fēng)險��,確保緩解控制措施適當(dāng)且有效���,評估人員還應(yīng)當(dāng)審視ISO/IEC 27001標(biāo)準(zhǔn)和NIST SP 800-37等主流安全框架。
有效開展網(wǎng)絡(luò)安全風(fēng)險評估���,需要明確知道應(yīng)該保護(hù)的對象是誰,因此�����,評估團(tuán)隊?wèi)?yīng)該識別并清點風(fēng)險評估范圍內(nèi)的所有包括軟件和硬件在內(nèi)的信息資產(chǎn)�����。對業(yè)務(wù)至關(guān)重要的資產(chǎn)不僅是識別和清點的重點�,也同樣是攻擊者的主要目標(biāo),所以需要在資產(chǎn)識別的基礎(chǔ)上�����,盡可能做好系統(tǒng)威脅暴露面的管理����。通過對信息資產(chǎn)的清點����,不僅便于可視化資產(chǎn)和流程之間的連接路徑�,還可以了解網(wǎng)絡(luò)的出入點,從而使識別威脅隱患變得更加容易�。
威脅利用方法是指不法分子可能使用的對組織資產(chǎn)造成損害的策略、技術(shù)和方法�����。為了幫助識別各項信息資產(chǎn)可能存在的威脅隱患��,在風(fēng)險評估中應(yīng)該使用MITRE ATT&CK之類的威脅知識庫����,直觀地呈現(xiàn)典型攻擊的各種階段和目標(biāo),這樣有助于確定他們需要的保護(hù)類型�����。
分析潛在風(fēng)險是為了評估風(fēng)險場景實際發(fā)生的可能性����,以及一旦發(fā)生后對組織造成的影響。在網(wǎng)絡(luò)安全風(fēng)險評估中�����,風(fēng)險實際發(fā)生的可能性應(yīng)該取決于威脅和漏洞的可發(fā)現(xiàn)性、可利用性和可再現(xiàn)性���,而不是取決于歷史經(jīng)驗的套用����。影響是指威脅利用漏洞的后果對組織造成的危害程度�����,應(yīng)在每個場景中評估對機(jī)密性����、完整性和可用性造成的影響����。這一部分的評估在本質(zhì)上是非常主觀的,因此評估者的專業(yè)度和經(jīng)驗積累就非常重要�����。
通過使用風(fēng)險矩陣(風(fēng)險級別為“可能性乘以影響”)可以對每個風(fēng)險場景進(jìn)行分類��。為了確保企業(yè)的網(wǎng)絡(luò)安全風(fēng)險程度是可控的,任何高于約定容忍程度的威脅場景都應(yīng)優(yōu)先被處理��,有三種方法可以做到這一點:第一是避免����,如果風(fēng)險大于好處,那么立刻停止該項活動可能是正確的行動方案�����;第二是轉(zhuǎn)移��,通過網(wǎng)絡(luò)保險或?qū)⒛承I(yè)務(wù)外包給第三方����,與其他方分擔(dān)部分風(fēng)險;第三是緩解�����,部署安全控制措施���,降低風(fēng)險程度����。
網(wǎng)絡(luò)安全風(fēng)險評估是一項重大且持續(xù)的工作。隨著新威脅層出不窮����,新的系統(tǒng)或活動不斷引入,安全風(fēng)險評估需要重復(fù)進(jìn)行�����。因此����,需要在每一次的評估工作中,做好可為未來的評估提供可重復(fù)的流程和模板��。同時�,有必要在風(fēng)險注冊中心記下所有已識別的風(fēng)險場景�����。保持定期審查和更新���,確保管理層始終了解其網(wǎng)絡(luò)安全風(fēng)險的最新信息�,主要包括:風(fēng)險場景、鑒定日期�����、現(xiàn)有的安全控制�����、當(dāng)前風(fēng)險程度���、處理計劃��、進(jìn)展?fàn)顩r����、殘余風(fēng)險以及風(fēng)險處置負(fù)責(zé)人等��。
文章來源:安全牛編譯整理
