高效開展網(wǎng)絡安全風險評估的六要素
2022年09月30日
隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入�,各種網(wǎng)絡安全風險的數(shù)量和復雜度也在快速提升�。在此背景下,現(xiàn)代企業(yè)的安全管理團隊需要及時轉(zhuǎn)變防護思路�����,從傳統(tǒng)安全事件發(fā)生后的被動響應模式�����,轉(zhuǎn)變到提前開展網(wǎng)絡安全風險評估���,實現(xiàn)對未知安全威脅的主動預防�。
網(wǎng)絡安全風險評估是指從風險管理的角度�,運用科學的手段,系統(tǒng)分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性�����。通過開展風險評估工作�����,企業(yè)組織可以對重要信息系統(tǒng)所面臨的信息安全風險進行發(fā)現(xiàn)識別和定性評估�。同時根據(jù)評估結(jié)果,企業(yè)可以更有針對性地進行威脅管控和處置�����,對企業(yè)網(wǎng)絡安全建設中的薄弱環(huán)節(jié)進行優(yōu)先處理和加固���。這樣可以更有效的提升企業(yè)網(wǎng)絡安全防護水平���。
安全事件的發(fā)生是有概率的,不能只根據(jù)安全威脅的發(fā)現(xiàn)時間和可能后果����,便決定網(wǎng)絡安全的投入和安全措施的強度。對于一些被實際利用的概率極低的安全風險����,即使其具有比較嚴重的爆發(fā)后果,也不需要不計代價地進行修復處置�����。企業(yè)在開展網(wǎng)絡安全風險評估時���,必須堅持綜合考慮安全事件的后果影響及其可利用性的評價原則��。
網(wǎng)絡安全風險評估還需要組織確定關鍵業(yè)務目標�����,并識別對實現(xiàn)這些目標至關重要的信息資產(chǎn)�����,然后識別可能對這些資產(chǎn)帶來不利影響的網(wǎng)絡攻擊����,從而準確了解相關業(yè)務所面臨的威脅環(huán)境。這可以讓業(yè)務部門和安全團隊共同做出最優(yōu)化的處置決定����,實施合理的安全控制措施,將整體風險隱患降低到企業(yè)能夠接受的范圍中���。
開展網(wǎng)絡安全風險評估涉及到資產(chǎn)��、威脅��、脆弱性等許多基礎性要素����,每個要素都有各自的要求和屬性�����。為了保障風險評估工作取得預定的實際效果���,企業(yè)應該在評估中做好以下方面的工作要素準備:
風險評估應先確定評估的范圍�����。一般情況下���,風險評估的范圍需要覆蓋整個組織,但這樣會讓評估工作過于繁重���。因此�,可以先從某些業(yè)務部門��、場所或公司的特定領域開始實施��,比如支付處理或Web應用程序。在風險評估工作開始前����,需要盡可能全面地了解業(yè)務部門的需求和意見,這有助于了解各種網(wǎng)絡資產(chǎn)和流程的重要性���、風險隱患�����、評估影響以及對風險的承受程度���。在進行風險評估之前,為了更好的指導組織有條不紊地評估信息安全風險�����,確保緩解控制措施適當且有效��,評估人員還應當審視ISO/IEC 27001標準和NIST SP 800-37等主流安全框架��。
有效開展網(wǎng)絡安全風險評估����,需要明確知道應該保護的對象是誰���,因此,評估團隊應該識別并清點風險評估范圍內(nèi)的所有包括軟件和硬件在內(nèi)的信息資產(chǎn)����。對業(yè)務至關重要的資產(chǎn)不僅是識別和清點的重點���,也同樣是攻擊者的主要目標���,所以需要在資產(chǎn)識別的基礎上,盡可能做好系統(tǒng)威脅暴露面的管理�。通過對信息資產(chǎn)的清點,不僅便于可視化資產(chǎn)和流程之間的連接路徑�����,還可以了解網(wǎng)絡的出入點�����,從而使識別威脅隱患變得更加容易��。
威脅利用方法是指不法分子可能使用的對組織資產(chǎn)造成損害的策略����、技術(shù)和方法��。為了幫助識別各項信息資產(chǎn)可能存在的威脅隱患��,在風險評估中應該使用MITRE ATT&CK之類的威脅知識庫�,直觀地呈現(xiàn)典型攻擊的各種階段和目標����,這樣有助于確定他們需要的保護類型。
分析潛在風險是為了評估風險場景實際發(fā)生的可能性�����,以及一旦發(fā)生后對組織造成的影響�。在網(wǎng)絡安全風險評估中,風險實際發(fā)生的可能性應該取決于威脅和漏洞的可發(fā)現(xiàn)性�����、可利用性和可再現(xiàn)性���,而不是取決于歷史經(jīng)驗的套用�。影響是指威脅利用漏洞的后果對組織造成的危害程度���,應在每個場景中評估對機密性��、完整性和可用性造成的影響���。這一部分的評估在本質(zhì)上是非常主觀的���,因此評估者的專業(yè)度和經(jīng)驗積累就非常重要。
通過使用風險矩陣(風險級別為“可能性乘以影響”)可以對每個風險場景進行分類�����。為了確保企業(yè)的網(wǎng)絡安全風險程度是可控的�,任何高于約定容忍程度的威脅場景都應優(yōu)先被處理��,有三種方法可以做到這一點:第一是避免����,如果風險大于好處,那么立刻停止該項活動可能是正確的行動方案�;第二是轉(zhuǎn)移,通過網(wǎng)絡保險或?qū)⒛承I(yè)務外包給第三方����,與其他方分擔部分風險��;第三是緩解���,部署安全控制措施,降低風險程度��。
網(wǎng)絡安全風險評估是一項重大且持續(xù)的工作�。隨著新威脅層出不窮,新的系統(tǒng)或活動不斷引入�����,安全風險評估需要重復進行��。因此���,需要在每一次的評估工作中����,做好可為未來的評估提供可重復的流程和模板��。同時����,有必要在風險注冊中心記下所有已識別的風險場景��。保持定期審查和更新����,確保管理層始終了解其網(wǎng)絡安全風險的最新信息��,主要包括:風險場景��、鑒定日期�、現(xiàn)有的安全控制、當前風險程度����、處理計劃��、進展狀況�����、殘余風險以及風險處置負責人等���。
文章來源:安全牛編譯整理
