几乎每个组织都拥有互联网连接和某种形式的 IT 基础设施,这意味着几乎所有组织都面临网络攻击的风险。为了了解这种风险有多大并能够管理它,组织需要完成网络安全风险评估,这是一个确定哪些资产最容易受到组织面临的网络风险影响的过程。这是一种专门针对网络威胁的风险评估,因此火灾和洪水等风险(一般风险评估中会包括这些风险)不在范围内。
减轻 评估过程中发现的风险 将防止和减少代价高昂的安全事故和数据泄露,并避免监管和合规问题。风险评估过程还要求组织内的每个人都考虑网络安全风险如何影响组织的目标,这有助于 创造一种更具风险意识的文化。那么,网络安全风险评估的核心是什么呢?
网络安全风险评估包含哪些内容?
网络安全风险评估要求组织确定其关键业务目标并确定实现这些目标所必需的信息技术资产。然后, 识别可能对这些资产产生不利影响的网络攻击 ,确定这些攻击发生的可能性并了解它们可能产生的影响;总之,为特定业务目标构建完整的威胁环境图景。这使利益相关者和安全团队能够做出明智的决定,决定如何以及在何处实施安全控制,以将总体风险降低到组织可以接受的水平。
如何进行网络安全风险评估:五个步骤
网络安全风险评估可以分为许多部分,但主要有五个步骤:范围界定、风险识别、风险分析、风险评估和文档记录。
步骤 1:确定风险评估的范围
风险评估首先要确定评估范围。评估范围可以是整个组织,但这通常太大,因此更可能是业务部门、地点或业务的特定方面,例如支付处理或 Web 应用程序。获得评估范围内所有利益相关者的全力支持至关重要,因为他们的意见对于了解哪些资产和流程最重要、识别风险、评估影响和定义风险承受水平至关重要。可能需要专门从事风险评估的第三方来帮助他们完成这项资源密集型的工作。
所有参与者都应熟悉风险评估中使用的术语,例如可能性和影响,以便对风险的构成方式有共同的理解。对于不熟悉网络安全概念的人,ISO/IEC TS 27100 提供了有用的概述。在进行风险评估之前,最好先查看 ISO/IEC 27001 等标准以及 NIST SP 800-37 和 ISO/IEC TS 27110等框架,这些框架可以帮助指导组织如何以结构化的方式评估其信息安全风险,并确保缓解控制措施适当且有效。
各种标准和法律(如 HIPAA、萨班斯-奥克斯利法案和 PCI DSS) 都要求组织完成正式的风险评估,并且通常会提供完成评估的指南和建议。然而, 在进行评估时,应避免采用以合规性为导向的清单方法 ,因为仅仅满足合规性要求并不一定意味着组织不会面临任何风险。
第二步:如何识别网络安全风险
(1) 识别资产
您无法保护您不知道的东西,因此下一个任务是识别并创建风险评估范围内所有物理和逻辑资产的清单。在识别资产时,不仅要确定那些被视为组织 皇冠上的宝石 的资产(对业务至关重要的资产,可能是攻击者的主要目标),还要确定攻击者想要控制的资产,例如 Active Directory 服务器或图片存档和通信系统,以用作扩大攻击的支点。根据资产清单创建网络架构图是一种很好的方法,可以直观地显示资产和流程之间的互连和通信路径以及网络入口点,从而使识别威胁的下一个任务变得更容易。
(2) 识别威胁
威胁是威胁行为者使用的策略、技术和方法,可能会对组织的资产造成损害。为了帮助识别对每项资产的潜在威胁,请使用威胁库(例如 Mitre ATT&CK 知识库) 和 网络威胁联盟的资源,它们都提供高质量、最新的网络威胁信息。安全供应商报告和政府机构(例如 网络安全和基础设施安全局)的建议 可以成为有关特定行业、垂直行业和地理区域或特定技术中出现的新威胁的极佳新闻来源。
还要考虑每项资产在洛克希德·马丁网络杀伤链中的位置 ,因为这将有助于确定它们所需的保护类型。网络杀伤链列出了典型真实攻击的阶段和目标。
(3) 确定可能出现的问题
此任务涉及指定已识别威胁利用漏洞攻击范围内资产的后果。例如,考虑以下场景:
- 威胁:攻击者执行 SQL 注入。
- 漏洞/资产:未修补的网络服务器。
- 后果:客户的私人数据被盗,导致监管罚款和声誉受损。
在这样的简单场景中总结这些信息,可以让所有利益相关者更容易地了解他们在关键业务目标方面面临的风险,并让安全团队更容易确定适当的措施和最佳实践来应对风险。
步骤 3:分析风险并确定潜在影响
现在是时候确定步骤 2 中记录的风险情景实际发生的可能性,以及如果发生对组织的影响。在网络安全风险评估中,风险可能性(即特定威胁能够利用特定漏洞的概率)应基于威胁和漏洞的可发现性、可利用性和可重现性来确定,而不是基于历史事件。这是因为网络安全威胁的动态性质意味着 可能性 与过去发生的频率没有那么紧密的联系,例如洪水和地震。
按 1(罕见)到 5(极有可能)的等级对可能性进行排序,按 1(可忽略)到 5(非常严重)的等级对影响进行排序,可以轻松创建步骤 4 中所示的风险矩阵。
影响是指威胁利用漏洞造成的后果对组织造成的损害程度。应在每种情况下评估对机密性、完整性和可用性的影响,并将最高影响作为最终分数。评估的这一方面本质上是主观的,这就是为什么利益相关者和安全专家的意见如此重要。以 上面的SQL 注入为例 ,对机密性的影响评级可能会被评为“非常严重”。
步骤 4:确定风险并确定其优先顺序
使用如下所示的风险矩阵,其中风险级别为“可能性乘以影响”,可以对每个风险场景进行分类。如果 SQL 注入攻击的风险被视为“可能”或“极有可能”,则我们的示例风险场景将被归类为“非常高”。
任何超出商定容忍水平的情况都应优先处理,以使其在组织的风险容忍水平之内。以下是实现此目的的三种方法:
- 避免。 如果风险大于收益,停止某项活动可能是最好的做法,因为这意味着不再接触它。
- 转移。 通过将某些操作外包给第三方,例如 DDoS 缓解或购买网络保险,与其他方分担部分风险。第一方保险通常仅承保因网络事件而产生的费用,例如通知客户数据泄露,而第三方保险将承保数据泄露后的和解费用以及罚款和罚金。它不承保的是知识产权损失或品牌声誉受损的无形成本。
- 缓解。 部署安全控制措施和其他措施,以降低可能性和/或影响,从而将风险水平降低到商定的风险容忍度范围内。应将实施降低不可接受的高风险措施的责任分配给适当的团队。还应设定进度和完成报告的日期,以确保风险所有者和处理计划保持最新状态。
然而,没有任何系统或环境能够做到 100% 安全,因此总会存在一些风险。这被称为 残留风险 ,必须由高级利益相关者正式接受,作为 组织网络安全战略的一部分。
步骤 5:记录所有风险
将所有已识别的风险情景记录在风险登记册中非常重要 。应定期审查和更新风险登记册,以确保管理层始终掌握最新的网络安全风险信息。风险登记册应包括以下内容:
- 风险情景。
- 識別日期。
- 现有的安全控制。
- 當前風險程度。
- 处理计划,即为将风险控制在可接受的风险承受水平内而计划的活动和时间表,以及投资的商业理由。
- 进展状态,如治疗计划的执行状态。
- 残留风险,或实施治疗计划后的风险水平。
- 风险所有者,指负责确保剩余风险保持在容忍水平之内的个人或团体。
网络安全风险评估是一项庞大且持续的工作,因此如果要改善组织未来的安全性,就需要投入时间和资源。随着新的网络威胁出现以及新系统或新活动的引入,需要重复进行评估;但如果第一次就做得很好,它将为未来的评估提供可重复的流程和模板,同时降低网络攻击对业务目标产生不利影响的可能性。
