风险评估的三个要素是什么(风险管理之组件驱动的风险管理方法)
发布于:2024-10-31 08:36:06
介绍在网络安全中使用组件驱动的风险管理。
介绍
组件驱动的风险评估是网络安全行业中最成熟、最常见的评估类型。本节描述组件驱动技术的共同点、它们在哪些方面增加价值以及在哪些方面不增加价值。
- 一旦您了解了这些基础知识,您应该能够选择任何组件驱动的标准或框架(因为它们基于类似的风险视角)并了解它们与系统驱动的方法有何不同。
- 如果您尚未这样做,请在阅读本指南之前先阅读介绍组件和系统驱动风险评估的部分。
- 我们的基本风险评估方法提供了一种非常简单且基本的组件驱动方法。
范围和资产
毫不奇怪,组件驱动的风险评估主要集中在系统组件上。那么“组件”是什么意思呢?典型例子包括:
- 硬件(计算机、服务器)
- 软件(操作系统、应用程序)
- 网络组件
- 数据集
- 服务
- 个人身份信息 (PII)
- 业务关键信息
- 人们
对组件的关注要求您首先定义正在分析的函数(例如工资函数)。此功能称为评估的“范围”。然后,您需要说明在范围风险评估中正在考虑哪些组成部分,以及没有考虑哪些组成部分。这通常称为“资产清单”或“资产登记册”,但请确保您对资产的描述可用于涵盖仍然有价值的无形事物(例如组织的声誉或品牌)。资产不应仅仅狭隘地应用于描述物理组件。
您无法控制的组件(但您自己的系统依赖的组件)称为依赖项,并且可以包含在您的资产列表中,前提是这些依赖项如何影响您可以控制的组件。有时,范围最好以图表的形式呈现,它清楚地显示了哪些内容、哪些内容以及关键资产如何连接。下面显示了一个示例范围图,它将企业用户对基于云的应用程序的访问描述为某些风险分析的焦点,包括关键参与者和组件之间的连接,以及我们可能希望明确范围化的那些内容。
风险要素
一旦确定了范围,大多数组件驱动的方法都要求风险分析师评估风险的三个要素。这三个要素通常用术语“影响”、“脆弱性”和“威胁”来描述。
影响
影响是风险发生后的后果。这种影响有不同的描述方式,但网络安全领域中更常见的技术之一是评估对信息的机密性、 完整性和 可用性的影响 。例如,影响可能会被描述为客户数据集的机密性丧失或公司帐户的损坏(完整性丧失)。这些财产之一的损失可能与其他类型的后果有关,例如金钱损失、生命损失、项目延误或任何其他类型的不良结果。
值得注意的是,这是一种以信息为中心的思考风险和影响的方式,组织可能还有其他优先事项或他们关心的事情,也可能需要考虑有害影响。例如,提供在线支付服务的组织可能会担心欺诈的财务和声誉影响,或者类似地,向公众提供关键服务的组织可能会担心与其服务的安全性或可靠性相关的影响。与所有风险管理一样,重要的是不要受到任何单一观点的限制。
漏洞
漏洞是组件中的弱点,可能会有意或无意地造成影响。例如,漏洞可能是一个允许用户非法增加其用户帐户权限的软件,或者是业务流程中的弱点(例如在向某人颁发访问在线系统的凭据之前没有正确检查其身份)或服务)。无论所涉及的漏洞类型如何,它都可以被利用来造成影响。
威胁
正如网络风险威胁的基本原理和基础知识中所讨论的,网络风险威胁是在四个组成部分的背景下考虑的:
- 能力
- 意图
- 动机
- 机会
威胁是导致特定影响发生的个人、群体或情况。例如,这可能是:
- 单独的恶意黑客或国家资助的组织
- 犯了无心错误的员工
- 组织无法控制的情况(例如高影响天气,更准确地描述为“危险”)
评估威胁的目的是改进对给定风险发生可能性的评估。通常,在评估人类威胁行为者时,分析师会考虑可能想要伤害组织的人。然后,他们可以考虑这些群体的能力、意图、机会和动机。风险分析师使用威胁信息分类法、威胁信息知识库和分类方法来提供威胁能力的通用语言。
威胁评估的挑战之一是威胁的动机、能力、机会和意图可能会迅速变化,并且很难获得有关这些变化的可靠信息。因此,不要将威胁能力的评估视为静态的,而是寻找可用的最佳信息源,并确保您认识到威胁评估中的不确定性和可变性。威胁信息的良好来源可以通过信息共享伙伴关系(例如 CISP)、以部门或行业为重点的安全团体或国家当局(例如 NCSC 和国家保护安全局(以前称为 CPNI))。
评估威胁、脆弱性和影响的技术
有许多技术、方法和工具可以帮助您了解威胁、漏洞和影响。这些可能包括构建攻击树、进行威胁建模练习和场景规划。虽然我们建议这些技术可能对您有用,但可能还有其他技术同样有效。
应用和传达威胁、漏洞和影响
一旦评估了这些风险要素,下一步就是将这些要素结合起来,以确定哪些风险是最令人担忧的。这些方法可能会产生一长串潜在风险,但并非所有风险都可能发生。因此,请务必仔细考虑潜在威胁利用任何已识别漏洞的机会,以使此列表更有意义。一些技术通过将威胁、脆弱性和影响的评估结合到每个系统组件的单一风险测量中来实现这一点。在这种情况下,需要注意确保您了解每个单独的要素,以便您可以有效地管理由此产生的风险。
这并不像某些标准声称的那么简单。风险的三个组成部分彼此根本不同,需要注意明确定义每个组成部分的含义和特征,以便分析师和决策者能够理解。一些方法建议使用风险矩阵来组合这些元素,虽然风险矩阵使用起来既简单又快捷,但如果不小心使用,它们可能会给您的风险分析带来错误,从而可能误导或误导风险分析结果。
值得注意的是,一些组件驱动的方法以某种方式结合威胁和漏洞的分析来产生可能性值。然后将其与作为分析重点的系统组件(影响)价值的评估相结合,以给出风险评估值。如前所述,在这种情况下,重要的是,这种风险综合视图不会掩盖通过解决其一个或多个组成部分来管理风险的机会,例如采取措施减少影响、影响威胁行为者的机会或系统易受攻击的弱点。
优先考虑您的风险
一旦对各种威胁、漏洞和影响进行了评估并组合起来创建风险列表,就可以根据它们的关注程度对它们进行优先级排序。这使您可以首先管理最相关的风险。您可以通过多种方式传达风险的优先级。例如,您可以:
- 估计影响的经济损失(如果实现的话)
- 提供资产受到损害时需要发生的一系列事件的叙述
许多标准化组件驱动的风险管理技术使用定性标签来描述影响级别,通常带有“高”、“中”和“低”等标签。虽然这些标签相当直观,但研究表明,不同的人对这些标签的理解存在巨大差异。当考虑到缺乏一致性的理解时,应该非常谨慎地使用这些标签(以及类似的“红绿灯”方法)。您使用的技术应该适合风险评估的受众。它想要影响谁?您想告知什么决定?您从评估中提供的信息是否有助于或阻碍决策?
有些方法有一个现成的任务或目标列表,可用于减轻您已识别的风险。这些被称为“控制集”,您可以从中为每种风险选择最合适的缓解措施集。
常用的组件驱动的网络风险管理方法和框架
本节简要描述常用的组件驱动的网络风险管理方法和框架。单击相关超链接以获取有关每种方法/框架的更多详细信息。还有更多组件驱动的风险管理技术,此处未列出。此列表不包括系统驱动的方法。
选择适合您的技术
选择风险方法或框架时,您需要考虑:
- 使用该方法的总体成本(例如,购买工具、许可和专业知识)
- 项目范围;风险方法与正在评估的内容是否相称?
- 所需资源是否相称且可持续;需要哪些专业资源,您有吗?
- 您的主要合作伙伴(您必须定期与他们互动以管理共同风险)如何使用此方法?
常用组件驱动方法总结
方法/框架 | ISO/IEC 27005:2018 |
它是什么 ? | 为信息风险管理提供指南的国际标准。尽管它确实概述了通用风险评估流程,但它将风险评估技术的选择权留给了企业。 ISO 27005 是 ISO 27000 标准系列的一部分。 |
它是如何工作的 ? | 该标准没有规定应使用哪种风险管理技术。因此,这可以涵盖系统驱动以及组件驱动的技术。然而,ISO 27005 要求风险评估考虑威胁、漏洞和影响,这强调了组件驱动的方法。 |
是给谁用的? | ISO 27005 的原则可应用于各种类型和规模的组织。 |
成本和先决条件 | 鉴于该指南的广泛性,需要专业技术资源来根据业务要求定制实施。这些资源的成本应与购买标准的成本一起考虑。 |
方法/框架 | 信息安全论坛 (ISF) IRAM 2 |
它是什么 ? | ISF 的风险管理方法旨在帮助组织更好地理解和管理信息风险。 |
它是如何工作的 ? | 该方法使用多个阶段,通过分析和评估风险组成部分(威胁、脆弱性和影响)来识别、评估和处理风险。 |
是给谁用的? | IRAM 2 面向组织。 |
成本和先决条件 | IRAM 2 仅提供给 ISF 成员,组织需要具备适当的信息风险管理专业知识才能有效使用它。这应该计入成本。 |
方法/框架 | 美国国家标准与技术研究院 (NIST) SP 800-30 |
它是什么 ? | 美国政府首选的风险评估方法,强制美国政府机构使用。它具有从准备评估的初始阶段到进行评估、传达结果和维护评估的详细分步过程。该指南本身全面且明确。毫不奇怪,作为一项美国标准,NIST 风险管理框架中的许多支持文档都以美国为重点,通常专注于可能与非美国用户无关的监管问题。 |
它是如何工作的 ? | SP 800-30 中的风险评估流程从准备步骤中获取输入,该准备步骤为流程建立背景、范围、假设和关键信息源,然后使用已识别的威胁和漏洞来确定可能性、影响和风险。接下来的流程要求传达结果并维护评估,包括监控控制措施的有效性和验证合规性。 |
是给谁用的? | 该方法应该可供私营和公共部门各种规模的组织使用。它的设计与 ISO 标准一致,并且足够灵活,可以与其他风险管理框架一起使用。 |
成本和先决条件 | 它可以直接从 NIST 网站免费获取。 |
方法/框架 | 八度快板 |
它是什么 ? | 运营关键威胁、资产和漏洞评估(OCTAVE)方法源自美国卡内基梅隆大学。旧版本仍在使用,但最新版本 OCTAVE Allegro 更加精简并得到积极支持。它主要用于定性评估,但也可用于简单的定量分析。 |
它是如何工作的 ? | Octave Allegro 是一种以资产为中心的方法。第一步是针对组织的驱动因素和目标建立一致的定性风险衡量标准。对资产进行分析后,根据现实场景考虑威胁和影响,以识别风险。然后根据风险衡量标准和计划的缓解措施对这些风险进行优先级排序。 |
是给谁用的? | OCTAVE 旨在以“研讨会”的方式进行管理,由来自业务运营和 IT 领域的一小部分参与者组成,不需要广泛的专业知识。因此,这种方法可能适合寻求无需大量投资培训或顾问即可完成风险评估流程的组织。 |
成本和先决条件 | 执行风险评估的资源可以免费下载,并且是该流程不可或缺的一部分。 |
方法/框架 | ISACA COBIT 5 风险 |
它是什么 ? | COBIT 5 for Risk 由 ISACA 提供,提供涵盖企业 IT 风险治理和理解的指导。 |
它是如何工作的 ? | COBIT 5 for Risk 以原则和指南的形式提供风险管理和治理框架。 |
是给谁用的? | COBIT 5 for Risk 可能适合寻求改进安全风险管理和治理方法的组织。 |
成本和先决条件 | COBIT 5 for Risk 书籍可在 ISACA 网站上购买。希望使用 COBIT 5 for Risk 的组织还需要考虑实施其指导和原则所需的任何专业资源。 |
笔记
我们故意不引用使用组件驱动方法(称为 IS1/2)的 CESG 风险管理方法。该标准已被 CESG 正式弃用,并且 NCSC 认为不再适合将其用作风险管理方法的一部分。组织应从静态认证和风险管理决策流程过渡到支持“设计安全”和持续保证的方法(例如上表中列出的方法,或本指南中提供的基本方法)。