五步完成网络安全风险评估:从资产盘点到风险优先级排序

本文详细介绍了网络安全风险评估的五个关键步骤,包括确定评估范围、识别资产与风险、分析潜在危害、风险优先级排序及文档记录。涵盖物理与虚拟风险因素,并强调避免AI工具处理敏感数据的重要性。

如何分五步执行网络安全风险评估

由于安全决策基于风险分析,风险评估仍然是网络安全专业人员工具箱中的重要组成部分。

风险评估范围界定

界定网络安全风险评估范围对于获得有意义的结果至关重要。工作范围应考虑组织的公共形象及其影响范围,包括延伸到组织外部的连接。根据公司对攻击者的吸引力,评估范围可扩展到基础设施和供应链。

资产价值和位置将推动大部分范围界定和假设。例如,存储在受保金融机构的金融资产可置于范围外,因为该机构管理风险和负债。然而,存款和取款的账户路径显然在范围内。设定项目范围时,必须清晰设定并注释边界和假设。

不要忽视时间的重要性。风险评估是特定时刻的快照。虽然风险评估的有效时间窗口比漏洞评估的窗口长,但风险评估也需要定期更新。程序、人员和技术都会发生变化,所有这些都可能改变风险状况。

如何识别网络安全风险

一旦识别了资产并设定了范围,就可以开始检查风险了。这时,优秀的安全架构师或架构报告就能派上用场。顶层架构视图可以提供一个组织如何将资产和程序与使命联系起来的愿景。在流程早期了解组织的使命有助于在发现结果排名中获益。

关注风险需要进行全面检查,从物理到人员,以及其间的一切。在识别风险时,对物理和程序风险因素的检查应与对程序和技术风险因素的检查一样彻底。例如,在确定物理风险时,考虑自然灾害的作用,以及有时与施工相关的人为灾难。记住要考虑对场地和资产的访问。

技术可能是评估中最简单的部分。安全审计产品,如开源网络映射工具Nmap,可以快速返回结果。

至于人类,承认他们会犯代价高昂的错误是公平的,但将他们标记为最薄弱的环节是错误的,这在IT对话中很常见。更准确的说法是,人类是最不被理解的环节。

人的范围从大胆的防御者到自愿的破坏者,再到无意的帮手。我们都知道那个点击链接的人,但我们也需要考虑那些看似无害的社交媒体帖子使他们成为攻击者有吸引力的目标的人。可以责怪那个人,但如果没有制定指导社交媒体行为的程序,问题也在于程序。因此,风险评估,很像架构规划,需要对组织有更全面的看法。

从使命宣言开始,风险分析应考虑存在哪些风险——物理的和虚拟的。考虑有助于实现使命的功能、程序、数据和人员,以及每一项如何提供支持。在这个层面存在哪些风险?

此时,资产正在被映射到功能。这也是一个识别以前可能被忽视的资产的机会。更深入地说,哪些技术提供支持,以及如何提供支持?它们如何连接到整个系统中?对象、功能和互连中存在哪些风险?这种审查导致将系统方法应用于风险分析。

随着理解网络过程的继续,风险评估员还应考虑整体足迹。识别合作伙伴访问、远程访问,以及在必要时,云连接点或端点。了解哪些租户共享物理空间以及正在使用哪些云服务。IaaS应是最受关注的,其次是PaaS,然后是SaaS。

如果服务由云服务提供商(CSP)管理,则该服务不在范围内。即便如此,也应审查云服务水平协议,并解决协议中的风险。一个例子是当CSP有许多自我管理的租户时,在这种情况下,客户组织希望基于 fellow 租户的漏洞获得保证。在某些情况下,一个租户空间中未解决的漏洞可能导致管理程序受损。大多数CSP运营严格。尽管如此,在假设性风险评估中,应考虑所有涉及云中数据保护的情况。

除了云,还有哪些其他资源是共享的?这些资源是如何获得的?这些资源的供应链呢?哪些资源是独特或不可替代的?它们是如何分离和备份的?NIST编制了一份关于风险管理的类似问题的综合列表。

分析风险及其潜在危险

将风险与潜在危险联系起来的过程涉及技术和组织知识。每个发现的漏洞必须追溯到它所影响的每个企业功能。实际上,风险评估员创建一个依赖模型,通常以图表形式显示所采取的路径以及漏洞被调用的位置。

这个风险分析阶段是讨论的另一个分界点。确定影响值可以是主观的、客观的或两者的混合。客观影响通常映射到美元金额,因此库存风险很容易归入此类。然而,主观价值通常涵盖无形资产,如信任丧失、人员流失甚至知识产权流失。这些资产通常更难以客观衡量。

除了资产价值,还应考虑工作流价值。工作流估值的一个例子是,当一个漏洞可能与高成本事件无关,但如此频繁,以至于许多事件都与该漏洞相关联。因此,该问题的修复可能导致大量的停机时间或其他可用性损失。

风险优先级排序

风险优先级排序是许多网络安全圈中讨论的领域。一些风险分析,特别是当漏洞扫描发现问题时,依赖于软件提供的预定义值。这是一个错误。风险分析对每个组织都是独特的,领导层的风险承受能力也是如此。

网络安全中也存在对恐惧、不确定性和怀疑(FUD)的过度推销。恐吓战术可能导致快速的购买决策,买家需要不断的保证。另一端的客户可能承认问题,然后问:“但它发生在我身上的几率有多大?“这导致了对威胁行为者、他们的方法以及他们如何在特定行业运作的讨论。尽管这些信息是评估的一部分,但它对回答事件发生几率的问题几乎没有帮助。

不要过分相信漏洞软件根据使用情况分配的风险值。例如,一个常用库中的错误可能由于许多软件模块频繁使用该库而被分配高风险分数。这是有问题的。即使是一个频繁使用、容易出错的库也可能永远不会触及关键资产。那么,该漏洞带来的风险是优先事项,还是应该降低风险等级?

确定风险优先级可能很棘手。这项任务将基于客户和评估员对风险的理解。评估员可以通过在适当的时候提供成本效益分析来很好地为客户服务。当资产更主观时,考虑将这些资产映射到收入,并确定资产贡献的收入部分。简而言之,找到有意义的指标并适当地应用它们。

记录风险

创建最终报告是一个重要但耗时的步骤。不要使用AI工具协助撰写报告。风险评估中收集的许多数据是专有的。AI不仅基于专有数据生成结果,还将该信息添加到其训练数据集中,本质上是在收集并声称拥有专有数据。请在没有AI的情况下进行。

完成后,网络安全风险评估应识别漏洞和威胁行为者。也许您会将这些漏洞和威胁分类到一个矩阵中,并进行定量优先级排序。

记住要记录风险和关系。关系很可能来自您的依赖模型。一份好的报告还将包含缓解计划和路径,讨论近期的战术行动和长期的战略目标。

Char Sample是ICF International的网络安全研究员。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次