五步法实施网络安全风险评估:从资产盘点到达成共识

本文详细解析网络安全风险评估的五步流程,涵盖资产盘点、风险识别、优先级排序等关键环节,强调组织需结合技术工具与人文因素,建立全面风险视图并制定有效缓解策略。

如何通过五步实施网络安全风险评估 | TechTarget

风险评估的核心价值

安全决策基于风险分析,因此风险评估始终是网络安全专业人员工具箱中的关键要素。其目标是提供组织存在的现实全面视图,不仅涵盖IP地址,还包括流程和人员等所有相关因素。最终结果应是一个指导组织彻底了解自身风险与优先级的计划。

风险是威胁与漏洞的函数。风险存在的前提是威胁和漏洞必须同时存在。风险评估隐含了这一存在,并假设必须保护某些有价值的事物。保护资产(无论有形或无形)是推动风险评估过程的关键,因此资产清单分析应先于风险评估。

风险评估的范围界定

界定网络安全风险评估的范围对于获得有意义的结果至关重要。边界划定因环境性质而异。范围界定需考虑组织的公众形象及其影响范围,包括延伸到组织外部的连接。根据公司对对手的吸引力,评估范围可扩展到基础设施和供应链。

资产价值和位置将驱动大部分范围界定和假设。例如,存储在受保金融机构的金融资产可置于范围外,因为该机构管理风险和负债。然而,存款和取款的账户路径显然在范围内。设定项目范围时,必须清晰设定并注释边界和假设。

不要忽视时间的重要性。风险评估是特定时刻的快照。虽然风险评估的有效时间窗口比漏洞评估的窗口更长,但风险评估也需要定期更新。程序、人员和技术都会变化,所有这些都可能改变风险状况。

如何识别网络安全风险

一旦资产被识别且范围设定,就可以开始检查风险。这时,优秀的安全架构师或架构报告就派上用场了。顶层架构视图可以提供组织如何将资产和程序与使命联系起来的愿景。在过程早期理解组织的使命在发现结果的排名中会得到回报。

关注风险需要进行全面检查,从物理到人员,以及其间的一切。识别风险时,对物理和程序风险因素要与程序和技术风险因素一样彻底。例如,在确定物理风险时,考虑自然灾害的作用,以及有时与建筑相关的人为灾难。记住考虑对站点和资产的访问。

技术可能是评估中最容易的部分。安全审计产品,如开源网络映射工具Nmap,可以快速返回结果。

至于人类,公平地承认他们会犯代价高昂的错误,但将他们标记为最薄弱的环节是错误的,这在IT对话中很常见。更准确地说,人类是最不被理解的环节。人们从大胆的防御者到愿意的破坏者,再到无意的帮助者。我们都知道那个点击链接的人,但我们也需要考虑那个看似无害的社交媒体帖子使他们成为攻击者有吸引力的目标的人。那个人可以被指责,但如果没有程序建议社交媒体行为,问题也是程序性的。因此,风险评估,很像架构规划,需要对组织有更全面的视图。

从使命声明开始,风险分析应考虑存在哪些风险(物理和虚拟)。考虑有助于使命的功能、程序、数据和人员,以及每个如何提供支持。在这个级别存在哪些风险?

此时,资产正在映射到功能。这也是识别可能先前被忽视的资产的机会。更深入地说,哪些技术提供支持,以及如何提供支持?它们如何连接到整体系统?对象、功能和互连中存在哪些风险?这种审查导致将系统方法应用于风险分析。

随着理解网络的过程继续,风险评估员还应考虑整体足迹。识别合作伙伴访问、远程访问,以及在必要时,云连接点或端点。了解哪些租户共享物理空间,以及正在使用哪些云服务。IaaS应是最受关注的,其次是PaaS,然后是SaaS。

如果服务由云服务提供商(CSP)管理,则该服务超出范围。即便如此,应审查云服务级别协议,并解决协议中的风险。一个例子是当CSP有许多自我管理的租户时,在这种情况下,客户组织将希望基于 fellow 租户漏洞的保证。一个租户空间中未解决的漏洞在某些情况下可能导致 hypervisor 的妥协。大多数CSP运行严格。尽管如此,在假设风险评估中,应考虑所有涉及云中数据保护的情况。

除了云,还有哪些其他资源是共享的?这些资源如何获得?这些资源的供应链呢?哪些资源是独特或不可替代的?它们如何分离和备份?NIST编制了一个关于风险管理的类似问题的全面列表。

分析风险及其潜在危险

将风险与潜在危险联系起来的过程涉及技术和组织知识。每个发现的漏洞必须追溯到它影响的每个企业功能。实际上,风险评估员创建一个依赖模型,通常以图表形式显示所采取的路径以及漏洞被调用的位置。

这个风险分析阶段是讨论的另一个出发点。确定影响值可以是主观的、客观的或两者的混合。客观影响通常映射到美元金额,因此库存风险很容易适合这一组。然而,主观价值通常涵盖无形资产,如信任损失、人员损失甚至知识产权损失。这些资产通常更难以客观衡量。

除了资产价值,还应考虑工作流价值。工作流估值的一个例子是,当一个漏洞可能与高成本事件无关,但如此频繁,以至于许多事件与该漏洞相关。因此,该问题的修复可能导致广泛的停机或其他可用性损失。

优先排序风险

风险优先级排序是许多网络安全圈子的讨论领域。一些风险分析,尤其是当漏洞扫描揭示问题时,依赖于软件提供的预定义值。这是一个错误。风险分析对每个组织都是独特的,领导层的风险承受能力也是如此。

网络安全中还存在对恐惧、不确定性和怀疑(FUD)的过度推销。恐吓战术可能导致快速购买决策,买家需要不断 reassurance。在这个频谱的另一端是可能承认问题然后问“但它发生在我身上的机会有多大?”的客户。这导致了对威胁行为者、他们的方法以及他们在特定行业如何操作的讨论。尽管这些信息是评估的一部分,但它几乎无法回答关于事件发生几率的问题。

不要过分相信漏洞软件基于使用情况分配的风险值。例如,一个常用库中的错误可能由于许多软件模块频繁使用该库而被分配高风险分数。这是有问题的。即使一个常用、易出错的库可能永远无法到达关键资产。那么,该漏洞的风险是优先事项,还是应该降级风险?

优先排序风险可能很棘手。该任务将基于客户和评估员对风险的理解。评估员可以通过在适当的时候提供成本效益分析来很好地为客户服务。当资产更主观时,考虑将这些资产映射到收入,并确定资产贡献的收入部分。简而言之,找到有意义的指标并适当应用它们。

记录风险

创建最终报告是一个重要但耗时的步骤。不要使用AI工具协助报告写作。风险评估中收集的大部分数据是专有的。AI不仅基于专有数据生成结果,还将该信息添加到其训练数据集中, essentially scooping up and claiming the专有数据。在没有AI的情况下进行。

完成后,网络安全风险评估应识别漏洞和威胁行为者。也许您会将那些漏洞和威胁排序到一个矩阵中,并定量优先排序。

记住记录风险和关系。关系可能从您的依赖模型中获得。一份好的报告还将包含缓解计划和路径,讨论近期的战术行动和长期的战略目标。

Char Sample是ICF International的网络安全研究员。

后续步骤

  • 顶级企业网络安全挑战
  • 生成式AI安全风险:企业最佳实践
  • 什么是漏洞管理?定义、过程和策略
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次