如何执行网络安全风险评估
什么是网络风险?
网络风险是指敏感数据、财务或在线业务运营遭受负面干扰的可能性。网络风险通常与可能导致数据泄露的事件相关。
网络风险有时被称为安全威胁。网络风险的例子包括:
- 勒索软件
- 数据泄露
- 网络钓鱼
- 恶意软件
- 内部威胁
- 网络攻击
虽然经常互换使用,但网络风险和漏洞并不相同。漏洞是可被利用导致未经授权网络访问的弱点,而网络风险是漏洞被利用的概率。
什么是网络风险评估?
NIST将网络风险评估定义为用于识别、估计和优先处理组织运营、组织资产、个人、其他组织和国家因信息系统运行和使用而产生风险的风险评估。
网络风险评估的主要目的是让利益相关者了解情况,并支持对已识别风险采取适当应对措施。
如何执行网络风险评估
步骤1:确定信息价值
实用风险评估的核心是理解您在信息风险管理方面的预算不是无限的。此步骤旨在定义确定资产重要性的标准,将范围限制在最具业务关键性的资产上。
评估数据敏感性和价值清单 要确定价值,请询问这些关键问题:
- 识别法律/监管要求:数据是否属于HIPAA、GDPR、PCI DSS或APRA CPS 234范围?
- 评估财务影响:丢失此信息是否会影响收入或盈利能力?
- 确定运营影响:丢失此数据是否会影响日常业务运营?
- 衡量声誉损害:此数据泄露会造成什么声誉损害?
- 分析替换成本/可行性:我们能否从零开始重新创建此信息?
步骤2:识别和优先处理资产
此步骤的第一部分是通过与业务用户和管理层合作,创建所有有价值资产的全面清单。
资产类型包括:
- 物理资产:数据中心、服务器机房、办公楼、员工硬件
- 云和虚拟基础设施:AWS/Azure/GCP环境、云存储、基础设施即代码
- 业务系统和SaaS平台:CRM工具、ERP系统、HR和工资系统
步骤3:识别网络威胁
网络威胁是任何可能利用漏洞对组织造成伤害或窃取数据的潜在危险。
常见对抗性威胁类型:
- 网络钓鱼和社会工程学
- 恶意软件和勒索软件
- 内部威胁
- 外部对抗性威胁
步骤4:识别漏洞
漏洞是威胁可利用以破坏安全、伤害组织或窃取敏感数据的弱点。
典型漏洞示例:
- 过时/未修补软件
- 弱身份验证
- 配置错误
- 缺乏分段
- 物理弱点
步骤5:分析控制措施并实施新控制措施
控制措施是为最小化或消除威胁利用漏洞概率而实施的机制。
控制框架比较:
| 框架 | 主要重点 | 最适合 |
|---|---|---|
| NIST网络安全框架(CSF) | 灵活、基于风险的管理 | 一般程序要求和将安全与业务成果对齐 |
| ISO/IEC 27001 | 建立、实施和维护ISMS | 需要国际认可标准和正式认证的组织 |
| CIS关键安全控制 | 优先、较小的最佳实践集 | 快速、可操作的实施和有限资源下的最大防御效果 |
步骤6:按年计算各种情景的可能性和影响
计算网络风险的简单方法是:网络风险 = 威胁 × 漏洞 × 信息价值
可能性量表:
- 非常低:20年以上一次
- 低:5-20年一次
- 中等:每1-5年一次
- 高:每年多次
影响量表:
- 低:轻微财务成本,无声誉损害
- 中等:重大财务成本,轻微监管罚款,可恢复的声誉损失
- 高:大规模监管罚款,严重声誉损失,重大运营中断,可能业务关闭
步骤7:基于预防成本与信息价值优先处理风险
确定要解决、接受或转移哪些风险,确保保护成本不超过受保护资产的价值。
风险矩阵/热图:
- 高(红色区域):需要尽快制定纠正措施
- 中等(黄色区域):需要在合理时间范围内制定措施
- 低(绿色区域):管理层可以决定接受风险或缓解
步骤8:记录风险评估报告结果
最后一步是制定风险评估报告,以支持管理层决定预算、政策和程序。
记录结果和审计准备清单:
- 执行摘要:为高级管理层提供简明的一页概述
- 范围和方法论:记录完整的资产清单、评估范围和使用的风险模型
- 发现和分析:完整、优先排序的所有已识别风险列表
- 补救计划:清晰、优先排序的每个高和中风险项目计划
- 控制分析:现有控制和差距的文件记录
常见问题解答
网络风险评估与漏洞扫描有什么区别?
漏洞扫描是识别特定系统弱点的技术性自动化工具。网络风险评估是确定这些弱点被威胁利用的业务影响和可能性的战略性业务流程。
组织应多久执行一次网络安全风险评估?
组织应至少每年正式、彻底地执行风险评估。但是,风险登记和控制措施应每月审查,关键资产应持续监控其安全状况的变化。