如何分5步执行网络安全风险评估

由于安全决策基于风险分析，风险评估仍然是网络安全专业人员工具箱中的重要组成部分。

目标是提供一个现实、全面的组织存在视图，超越IP地址延伸到所有相关因素，包括流程和人员。结果应该是一个指导组织彻底了解其风险和优先级的计划。

风险是威胁和漏洞的函数。风险存在的前提是威胁和漏洞必须同时存在。风险评估隐含地表明了这种存在，并假设必须保护有价值的东西。

保护资产（无论是有形还是无形）是推动风险评估过程的关键。因此，资产清单分析应在风险评估之前进行。

风险评估范围

确定网络安全风险评估的范围对于获得有意义的结果至关重要。划定边界的位点取决于环境的性质。确定工作范围时需要考虑的关键项目包括组织的公共形象及其影响范围，考虑延伸到组织外部的连接。根据公司对攻击者的吸引力，评估范围可以扩大到包括基础设施和供应链。

资产价值和位置将推动大部分范围确定和假设。例如，存储在受保金融机构的金融资产可以置于范围之外，因为该机构管理风险和负债。然而，用于存款和取款的账户访问路径显然在范围内。在设定项目范围时，必须明确设定和注释边界和假设。

不要忽视时间的重要性。风险评估是特定时刻的快照。虽然风险评估的有效时间窗口比漏洞评估的窗口长，但风险评估也需要定期更新。程序、人员和技术都会发生变化。所有这些都可能改变风险状况。

如何识别网络安全风险

一旦识别了资产并设定了范围，就为开始检查风险奠定了基础。这时一个好的安全架构师或架构报告就能派上用场。顶层架构视图可以提供组织如何将资产和程序与使命联系起来的愿景。在过程早期了解组织的使命有助于在发现结果排名中取得回报。

关注风险需要进行全面检查，从物理到人员以及其间的一切。在识别风险时，对物理和程序风险因素要与程序和技术风险因素一样彻底。例如，在确定物理风险时，考虑自然灾害的作用，以及有时与施工相关的人为灾害。记住要考虑对站点和资产的访问。

技术可能是评估中最简单的部分。安全审计产品，如开源网络映射工具Nmap，可以快速返回结果。

至于人类，承认他们会犯代价高昂的错误是公平的，但将他们标记为最薄弱的环节是错误的，就像在IT对话中常见的那样。更准确地说，人类是最不被理解的环节。

人的范围从大胆的防御者到自愿的破坏者再到无意的帮手。我们都知道那个点击链接的人，但我们也需要考虑那些看似无害的社交媒体帖子使他们成为攻击者有吸引力的目标的个人。那个人可以被指责，但如果没有制定指导社交媒体行为的程序，问题也是程序性的。因此，风险评估，就像架构规划一样，需要对组织有更全面的看法。

从使命声明开始，风险分析应考虑存在哪些风险（物理和虚拟）。考虑对使命有贡献的功能、程序、数据和人员，以及每个如何提供支持。在这个级别存在哪些风险？

此时，资产正在被映射到功能。这也是识别以前可能被忽视的资产的机会。更深入地说，哪些技术提供支持，以及如何提供支持？它们如何连接到整个系统中？对象、功能和互连中存在哪些风险？这种审查导致将系统方法应用于风险分析。

随着理解网络的过程继续，风险评估员还应考虑整体足迹。识别合作伙伴访问、远程访问，以及在必要时，云连接点或端点。了解哪些租户共享物理空间以及正在使用哪些云服务。IaaS应该是最受关注的，其次是PaaS，然后是SaaS。

如果服务由云服务提供商（CSP）管理，则该服务不在范围内。即便如此，应审查云服务水平协议，并解决协议中的风险。一个例子是当CSP有许多自我管理的租户时，在这种情况下，客户组织将希望基于其他租户漏洞获得保证。在某些情况下，一个租户空间中未解决的漏洞可能导致管理程序受损。大多数CSP运营严格。尽管如此，在假设性风险评估中，应考虑所有涉及云中数据保护的情况。

除了云之外，还有哪些其他资源是共享的？这些资源是如何获得的？这些资源的供应链呢？哪些资源是独特或不可替代的？它们是如何分离和备份的？NIST已经编制了一个关于风险管理的类似问题的全面列表。

分析风险及其潜在危险

将风险与潜在危险联系起来的过程涉及技术和组织知识。每个发现的漏洞必须追溯到它影响的每个公司功能。实际上，风险评估员创建一个依赖模型，通常以图表形式显示所采取的路径以及漏洞被调用的位置。

这个风险分析阶段是另一个讨论的分歧点。确定影响价值可以是主观的、客观的或两者的混合。客观影响通常映射到美元金额，因此库存风险很容易归入这一组。然而，主观价值通常涵盖无形资产，如信任损失、人员损失甚至知识产权损失。这些资产通常更难以客观衡量。

除了资产价值，还应考虑工作流价值。工作流估值的一个例子是，当一个漏洞可能与高成本事件无关，但如此频繁以至于许多事件与该漏洞相关联。因此，该问题的修复可能导致广泛的停机或其他可用性损失。

风险优先级排序

风险优先级排序是许多网络安全圈子的讨论领域。一些风险分析，特别是当漏洞扫描揭示问题时，依赖于软件提供的预定义值。这是一个错误。风险分析对每个组织都是独特的，领导层的风险承受能力也是如此。

网络安全中也存在对恐惧、不确定性和怀疑（FUD）的过度推销。恐吓战术可能导致快速购买决策，买家需要不断 reassurance。这个范围的另一端是可能承认问题然后问“但它发生在我身上的机会有多大？”的客户。这导致关于威胁行为者、他们的方法以及他们如何在特定行业运作的讨论。尽管这些信息是评估的一部分，但它对回答事件发生几率的问题几乎没有帮助。

不要过分相信漏洞软件根据使用情况分配的风险值。例如，一个常用库中的错误可能由于许多软件模块频繁使用该库而被分配高风险分数。这是有问题的。即使是一个频繁使用、容易出错的库也可能永远不会到达关键资产。那么，该漏洞的风险是优先事项，还是应该降级风险？

确定风险优先级可能很棘手。该任务将基于客户和评估员对风险的理解。评估员可以通过在适当时提供成本效益分析来很好地为客户服务。当资产更主观时，考虑将这些资产映射到收入，并确定资产贡献的收入部分。简而言之，找到有意义的指标并适当地应用它们。

记录风险

创建最终报告是一个重要但耗时的步骤。不要使用AI工具协助报告写作。风险评估中收集的大部分数据是专有的。AI不仅基于专有数据生成结果，还将该信息添加到其训练数据集中，本质上收集并声称专有数据。在没有AI的情况下进行。

完成后，网络安全风险评估应识别漏洞和威胁行为者。也许您会将这些漏洞和威胁分类到矩阵中并定量确定优先级。

记住记录风险和关系。关系可能来自您的依赖模型。一份好的报告还将包含缓解计划和路径，讨论近期的战术行动和长期的战略目标。

Char Sample是ICF International的网络安全研究员。