2022年09月30日
隨著企業數字化轉型的深入,各種網絡安全風險的數量和復雜度也在快速提升。在此背景下,現代企業的安全管理團隊需要及時轉變防護思路,從傳統安全事件發生后的被動響應模式,轉變到提前開展網絡安全風險評估,實現對未知安全威脅的主動預防。
風險評估的目標
網絡安全風險評估是指從風險管理的角度,運用科學的手段,系統分析網絡與信息系統所面臨的威脅及其存在的脆弱性。通過開展風險評估工作,企業組織可以對重要信息系統所面臨的信息安全風險進行發現識別和定性評估。同時根據評估結果,企業可以更有針對性地進行威脅管控和處置,對企業網絡安全建設中的薄弱環節進行優先處理和加固。這樣可以更有效的提升企業網絡安全防護水平。
安全事件的發生是有概率的,不能只根據安全威脅的發現時間和可能后果,便決定網絡安全的投入和安全措施的強度。對于一些被實際利用的概率極低的安全風險,即使其具有比較嚴重的爆發后果,也不需要不計代價地進行修復處置。企業在開展網絡安全風險評估時,必須堅持綜合考慮安全事件的后果影響及其可利用性的評價原則。
網絡安全風險評估還需要組織確定關鍵業務目標,并識別對實現這些目標至關重要的信息資產,然后識別可能對這些資產帶來不利影響的網絡攻擊,從而準確了解相關業務所面臨的威脅環境。這可以讓業務部門和安全團隊共同做出最優化的處置決定,實施合理的安全控制措施,將整體風險隱患降低到企業能夠接受的范圍中。
風險評估的關鍵要素
開展網絡安全風險評估涉及到資產、威脅、脆弱性等許多基礎性要素,每個要素都有各自的要求和屬性。為了保障風險評估工作取得預定的實際效果,企業應該在評估中做好以下方面的工作要素準備:
要素1:確定評估范圍
風險評估應先確定評估的范圍。一般情況下,風險評估的范圍需要覆蓋整個組織,但這樣會讓評估工作過于繁重。因此,可以先從某些業務部門、場所或公司的特定領域開始實施,比如支付處理或Web應用程序。在風險評估工作開始前,需要盡可能全面地了解業務部門的需求和意見,這有助于了解各種網絡資產和流程的重要性、風險隱患、評估影響以及對風險的承受程度。在進行風險評估之前,為了更好的指導組織有條不紊地評估信息安全風險,確保緩解控制措施適當且有效,評估人員還應當審視ISO/IEC 27001標準和NIST SP 800-37等主流安全框架。
要素2:識別信息資產
有效開展網絡安全風險評估,需要明確知道應該保護的對象是誰,因此,評估團隊應該識別并清點風險評估范圍內的所有包括軟件和硬件在內的信息資產。對業務至關重要的資產不僅是識別和清點的重點,也同樣是攻擊者的主要目標,所以需要在資產識別的基礎上,盡可能做好系統威脅暴露面的管理。通過對信息資產的清點,不僅便于可視化資產和流程之間的連接路徑,還可以了解網絡的出入點,從而使識別威脅隱患變得更加容易。
要素3:了解威脅利用方法
威脅利用方法是指不法分子可能使用的對組織資產造成損害的策略、技術和方法。為了幫助識別各項信息資產可能存在的威脅隱患,在風險評估中應該使用MITRE ATT&CK之類的威脅知識庫,直觀地呈現典型攻擊的各種階段和目標,這樣有助于確定他們需要的保護類型。
要素4:分析潛在風險
分析潛在風險是為了評估風險場景實際發生的可能性,以及一旦發生后對組織造成的影響。在網絡安全風險評估中,風險實際發生的可能性應該取決于威脅和漏洞的可發現性、可利用性和可再現性,而不是取決于歷史經驗的套用。影響是指威脅利用漏洞的后果對組織造成的危害程度,應在每個場景中評估對機密性、完整性和可用性造成的影響。這一部分的評估在本質上是非常主觀的,因此評估者的專業度和經驗積累就非常重要。
要素5:確定風險優先級
通過使用風險矩陣(風險級別為“可能性乘以影響”)可以對每個風險場景進行分類。為了確保企業的網絡安全風險程度是可控的,任何高于約定容忍程度的威脅場景都應優先被處理,有三種方法可以做到這一點:第一是避免,如果風險大于好處,那么立刻停止該項活動可能是正確的行動方案;第二是轉移,通過網絡保險或將某些業務外包給第三方,與其他方分擔部分風險;第三是緩解,部署安全控制措施,降低風險程度。
要素6:記錄所有風險
網絡安全風險評估是一項重大且持續的工作。隨著新威脅層出不窮,新的系統或活動不斷引入,安全風險評估需要重復進行。因此,需要在每一次的評估工作中,做好可為未來的評估提供可重復的流程和模板。同時,有必要在風險注冊中心記下所有已識別的風險場景。保持定期審查和更新,確保管理層始終了解其網絡安全風險的最新信息,主要包括:風險場景、鑒定日期、現有的安全控制、當前風險程度、處理計劃、進展狀況、殘余風險以及風險處置負責人等。
文章來源:安全牛編譯整理