现在网络越来越发达,现在的企业几乎都有互联网连接和某种形式的IT基础设施,这意味着几乎所有企业都面临网络攻击的风险。为了了解这种风险的严重程度并能够对其进行管理,组织需要完成网络安全风险评估,该过程可以识别哪些资产比较容易受到组织面临的风险的影响。
减轻评估期间确定的风险将预防和减少代价高昂的安全事件和数据泄露,并避免监管和合规问题。风险评估过程还要求组织内的每个人都考虑网络安全风险如何影响组织的目标,这有助于创建更具风险意识的文化。那么,网络安全风险评估的核心是什么?
怎样评估网络安全风险
网络安全风险评估要求组织确定其关键业务目标并确定对实现这些目标至关重要的信息技术资产。是识别可能对这些资产产生不利影响的网络攻击,确定这些攻击发生的可能性以及它们可能产生的影响的案例;为特定业务目标构建威胁环境的完整图景。这允许利益相关者和安全团队就如何以及在何处实施安全控制做出明智的决定,以将整体风险降低到组织可以接受的风险。
网络安全风险评估5步走
网络安全风险评估可以分为许多部分,但5个主要步骤是范围界定、风险识别、风险分析、风险评估和记录。
1、确定风险评估的范围
风险评估决定评估范围内的内容。它可能是整个企业,但这通常是一项太大的任务,它更有可能是业务单位、位置或业务的特定方面,例如支付处理或Web应用程序。获得其活动在评估范围内的所有利益相关者的全力支持至关重要,因为他们的意见对于了解哪些资产和流程是比较重要的、识别风险、评估影响和确定风险承受能力水平至关重要。可能需要专门从事风险评估的第三方来帮助他们完成一项资源密集型工作。
所涉及的每个人都应该熟悉风险评估中使用的术语,例如可能性和影响,以便对如何界定风险有一个共同的理解。在进行风险评估之前,非常值得回顾ISO/IEC27001等标准和NIST SP800-37等框架,这可以帮助指导组织如何以结构化的方式评估其信息安全风险并确保减轻控制适当和有效。
2、如何识别网络安全风险
2.1 识别资产
你无法保护你所不知道的内容,下一个任务是识别并创建风险评估范围内的所有物理和逻辑资产的清单。在识别资产时,重要的是不仅要建立那些被认为是企业的皇冠上的宝石——对业务至关重要的资产,并且可能是攻击者的主要目标,还要建立攻击者想要控制的资产。创建网络架构图从资产清单列表中查看资产和流程之间的互连和通信路径以及网络入口点的好方法,使识别威胁的下一个任务变得更容易。
威胁是威胁参与者使用的可能对组织资产造成损害的策略、技术和方法。网络杀伤链描绘了典型现实世界攻击的阶段和目标。
2.2 找出可能出错的地方
此任务涉及指定已识别威胁利用漏洞攻击范围内资产的后果。
例如:
威胁:攻击者执行 SQL 注入
漏洞:未打补丁
资产:网络服务器
后果:窃取客户的私人数据。
在像这样的简单场景中这些信息可以让所有利益相关者更容易了解他们面临的与关键业务目标相关的风险,并让安全团队更容易识别适当的措施和良佳实践来应对风险。
3、分析风险并确定潜在影响
现在是时候确定识别的网络安全风险记录的风险情景实际发生的可能性,以及如果确实发生对企业的影响。在网络安全风险评估中,风险可能性——给定威胁能够利用给定漏洞的概率——应该基于威胁和漏洞的可发现性、可利用性和可再现性而不是历史事件来确定。这是因为网络安全威胁的动态性质意味着可能性与过去发生的频率(例如洪水和地震)没有那么密切的联系。
影响是指威胁利用漏洞的后果对组织造成的损害程度。应在每个场景中评估对机密性、完整性和可用性的影响,并将影响较高的用作而终分数。评估的这一方面本质上是主观的,这就是利益相关者和安全专家的意见如此重要的原因。以上面的SQL注入为例,对机密性的影响等级可能会被列为“非常严重”。
4、确定风险并确定风险的优先级
使用如下风险矩阵,其中风险级别为“可能性乘以影响”,可以对每种风险情景进行分类。如果 SQL注入攻击的风险被认为是“可能”或“极有可能”,我们的示例风险场景将被归类为“非常高”。
任何高于商定容忍水平的情况都应优先处理,以使其在企业的风险容忍水平内。
有3种方法可以做到这一点:
1、避免:如果风险大于收益,那么停止一项活动可能是较好的行动方案,如果这意味着不再接触它。
2、转移:通过网络保险或将某些业务外包给第三方,与其他方分担部分风险。
3、缓解:部署安全控制和其他措施以降低可能性和/或影响,从而降低风险水平。
没有任何系统或环境可以做到 100 % 安全,总会留下一些风险。这称为残余风险,必须被利益相关者正式接受,作为组织网络安全战略的一部分。
5、记录所有安全风险
在风险登记册中记录所有已识别的风险情景非常重要。这应该定期审查和更新,以确保管理层始终了解其网络安全风险的新的信息。
这个记录它应该包括:
风险情景、鉴定日期、现有的安全控制、当前风险水平
处理计划——将风险控制在可接受的风险容忍度范围内的计划活动和时间表
进展状况——治疗计划的实施状况
残余风险——处理计划实施后的风险等级
风险负责人——负责确保剩余风险保持在容忍水平内的个人或团体
网络安全风险评估是一项庞大且持续的工作,如果要提高组织的未来安全性,就需要提供时间和资源。随着新威胁的出现和新系统或活动的引入,它需要重复进行,但第1次做得好将为未来的评估提供可重复的流程和模板,减少网络攻击对业务目标产生不利影响的机会。