健康警告#1
这里介绍的步骤并非取自任何单一的方法、标准、方法或技术。下面提供的步骤本质上是介绍性的,并不能单独提供在大型复杂环境中有效管理网络风险所需的风险管理见解;它们仅适合用作刚刚开始网络安全风险管理之旅的组织的起点。出于所有这些原因以及更多原因,这些步骤不应被视为 NCSC 批准的网络安全风险管理方法。
步骤 1 – 建立风险管理的背景
在第一步中,应该考虑可能影响和指导您做出的网络安全风险管理决策和选择的因素。这些事情可能包括您组织的业务优先级和目标,应该保护这些事情免受谁或什么的影响(例如,是否需要在官方信息的威胁模型背景下保护系统和服务,或者我们的服务或出于某种原因对网络犯罪分子或国家行为者有吸引力的系统)、适用于组织的任何法律和监管义务,以及组织为完成其需要做的事情将或不会跨越的网络安全风险红线。这种背景应该以帮助人们理解如何管理网络安全风险的方式表达,至少应通过以下方式来管理:表达对绝对需要保护的内容和原因的自上而下的观点,并提供有关组织愿意容忍的风险类型和原因以及不愿意容忍的风险的声明。这些信息将帮助负责制定风险管理决策的人员有效、自信地工作。
步骤2 – 定义风险评估范围
在开始任何风险评估活动之前,定义评估范围非常重要。评估范围应定义正在评估的现有系统或正在构建的新系统的边界,并且范围应明确定义其中包含的所有资产。在表达评估范围时,创建模型图可能会很有用。这对于传达和描述范围有很大帮助。
除了表达评估的边界之外,对于系统范围的任何模型来说,描述以下内容也很有用:
- 范围内的内部以及外部与其他系统、服务或组织的任何互连
- 组织可以对其内的资产和系统施加控制的边界,以及不能控制的边界
- 评估范围内的系统以某种方式依赖的任何外部系统、服务或组织
下面显示了一个示例范围图,其中风险评估的范围是员工对基于云的应用程序的访问。这清楚地显示了范围内的关键系统组件、参与者、连接以及明确超出范围的内容。
图片
步骤 3 – 了解资产并评估影响
这一步是为了让了解关心的事物以及应该保护的事物。为了帮助实现这一点,可以建立一个资产登记册,其中可能包括(例如)对成功实现业务目标至关重要的设备、系统、服务、软件、信息和/或流程。此步骤的一个重要部分是识别并记录组织内每项资产(或资产组)的所有权。这很重要,因为资产所有者是帮助了解与其资产相关的影响的关键,他们对资产发生的情况、资产的使用方式以及影响资产的风险应如何管理负责。
现在已经有了资产或您关心的事情的列表,现在应该评估如果这些资产以某种方式受到损害将会产生什么影响。妥协可能包括某人读取、更改或删除不该读取的信息或数据,某人干扰系统或服务的工作方式,以及由于某些故障或原因而完全丧失使用系统、服务或信息的能力。网络安全攻击。您应该以对您有意义的方式表达资产影响,以便可以在所有业务资产的背景下理解这些资产的重要性。我们建议您建立风险登记册,以帮助您记录您的资产、确定资产的负责人并记录资产对您的业务的价值。
资产登记册可能类似于下表,其中清楚地标识了资产及其所有权以及影响评估和评级。需要注意清楚地记录用于评估影响的任何标签背后的含义。例如,高影响可能意味着完全丧失实现组织目标的能力,而低影响可能意味着对组织的运营造成不便或轻微干扰。
表 1:资产登记示例
资产ID | 描述 | 对影响的评估 |
0001 | 所有者:IP 所有者 知识产权- 与我们的主要产品相关的设计和其他知识产权 (IP) 信息。 | 影响等级:高 未经授权的发布、修改或无法访问我们的知识产权可能会导致我们失去相对于竞争对手的竞争优势,从而给组织带来财务损失。 |
0002 | 所有者:IT 所有者 企业IT系统——该系统提供办公自动化、业务信息(包括IP和员工信息)的存储和处理、与客户的通信以及互联网的访问。 | 影响等级: 中 未经授权访问我们的公司系统或其可用性或工作方式出现任何故障将意味着我们将无法实现我们的组织目标或履行我们的合同、法律或监管责任。 |
0003 | 业主:人力资源业主 人力资源和员工信息- 这是与员工及其就业相关的敏感个人信息。 | 影响等级: 高 未经授权发布、披露、更改或删除此信息可能会导致隐私法的制裁和/或失去员工的信任和声誉。 |
0004 | 所有者:OT 所有者 OT 和 ICS 系统– 这是用于生产和控制我们主要产品生产的系统 | 影响等级: 高 这些系统工作方式的任何改变、故障或拒绝其可用性都意味着我们无法生产我们的主要产品,从而导致企业的财务和声誉损失。 |
0005 | 业主:公司销售业主 在线销售服务- 这是我们用来向客户销售主要产品的系统和服务。该系统包括我们的网站、支付服务、库存控制和库存系统、客户数据集以及我们的送货服务。 | 影响等级: 高 未经授权访问或发布本系统存储和处理的客户信息、未经授权更改其工作方式、系统及其服务不可用或欺诈性使用可能会导致组织的财务损失、声誉受损以及法律或监管制裁。 |
步骤 4 - 评估威胁
这一步是要理解两件事,
- 谁或什么可能对您的组织及其目标构成威胁。
- 他们可能会如何攻击或以其他方式损害您关心的事物。
为了实现此步骤的第一个目标,您应该寻找威胁信息的权威来源,这些信息可以帮助了解谁可能试图对组织造成伤害以及原因。此威胁信息可能来自 NCSC 或 NPSA 等国家当局、供应商和/或行业团体,或者基于有关谁攻击了您或您的部门等组织的历史知识。如果您不确定如何以一致且可重复的方式描述和传达有关您的威胁和威胁信息的信息,那么来自 Oasis Open 组织的 STIX v2.1提供了有用的词汇表。
健康警告#2
保护系统和服务免受每个潜在威胁参与者的影响是不切实际的、不具有成本效益的,或者在大多数情况下甚至是不可能的。因此,重要的是将对威胁的分析和评估与步骤 1 中建立的上下文联系起来,以便清楚地了解您到底想保护您的系统和服务免受谁的侵害以及原因。例如,如果您的组织决定需要根据官方信息的威胁模型来保护系统或服务那么您可能会认为黑客活动分子、记者、黑客、罪犯和犯罪团伙等威胁行为者是相关的且在范围内,但您可能会认为国家行为者超出了范围,因为您的组织已做出基于风险的决定,不寻求保证您的系统或服务受到保护,免受它们的侵害。在不同的情况下,您正在处理的系统或服务可能支持在线销售商品或支付金钱,这意味着组织可能适合将资源充足的在线犯罪团伙视为犯罪团伙的高门槛。需要保护系统或服务免受威胁。
下一步是了解威胁可能如何攻击,以及它们可能针对组织和试图保护的事物使用的策略和技术。威胁建模等技术以及使用助记符(如STRIDE、网络杀伤链、攻击树的开发和威胁信息的公开知识库(如MITRE ATT&CK))对于建立这种理解非常有帮助,并为进一步评估提供信息。网络安全风险。
如果不确定如何记录威胁分析或无法对一种威胁与另一种威胁进行评级,那么可以考虑使用简单的 3x3 矩阵,其中威胁能力、动机和威胁本身按照简单的从低到高的等级进行评分。
表 2:威胁分析示例
动机 | |||
能力 | 低的 | 中等 | 高的 |
高的 | 中等 | 高的 | 高的 |
中等 | 低的 | 中等 | 高的 |
低的 | 低的 | 低的 | 中等 |
健康警告 #3
应该意识到,虽然矩阵易于使用,但如果使用不当,可能会导致错误和风险传达错误。如果您要使用如上所示的矩阵,请确保仔细传达量表和所使用的任何标签的含义。
步骤 5 – 评估弱点
人员、流程、地点和技术中可能存在漏洞,威胁行为者可能会利用这些漏洞来实现其目的和目标。有多种技术和资源可以帮助您评估漏洞:
- 可以使用良好的指导(例如NCSC 的安全系统管理指南、安全设计原则或云安全指南)来帮助您思考使用的系统和服务中可能存在漏洞的位置
- 可以构建攻击树来帮助您了解威胁行为者为实现其目标而需要采取的步骤
- 可以利用公开披露的技术漏洞的目录或数据库(例如 MITRE 的常见漏洞枚举 [CVE] 数据库)来帮助您了解影响您使用的技术的已知漏洞
- 可以使用威胁信息的知识库(例如 MITRE ATT&CK)来帮助您更多地了解作为现实世界和已知攻击的一部分而被利用的漏洞
- 可以根据漏洞被利用的难易程度、漏洞在您的组织及其系统中的传播范围以及威胁行为者知道或假设您存在影响您的系统的漏洞的难易程度来评估漏洞和服务
如果不确定如何记录漏洞分析或无法对一个漏洞与另一个漏洞进行评级,那么您可以考虑使用简单的 3x3 矩阵,其中威胁暴露度、可利用性和漏洞本身按照简单的从低到高进行评分规模。
表 3:漏洞分析示例
面临威胁 | |||
易于利用 | 低的 | 中等 | 高的 |
高的 | 中等 | 高的 | 高的 |
中等 | 低的 | 中等 | 高的 |
低的 | 低的 | 低的 | 中等 |
步骤 6 – 估计可能性
以某种方式结合对威胁和漏洞的分析,以评估特定威胁利用特定策略或技术来利用漏洞来实现其目的和目标的可能性,从而对发生。
可能性是对某事发生的可能性的估计,可能性可以用一个尺度来描述,其中 0 表示某事没有发生的可能性,1 表示某事将会发生,各种确定性/不确定性状态作为其间的尺度间隔。可能性也可以表示为某事发生的百分比概率,0% 表示没有机会,100% 表示某事会发生。这些等级可以使用标签来表示,例如低、中和高。
在考虑可能性时,您应该寻找有关这些威胁、漏洞和攻击对与您类似的其他组织或部门产生什么影响的信息。例如,如果您的竞争对手或与您合作的合作伙伴组织正在遭受类似的攻击,那么可以肯定地说您也可能会受到攻击。
估计可能性的另一种方法是将其视为威胁动机和能力、漏洞利用的容易程度以及您暴露于该漏洞的程度的某种产物。在这种情况下记录和分析可能性的一个简单方法是使用如下所示的矩阵,其中威胁和漏洞评级以及可能性进行评分并以简单的从低到高的等级表示。
表 4:似然分析示例
漏洞评级 | |||
威胁评级 | 低的 | 中等 | 高的 |
高的 | 中等 | 高的 | 高的 |
中等 | 低的 | 中等 | 高的 |
低的 | 低的 | 低的 | 中等 |
无论决定估计、分析和描述可能性,都应该记住,风险管理是一种应对不确定性的练习。这意味着我们需要注意,不要通过对风险的任何组成部分(即威胁、脆弱性、影响和可能性)进行估计、评估或评级,给决策者带来错误的确定性。这可以通过帮助决策者了解用于分析、评估和评级风险组成部分(例如可能性)的方法、流程和信息,并以有意义的方式传达风险来实现。这将在下一步中更详细地讨论。
步骤 7 – 评估网络安全风险
网络安全风险是与技术系统和服务的使用相关的未来事件,可能对某人、系统、企业或组织产生某种形式的影响。与其他业务领域(例如金融领域)的风险管理相比,在网络安全领域,我们认为这一未来事件与我们对技术的使用有关。危害可能包括与信息资产的机密性、完整性和可用性相关的传统影响,但组织和企业不应将他们的思维仅限于这些信息资产质量。损害可能包括系统或服务的正确运行、其可用性、企业的良好声誉、组织未能履行其法律、监管或合同责任或财务影响。
如前所述,为了提高对网络安全风险及其实现方式的理解和评估,可能会发现进行一些威胁建模或构建一些攻击树很有帮助。详细介绍技术漏洞和攻击的公开信息源(例如常见漏洞枚举列表和ATT&CK 知识库)(均由 MITRE 公司提供)也可能有助于了解可能出现问题的情况以及如何出现问题。
为了达到风险的定性水平,我们可以以某种方式将您对可能性的估计(包括威胁和脆弱性)与您对影响的评估结合起来,以得出风险。确保以有意义的方式传达您的风险,并传达与风险评估相关的不确定性。
如果没有足够的信心根据考虑的威胁、漏洞和影响信息自由地编写风险声明,或者您不知道如何将它们组合起来形成风险评级,那么可以考虑使用简单的矩阵例如下面的可能性评估和影响评估相结合得出风险评级。然后,该风险评级可用于帮助您向决策者传达已识别风险的重要性,或优先考虑一种风险。
表 5:风险声明示例
影响评级 | |||
可能性评级 | 低的 | 中等 | 高的 |
高的 | 中等 | 高的 | 高的 |
中等 | 低的 | 中等 | 高的 |
低的 | 低的 | 低的 | 中等 |
沟通并记录风险
确保使用风险声明以有意义的方式传达风险,使决策者能够了解所涉及的时间范围和不确定性。
在向决策者描述风险时,向他们传达分析的确定性或不确定性非常重要。如果不这样做,就会向决策者传达这样的信息:您完全确定您所描述的风险将会发生。例如,承认不确定性的风险声明可能如下所示:
“在未来 12 至 24 个月内,我们中的人很有可能成为网络犯罪团伙使用勒索软件攻击的目标(10% 左右)。如果勒索软件攻击成功,它可能会导致我们完全无法访问 IT 和 OT 系统,从而使我们在一段时间内无法与客户和合作伙伴沟通,无法制造我们的产品或提供我们的服务,直到恢复对我们的系统和信息的访问为止,我们每天的成本约为 1-200 万英镑。”
从这个声明中你可以看出,我们对可能性、时间尺度和影响的评估存在不确定性。
步骤 8 – 确定风险优先级并提出风险管理行动建议
在此步骤中,应该审查在前面的步骤中提出的整套风险,并确定风险管理的优先级。作为分析师并作为此过程的一部分,需要向业务部门推荐可以最有效地管理所识别的风险的方法。例如,可以建议企业:
- 使用某种技术或非技术网络安全控制来处理风险
- 通过改变或停止导致风险存在的活动来避免风险
- 通过将处理其财务影响的责任转移给第三方(例如通过保险)来转移风险,并指出通过网络保险转移风险仅处理已实现的风险的财务影响;风险的其他方面和影响,例如声誉、法律或监管影响,需要以其他方式进行管理
- 接受风险并且不采取任何行动,同时接受如果风险按照您的分析描述的那样实现,他们将不得不处理风险的后果
此步骤还提供了一个有用的机会来消除或组合重复的风险,并识别风险之间的联系和关系。例如,成功的拒绝服务风险可能依赖于最初意识到的网络钓鱼或恶意软件风险。请参阅下表,该表说明了如何呈现风险优先级列表。
表 6:优先风险示例
风险识别码 | 风险描述 | 风险等级 |
R0001 | 网络犯罪分子有可能成功实施勒索软件攻击,拒绝我们的用户访问我们的企业 IT 系统及其存储和处理的信息,从而影响我们提供核心服务的能力。 | 高的 |
R0002 | 网络犯罪分子有可能成功实施勒索软件攻击,拒绝我们的用户访问我们的企业 IT 系统及其存储和处理的信息,从而影响我们提供核心服务的能力。 | 高的 |
R0003 | 存在内部人员可能利用其授权访问权限故意复制和发布外部敏感业务信息的风险,导致我们因知识产权和声誉损失而损失收入。 | 中等的 |
步骤 9 – 制定风险处理计划
如果您建议使用技术或非技术控制措施来处理网络安全风险,则有必要记录和描述这些控制措施,并尽可能提供有关如何/应该实施这些控制措施的指导和信息。在考虑您可能寻求应用的控制措施时,考虑使用提供良好控制基准的标准或方案可能会很有用。例如,国际标准组织 (ISO)或NCSC 的 Cyber Essentials 计划提供的内容。无论您选择应用什么控制或控制基线,都应注意确保明智且按比例地应用它们,以避免出现不必要的控制或更糟的情况,即控制不能有效地帮助管理风险。虽然真正的风险治疗计划将包括有关拟议治疗及其实施方式的更多细节,但基本治疗计划可能如下所示:
表 7:风险处理计划示例
风险识别码 风险描述 风险影响 | 风险处理ID 建议的风险处理(PRT) | 实施指南/合规性/标准 |
编号: R0001 描述:勒索软件风险 影响:信息的机密性和业务系统的可用性。 | 编号: RT0001 PRT:系统和信息备份 | 减轻恶意软件和勒索软件攻击 (NCSC)
设备安全指南 (NCSC) |
编号: RT0002 PRT: 系统强化和锁定 | ||
编号: RT0003 PRT: 注册 NCSC ACD 服务 | ||
编号: RT0004 PRT: 启用 MFA | ||
编号: RT0005 PRT: 漏洞管理 | ||
编号: RT0006 PRT: 事件管理 | ||
编号: R0002 描述:网络钓鱼风险 影响:网络钓鱼攻击可能会影响我们所依赖的系统、服务和信息的机密性、完整性和可用性。 | 编号: RT0007 PRT: 采用反欺骗措施(包括 DMARC、SPF 和 DKIM) | 网络钓鱼攻击:保卫组织 (NCSC) |
编号: RT0008 PRT: 邮件过滤和阻止 | ||
编号: RT0009 PRT: 可疑电子邮件报告 | ||
编号: RT0010 PRT: 用户培训 | ||
编号: RT0011 PRT: 密码管理和 MFA | ||
编号: RT0012 PRT: 事件管理 | ||
步骤 10 – 制定保障计划
保证是一种提供信心的方法,让我们相信我们关心的事物受到保护,并且安全控制以您期望的方式单独和协同工作,以确保系统的安全。应不断从您用于处理网络安全风险的控制措施(无论是程序、物理、人员还是技术)中寻求保证。因此,通过有效利用保障活动来获得对风险处理的信心对于管理网络风险至关重要。要完成此步骤,您需要考虑如何获得并维持所提议的安全控制的保证。可以寻求保证:
- 安全控制结合起来保护我们关心的业务成果、系统或服务的方式。例如通过设计审查、架构审查、安全测试等。
- 控件的设计方式
- 实施控制的方式
- 控件的使用方式
- 通过控制测试
- 在使用和管理您的系统和服务的人员中
- 在您工作的地方以及容纳您的系统和服务的地方
- 在您的业务流程以及您使用的技术系统和服务中
您应该确保您已经考虑了对所建议的所有控制措施的保障,保障计划可能如下表所示。
表 8:保险计划示例
风险处理ID | 建议的风险处理 | 我们将如何保持对控制的保证或信心 |
RT0001 | 系统及信息备份 | 至少每周进行一次完整备份和增量备份;这些将是存储在安全设施中的在线和离线备份的组合。备份本身和恢复过程将定期进行测试。 |
RT0002 | 系统强化和锁定 | 系统将通过设计确保安全,架构和设计将由内部和外部主题专家进行审查;系统和服务将在部署之前以及投入使用后定期进行安全测试。 |
RT0003 | 注册NCSC ACD 服务 | 作为常规安全测试流程的一部分,将检查适用的 NCSC ACD 服务的注册情况。 |
RT0004 | 启用 MFA | 根据 NCSC 和其他良好实践应用 MFA - 系统和服务将在部署之前进行安全测试,并在投入使用后定期进行安全测试。 |
RT0005 | 漏洞管理 | 系统和服务将接受预部署和定期的服务中漏洞扫描。 |
RT0006 和 RT0012 | 事件管理 | 我们的事件管理计划将根据 NCSC 关于 IM 的指导制定。 |
RT0007 | 采用反欺骗措施(包括 DMARC、SPF 和 DKIM) | 使用 NCSC 的邮件检查服务来测试我们的邮件安全性。 |
RT0008 | 邮件过滤和阻止 | 我们的邮件过滤和阻止设置将作为部署前和服务中安全测试的一部分进行测试。 |
RT0009 | 可疑电子邮件报告 | 作为我们定期安全测试的一部分,我们将要求随机选择的用户描述他们将如何保护自己和企业免受网络钓鱼,以及如果收到可疑电子邮件他们会做什么。 |
RT0010 | 用户培训 | 至于上面的RT0009。 |
RT0011 | 密码管理和 MFA | 将根据 NCSC 和其他良好实践应用密码和身份验证策略。密码策略和规则将作为预部署和服务安全测试的一部分进行检查。 |
步骤 11 – 持续迭代和改进
重要的是:应将风险评估和管理视为一个持续的过程。如果不这样做,就意味着将很快无法调整系统、服务和安全性来应对新技术和新出现的威胁。这意味着应该定期重新审视网络安全风险评估和控制措施,并在出现重大变化时立即重新审视。可能促使审查的变化可能包括威胁的变化,或者系统或服务使用方式的重大变化。
后记:风险评估以及风险管理是一个世界性话题,各国在网络安全领域都会出台很多有关的文件或资料,我们在一条线索上去学时垂直性的学习和了解,我们在不同线索上学习,是横向对比不同国家如何管理,一方面找到共通性,另一方面找到个异性。整理这些东西,是我个人学习的一个过程,不是让大家生搬硬套,而是给大家多一种思路和理解,参考借鉴。