文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何通过5个步骤进行网络安全风险评估

2024-11-29 18:47

关注

减轻 评估过程中发现的风险 将防止和减少代价高昂的安全事故和数据泄露,并避免监管和合规问题。风险评估过程还要求组织内的每个人都考虑网络安全风险如何影响组织的目标,这有助于 创造一种更具风险意识的文化。那么,网络安全风险评估的核心是什么呢?

网络安全风险评估包含哪些内容?

网络安全风险评估要求组织确定其关键业务目标并确定实现这些目标所必需的信息技术资产。然后, 识别可能对这些资产产生不利影响的网络攻击 ,确定这些攻击发生的可能性并了解它们可能产生的影响;总之,为特定业务目标构建完整的威胁环境图景。这使利益相关者和安全团队能够做出明智的决定,决定如何以及在何处实施安全控制,以将总体风险降低到组织可以接受的水平。

如何进行网络安全风险评估:五个步骤

网络安全风险评估可以分为许多部分,但主要有五个步骤:范围界定、风险识别、风险分析、风险评估和文档记录。

步骤 1:确定风险评估的范围

风险评估首先要确定评估范围。评估范围可以是整个组织,但这通常太大,因此更可能是业务部门、地点或业务的特定方面,例如支付处理或 Web 应用程序。获得评估范围内所有利益相关者的全力支持至关重要,因为他们的意见对于了解哪些资产和流程最重要、识别风险、评估影响和定义风险承受水平至关重要。可能需要专门从事风险评估的第三方来帮助他们完成这项资源密集型的工作。

所有参与者都应熟悉风险评估中使用的术语,例如可能性和影响,以便对风险的构成方式有共同的理解。对于不熟悉网络安全概念的人,ISO/IEC TS 27100 提供了有用的概述。在进行风险评估之前,最好先查看 ISO/IEC 27001 等标准以及 NIST SP 800-37 和 ISO/IEC TS 27110等框架,这些框架可以帮助指导组织如何以结构化的方式评估其信息安全风险,并确保缓解控制措施适当且有效。

各种标准和法律(如 HIPAA、萨班斯-奥克斯利法案和 PCI DSS) 都要求组织完成正式的风险评估,并且通常会提供完成评估的指南和建议。然而, 在进行评估时,应避免采用以合规性为导向的清单方法 ,因为仅仅满足合规性要求并不一定意味着组织不会面临任何风险。

第二步:如何识别网络安全风险

(1) 识别资产

您无法保护您不知道的东西,因此下一个任务是识别并创建风险评估范围内所有物理和逻辑资产的清单。在识别资产时,不仅要确定那些被视为组织 皇冠上的宝石 的资产(对业务至关重要的资产,可能是攻击者的主要目标),还要确定攻击者想要控制的资产,例如 Active Directory 服务器或图片存档和通信系统,以用作扩大攻击的支点。根据资产清单创建网络架构图是一种很好的方法,可以直观地显示资产和流程之间的互连和通信路径以及网络入口点,从而使识别威胁的下一个任务变得更容易。

(2) 识别威胁

威胁是威胁行为者使用的策略、技术和方法,可能会对组织的资产造成损害。为了帮助识别对每项资产的潜在威胁,请使用威胁库(例如 Mitre ATT&CK 知识库) 和 网络威胁联盟的资源,它们都提供高质量、最新的网络威胁信息。安全供应商报告和政府机构(例如 网络安全和基础设施安全局)的建议 可以成为有关特定行业、垂直行业和地理区域或特定技术中出现的新威胁的极佳新闻来源。

还要考虑每项资产在洛克希德·马丁网络杀伤链中的位置 ,因为这将有助于确定它们所需的保护类型。网络杀伤链列出了典型真实攻击的阶段和目标。

(3) 确定可能出现的问题

此任务涉及指定已识别威胁利用漏洞攻击范围内资产的后果。例如,考虑以下场景:

在这样的简单场景中总结这些信息,可以让所有利益相关者更容易地了解他们在关键业务目标方面面临的风险,并让安全团队更容易确定适当的措施和最佳实践来应对风险。

步骤 3:分析风险并确定潜在影响

现在是时候确定步骤 2 中记录的风险情景实际发生的可能性,以及如果发生对组织的影响。在网络安全风险评估中,风险可能性(即特定威胁能够利用特定漏洞的概率)应基于威胁和漏洞的可发现性、可利用性和可重现性来确定,而不是基于历史事件。这是因为网络安全威胁的动态性质意味着 可能性 与过去发生的频率没有那么紧密的联系,例如洪水和地震。

按 1(罕见)到 5(极有可能)的等级对可能性进行排序,按 1(可忽略)到 5(非常严重)的等级对影响进行排序,可以轻松创建步骤 4 中所示的风险矩阵。

影响是指威胁利用漏洞造成的后果对组织造成的损害程度。应在每种情况下评估对机密性、完整性和可用性的影响,并将最高影响作为最终分数。评估的这一方面本质上是主观的,这就是为什么利益相关者和安全专家的意见如此重要。以 上面的SQL 注入为例 ,对机密性的影响评级可能会被评为“非常严重”。

步骤 4:确定风险并确定其优先顺序

使用如下所示的风险矩阵,其中风险级别为“可能性乘以影响”,可以对每个风险场景进行分类。如果 SQL 注入攻击的风险被视为“可能”或“极有可能”,则我们的示例风险场景将被归类为“非常高”。

任何超出商定容忍水平的情况都应优先处理,以使其在组织的风险容忍水平之内。以下是实现此目的的三种方法:

然而,没有任何系统或环境能够做到 100% 安全,因此总会存在一些风险。这被称为 残留风险 ,必须由高级利益相关者正式接受,作为 组织网络安全战略的一部分。

步骤 5:记录所有风险

将所有已识别的风险情景记录在风险登记册中非常重要 。应定期审查和更新风险登记册,以确保管理层始终掌握最新的网络安全风险信息。风险登记册应包括以下内容:

网络安全风险评估是一项庞大且持续的工作,因此如果要改善组织未来的安全性,就需要投入时间和资源。随着新的网络威胁出现以及新系统或新活动的引入,需要重复进行评估;但如果第一次就做得很好,它将为未来的评估提供可重复的流程和模板,同时降低网络攻击对业务目标产生不利影响的可能性。

来源:祺印说信安内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯