網(wǎng)絡(luò)安全中組件驅(qū)動的風(fēng)險管理原則,。
組件驅(qū)動的風(fēng)險評估是網(wǎng)絡(luò)安全行業(yè)中最成熟和最常見的評估類型。本文描述了組件驅(qū)動技術(shù)的共同點,,它們在哪些方面增加了價值,哪些方面沒有,。
一旦了解了這些基礎(chǔ)知識,,應(yīng)該能夠掌握任何組件驅(qū)動的標(biāo)準(zhǔn)或框架(因為它們基于類似的風(fēng)險觀點)并了解它們與系統(tǒng)驅(qū)動方法的區(qū)別,。
如果還沒有這樣做,請在閱讀本文之前閱讀組件驅(qū)動和系統(tǒng)驅(qū)動的風(fēng)險評估簡介,。
范圍和資產(chǎn)
不出所料,,組件驅(qū)動的風(fēng)險評估側(cè)重于系統(tǒng)組件。那么我們所說的“系統(tǒng)組件”是什么意思呢,?典型的例子包括:
硬件(計算機(jī),、服務(wù)器等)
軟件
數(shù)據(jù)集
服務(wù)
個人信息
關(guān)鍵業(yè)務(wù)信息
職員
對系統(tǒng)組件的關(guān)注要求您首先定義正在分析的功能(例如,工資單功能),。此功能稱為評估的“范圍”,。然后,您需要說明在對范圍的風(fēng)險評估中考慮了哪些組件,,哪些不是,。這通常被稱為“資產(chǎn)清單”或“資產(chǎn)登記冊”。
無法控制的組件(但您自己的系統(tǒng)所依賴的組件)稱為依賴項,,并且可以包含在資產(chǎn)列表中,,前提是這些依賴項如何影響可以控制的組件。范圍有時最好以圖表的形式呈現(xiàn),,它清楚地顯示了哪些內(nèi)容,、哪些內(nèi)容以及關(guān)鍵資產(chǎn)是如何連接的。
風(fēng)險要素
一旦確定了范圍,,大多數(shù)組件驅(qū)動的方法都需要風(fēng)險分析師評估風(fēng)險的三個要素,。這三個要素通常用影響、脆弱性和威脅這三個術(shù)語來描述,。
影響
影響是風(fēng)險被實現(xiàn)的后果。在進(jìn)行組件驅(qū)動的風(fēng)險評估時,,影響通常是根據(jù)給定資產(chǎn)以給定方式受到損害的后果來描述的,。這種影響以不同的方式描述,但更常見的技術(shù)之一是評估對信息的機(jī)密性,、完整性和可用性的影響,。例如,可能會根據(jù)客戶數(shù)據(jù)集的機(jī)密性丟失或公司帳戶的損壞(完整性丟失)來描述影響,。這些財產(chǎn)之一的損失可能與其他類型的后果有關(guān),,例如金錢損失、生命損失,、項目延誤或任何其他類型的不良后果,。
漏洞
漏洞是組件中的一個弱點,可以有意或無意地實現(xiàn)影響,。例如,,漏洞可能是允許用戶非法增加其用戶賬戶權(quán)限的軟件,,或業(yè)務(wù)流程中的弱點(例如,在向某人頒發(fā)訪問在線系統(tǒng)的憑據(jù)之前未正確檢查某人的身份或服務(wù)),。無論所討論的漏洞類型如何,,它都可以用來造成影響。
威脅
威脅是導(dǎo)致特定影響發(fā)生的個人,、團(tuán)體或環(huán)境,。例如,這可能是:
一個孤獨的黑客,,或一個國家資助的團(tuán)體
犯了誠實錯誤的員工
組織無法控制的情況(例如高影響天氣)
評估威脅的目的是改進(jìn)對給定風(fēng)險實現(xiàn)可能性的評估,。通常,在評估人類威脅行為者時,,分析師會考慮可能想要傷害組織的人,。這使他們能夠同時考慮這些團(tuán)體的能力和意圖。風(fēng)險專家使用威脅分類法和分類方法來提供威脅能力的通用語言,。
威脅評估的弱點之一是威脅的能力可以迅速變化,,并且很難獲得關(guān)于這些變化的可靠信息。因此,,不要對威脅能力的評估視為靜態(tài)評估,,并確保認(rèn)識到威脅評估中的不確定性和可變性。
應(yīng)用和傳達(dá)威脅,、脆弱性和影響
一旦評估了這些風(fēng)險要素,,下一步就是將這些評估結(jié)合起來,以確定哪些風(fēng)險最令人擔(dān)憂,。一些技術(shù)通過將威脅,、脆弱性和影響的評估組合到每個系統(tǒng)組件的單一風(fēng)險度量中來實現(xiàn)這一點。這并不像某些標(biāo)準(zhǔn)聲稱的那樣簡單,。風(fēng)險的三個組成部分彼此根本不同,,比較它們就像比較蘋果和橙子。一些方法建議使用風(fēng)險矩陣來結(jié)合對威脅,、脆弱性和影響的評估,。
優(yōu)先考慮的風(fēng)險
一旦對各種威脅、脆弱性和影響進(jìn)行評估并組合以創(chuàng)建風(fēng)險列表,,就可以根據(jù)它們的相關(guān)程度對它們進(jìn)行優(yōu)先級排序,。可以首先管理最相關(guān)的風(fēng)險,??梢酝ㄟ^多種方式傳達(dá)風(fēng)險的優(yōu)先級。例如,,可以:
估計影響的財務(wù)損失(如果要實現(xiàn))
提供資產(chǎn)受到損害時需要發(fā)生的事件鏈的敘述
許多標(biāo)準(zhǔn)化的組件驅(qū)動風(fēng)險管理技術(shù)使用定性標(biāo)簽來描述影響級別,,通常帶有“高”,、“中”和“低”等標(biāo)簽。雖然這些相當(dāng)直觀,,但研究表明,,不同的人對這些標(biāo)簽的解釋方式存在巨大差異。當(dāng)考慮到這種理解上缺乏一致性時,,應(yīng)該非常謹(jǐn)慎地使用這些標(biāo)簽(以及類似的“紅綠燈”方法),。使用的技術(shù)應(yīng)該適合風(fēng)險評估的受眾;它想影響誰,?你想告知什么決定,?從評估中提供的信息是否有助于或阻礙決策?
有些方法有一個現(xiàn)成的任務(wù)或目標(biāo)列表,,可用于減輕已識別的風(fēng)險,。這些被稱為“控制集”,可以從中為每個風(fēng)險選擇最合適的緩解措施,。
常用的組件驅(qū)動網(wǎng)絡(luò)風(fēng)險管理方法和框架
本節(jié)簡要介紹常用的組件驅(qū)動的網(wǎng)絡(luò)風(fēng)險管理方法和框架,。
選擇適合技術(shù)
在選擇風(fēng)險方法或框架時,需要考慮:
使用該方法的總成本,。例如,,工具、許可和專業(yè)知識的采購,。
項目范圍,。風(fēng)險方法是否與正在評估的內(nèi)容相稱?
確保所需的資源是相稱的和可持續(xù)的,。需要哪些專業(yè)資源,,現(xiàn)實有嗎?
是否有任何許可限制,?