网络安全风险管理与目标:
风险管理的主要目的是要将风险降低到一个可以接受的级别。达到风险管理主要目标的过程被称为风险分析(risk analysis)。风险评估(Risk Assessment)是对信息资产及其价值、 面临的威胁、存在的弱点,以及三者综合作用而带来风险的大小或水平的评估。
信息风险管理IRM(1nfonnation Risk Management)是识别并评估风险、将风险降低至可接受级别、执行适当机制来维护这种级别的过程。
风险分析提供了一种成本/收益比(costl1-benefit comparison),也就是用来保护公司免受威胁的防护措施的费用与预料中的损失所需要付出的代价之间的比值。在大多数情况下,如果损失的代价没有超过防护措施本身的费用,那么就不应该实行该防护措施。
风险分析有下列4个主要目标:
1标识资产和它们对于组织机构的价值。
2识别脆弱性和威胁。
3量化潜在威胁的可能性及其对业务的影响。
4在威胁的影响和对策的成本之间达到预算的平衡。
网络安全风险的术语有哪些:
我们常常使用术语“脆弱性”、“威胁”、“风险”和“暴露”来表示同样的事情,然而, 它们实际上有不同的含义,相互之间也有不同的关系。理解每一个术语的定义是非常重要的, 但更重要的是应当理解它们彼此之间的关系。
1资产(Asset)
资产是指环境中应该加以保护的任何事物。如:计算机文件、网络服务、系统资源、进程、 程序、产品、IT基础架构、数据库、硬件设备、家具、产品秘方/配方、人员、软件和设施等。
2资产估值(Asset Valuation)AV
就是资产具备的货币价值。包括开发、维护、管理、宣传、支持、 维修和替换瓷产的所有成本,还包括公众信心、行业支持、生产率增加、知识资产以及所有者权益等无形价值。
3弱点/脆弱性(Vulnerability)
一个资产的弱点(缺少安全措施)、缺陷(安全方面的问题)或者漏洞被称为脆弱性。一旦被利用,就会对资产造成损害。如果没被利用,当然也就没事了。
4威胁(Threats)
前面讲了脆弱性,那么一个弱点有多个大可能会被利用,并产生破坏呢?
威胁就是利用脆弱性的行为,它会带来危险:即某人或某个软件识别出特定的脆弱性,并利用其来危害公司或个人。任何可能发生的、造成资产价值损失的事情都被称为威胁。威胁主体通常是人,不过也可能是程序、硬件或系统。威胁事件包括火灾、地震、水灾、系统故障和人为错误(一般是因为缺少培训或无知)和断电等等。
5风险(Risk)
脆弱性、威胁都是客观可能存在的东西或者事件,而风险就是一个量化的指标(百分比或者经济损失的价值),代表了是某种威胁事件利用了脆弱性,并导致资产损害的可能性。它是1个概率性的评估。可能性越大,风险就越大,损失就越大。
风险=(威胁+脆弱性)×100%-潜在影响
会考到风险相关的三要素:威胁、脆弱性和消减措施。
6暴露(Exposure)
显示脆弱性,把组织暴露在威胁之下。暴露就是存在可利用的脆弱性。暴露并不是指威胁事件实际发生了,而是存在漏洞被利用的潜在可能性,或者是资产被迫害的可能性。也就是说, 没暴露前,没人知道系统有脆弱性、威胁和风险,一切都是安全的;只有真实暴露了,才会发生实际的安全事件,一切才变得不安全。
7防护措施(Safeguards)
防护措施就是安防对策,是指能消除脆弱性或应对一种或多种特定威胁的任何方法,包括技术的、物理的、管理的。当然,一切的目的是为了消减风险(mitigate risk),包括控制(control)、对策(countmeasure)和防护措施(safeguard)。
8攻击(Attack)
攻击是1个威胁主体利用脆弱性的行为,前面几个概念都是纸上谈兵,只有攻击发生了, 才产生实际的、真正的破坏性影响。搞攻击就是搞破坏,搞破坏就是就是破解了或者绕过了安防系统,也就是实现了非法进入。搞成了破坏,就能搞攻击了。当破坏与攻击结合时,就会发生渗透事件或入侵事件。
10残留风险(Residual Risk)
在实施安全措施之后仍然存在的风险。 最后用一个图来描述关系:
威胁与脆弱性与风险与资产与暴露的关系
威胁与脆弱性的关系
美国NIST的网络安全风险评估过程
NIST开发了一套风险方法,出版在SP8 00-30文档中。这套NIST方法叫做信息技术体系
风险管理指南(Risk Management Guide for Information Technology System),被认为是美
国联邦政府标准。
1准备评估。
目标是搞清背景。
确定评估的目的,确定评估范围,识别与评估有关的假定与约束,识别评估的输入
识别评估期间使用的风险模型和分析方法。
2进行评估。
目标是生成信息安全风险列表,从而根据风险水平区分优先级,并通知区险响应决策。
识别与组织相关的威胁源,识别这些源可能产生的威胁事件,
识别组织内可被威胁源利用的脆弱性,
确定威胁源会引发的特定威胁事件的可能性,以及威胁事件成功的可能性,
确定威胁事件产生的负面影响
确定威胁负面影响的信息安全风险。
3沟通评估结果和分享风险的相关信息。
目的是确保决策者了解掌握风险相关的信息,指导风险决策沟通,共享信息。 沟通风险评估结果,在风险评估的执行阶段共享相关信息,支持其他的风险管理活动
4维护评估。
目的是跟踪掌握风险变化情况。
监控风险评估中识别的风险因素,掌握后续变化,更新风险评估报告。
网络安全风险评估中如何识别威胁与脆弱性
对IT的威胁并不只限制在IT源,也有自然灾害、人和管理的因素。脆弱性评估需要一个技术团队,也需要非专业的人员来提高全面性。
通过常使用微软的STRIDE威胁分类方案(6个首字母)。即:
1电子欺骗(Spoofing )--通过使用伪造身份获得对目标系统访问权限的攻击行为。可使用IP地址、MAC地址、用户名、系统名称、无线网络名称、电子邮件地址以及许多其它类型的逻辑标识来欺骗。
2篡改(Tampering)--任何对数据进行未授权的更改或操纵的行为,包括在传输中的和被存储的数据。这种攻击主要侵害完整性和可用性。
3否认(Repudiation)--用户或攻击者否认执行了一个动作或行为的能力。也就是抵赖、不承认有过非法行为。
信息披露(Informationdisclosure)--将私人、机密或受控信息揭露、传播给外部或未授权实体的行为。
5拒绝服务(DOS)--指攻击试图阻止对资源的授权使用。这可以通过缺陷开发、连接重载或流量泛滥实现。DOS攻击并不一定会导致对一个资源的完全中断;而是会减少吞吐量或造成延迟,以阻碍对资源的有效利用。
6权限提升(Elevation of privilege )--此攻击是指有限的用户帐号被转换成一个拥有更大特权、权力和访问权的帐户。
一骗二改三抵赖;窃密瘫痪提权限。
网络安全风险评估/分析(定性分析、定量分析、混合分析)方法
要搞清2种风险分析的区别:
1项目风险分析projectrisk analysis:团队针对项目实施的分析,为了避免项目失败。
2安全风险分析security risk analysis:仅针对某个信息系统的分析,为了找其漏洞。
网络安全风险评估的任务包括:
1识别构成风险的各种因素;
2评估风险发生的可能性和造成的影响,并最终评价风险水平或大小;
3确定组织承受风险的能力;
4确定风险消减和控制的策略、目标和优先顺序;
5推荐风险消减对策以供实施。
网络安全风险评估的内容:
1资产面临的威胁。Threats to its assets
2当前环境中存在的脆弱性。Vulnerabilities present in the environment
3威胁真实发生的概率(定量评估的频次)。The likelihood that a threat will be realized by taking advantage of an exposure (probability and frequency when dealing with quantitative assessment)
4威胁发生带来的影响。The impact that the exposure being realized will have on the organization
5消减措施。Countermeasures available that can reduce the threat's ability to exploit the exposure or that can lessen the impact to the organization when a threat is able to exploit a vulnerability
6剩余风险。The residual risk (e.g.,the amount of risk that is left over when appropriate controls are properly applied to lessen or remove the vulnerability)
网络安全定量风险分析
要计算出具体的概率百分比,用货币形式表示每个资产和威胁。虽然,纯粹的、精准的定量分析是不可能的,但还是能用的。下面是定量风险分析的六个主要步骤或阶段,都不难理解:
1列出资产清单并分配资产价值,即AV (asset value);
2研究生成每个资产所有可能威胁的列表。为每个威胁计算暴露因子EF (expoSure factor)和单一损失期望SLE (single loss expectancy),就是单损。
EF也称为潜在损失,是该风险实际发生时,可能损失的资产价值的百分比。
SLE就是该风险实际发生1次时,可能损失的资产价值,也就是损失多少钱。
SLE=AVEF
3计算每种风险的年发生概率ARO(annualized rate of occurrence)。
ARO就是该风险每年可能发生几次,值从0到无穷大,越大越危险。如果风险每年发生很多次,它带来的损失可以远远超出相关资产的价值。
4计算每个风险的年度损失期望ALE (annualized loss expectancy),就得到每个威胁可能的总损失。
ALE=SLEARO
5研究每个威胁的对策,然后基于对策,计算采取措施后的ARO和ALE。
不管有没有采取措施,EF是不变的,也就是不管攻击搞没搞成,反正只要搞成了,你就会损失这么多。安防措施的目的应是减少ARO,就不让风险实际发生。
6针对每个资产的每个威肋的每个对策执行成本/效益分析。选择对最适用的对策。
这里要先计算每个威胁采取某种防护措施的年度成本ACS (annualcost of saf eguard)
部署安防系统的价值就是:施策前的ALE一施策后的ALE一ACS,可以让高层看到安防系统实现了多大的效益。
网络安全定性的风险分析
不算钱,只是评估其风险、成本和景影响,可以使用很多统筹学里用到的技术,如头脑风暴、 得尔非(Delphi)、问卷调查、各种开会等。
1场景(Scenarios)
就是用一页纸讲清楚1个风险案例,用高、中、低或者A、B、C什么的表示影响程度。
2Delphi技术
学过统筹学就知道,Delphi技术就是一个简单的匿名反馈和响应过程。参与者通常被集中在一间会议室中,对每项意见或问题匿名反馈自已的想法;然后组织者修改完善这个报告或方案,再进行匿名反馈;最后所有参与者都答成一致,没有意见了。
3风险评估矩阵
横轴是风险影响,一般分5级:纵轴是风险发生的可能性,一般分5级。然后就得到了每个风险的评级。
5.其它
风险评估的方法论(模型)有:
1.FRAP (Facilitated Risk Analysis Process):专用的定量方法,先进行预筛选以节省时间和金钱。
2.0CTAVE (Operationally Critical Tbreat, Asset and Vulnerability Evaluation): 面向团队的方法,通过组织研讨会来评估组织风险和IT风险。
3.AS/NZS4360:澳大利亚和新西兰的一种业务风险管理评估方法。
4.FMEA(Failure Modes and Effect Analysis),失效模式和影响分析:利用组件的基本功能来识别缺陷及其影响的一种方法。
5.故障树分析:分析具体缺陷在复杂系统中出现的根本原因的一种方法。
6.CRAMM中央计算和电信机构风险分析管理方法:Central Computing and Telecommunications Agency Risk Analysis and Management Method.
网络安全风险分析的结果有:
1所有资产的完整和详细的评估。
2所有威胁、风险、发生概率和一旦发生的损失的详细列表。
3针对特定威胁的防护措施和对策列表,并且标识出其有效性与ALE (年损)。 每种防护措施的成本/效益分析。
对网络安全风险的应对策略有四种:
1降低风险(Reduce or mitigate),就是风险消减,采取最佳性价比的安防措施。
2转移风险(Assign or transfer),就是买保险或外包,自己不干有风险的事。
3接受风险(Accept),组织机构书面说明对某风险不采取任何措施,比如容忍地震。
4拒绝风险(Reject or ignore),最消极的态度,就当风险不存在,无视,不管它。
网络安全剩余风险
实施并实现了安防措施,仍然继续存在的风险被称为剩余风险,也是高层管理部门选择接受的风险。这也表明通过成本/效益分析,发现某些防护措施并不划算。
首先算个总风险:就是在没有任务防护措施的情况下,组织将要面对的风险数量,与威胁、 脆弱性和资产价值有关。
然后算个控制间隙(controls gap):就是通过采取防护措施被减少的风险数量。总风险和剩余风险之间的差值被称为控制间隙。代表了安防系统的效益,也就是可控制风险。
总风险-控制间隙(可控风险)=剩余风险。
网络安全风险应对策略选择
选择风险应对措施的原则主要有以下几个:
1措施的成本要小于资产价值。例如为办公室修个地下防空洞肯定是没必要的。
2措施的成本要小于措施的效益。例如雇用1个中南海保镖做公司门卫也是没必要的。
3措施的结果应当使攻击成本大于攻击获得的效益。例如压缩包加密就行了,要十年才能破解。
