网络安全之风险管理

本文摘自CISSP官方学习指南第9版。 在网络安全的管理中， 风险的管理是必不可少的。那么怎样去管理组织内的风险、发现风险以及后续的处理呢？我们来看一下在CISSP中是怎么描述的。

风险：发生损害、破坏或泄露数据或其他资源的可能性称为风险。

风险管理是一个详细的过程，包括识别可能造成数据损坏或泄露的风险，根据数据价值和控制措施的成本评估这些因素，并实施具有成本效益的解决方案来减轻风险。

风险管理的整体过程用于制定和实施信息安全策略，这些策略的目标是减少风险和支持组织的使命。

风险管理的主要目标是将风险降至可接受的水平。

实现风险管理目标的过程称为风险分析，包括：

检查环境中的风险

评估每个威胁事件发生的可能性和实际发生后造成的损失

评估各种风险控制措施的成本

完成风险防护措施的成本、收益报告并向管理层汇报

#风险术语

资产（Asset）：资产可以是环境中需要保护的任何事物，包括业务流程或任务中用到的所有资源。

资产估值：是根据实际成本和非货币性支出给资产指定的货币价值。

威胁（Threat）：任何可能发生的，对组织或特定资产造成不良或非预期结果的潜在事件都是威胁。

脆弱性（vulnerability）：是资产中的弱点，是防护措施或控制措施的弱点，或缺乏防护措施、控制措施。

暴露（Exposure）：指脆弱性被威胁主体或威胁事件加以利用的可能性是存在的。

风险（Risk）：是威胁利用脆弱性对资产造成损害的概率。风险可定义为：风险=威胁*脆弱性

防护措施（Safeguard）：指任何能消除或减少脆弱性，或能抵御一个或多个特定威胁的事物。

攻击（Attack）：是威胁主体对脆弱性的利用。

破坏（Breach）：是指安全机制被威胁主体绕过或阻止。

#识别威胁和脆弱性

风险管理的一个基础部分是识别与检查威胁。

大多数情况下，执行风险评估和分析的应该是一个团队而不是单独的个人。团队成员来自于各个部门。

风险评估、分析主要是高层管理人员的工作，他们负责通过定义工作的范围和目标来启动和支持风险分析和评估。风险分析的实际执行过程通常分配给安全专业人员或评估团队，所有风险评估、结果、决策和结果都必须得到高层管理人员的理解和批准，这是"应尽关心"的一部分。

风险评估方法：

– 定量风险分析：可计算出具体概率，这意味着定量风险分析的最终结果是一份包含风险级别、潜在损失、应对措施成本和防护措施价值等货币数据的报告。可将定量风险分析看作数字衡量风险的行为，就是用货币形式表示每项资产和威胁。

编制资产清单，并为每个资产分配资产价值（Asset Valuation，AV）

研究每一项资产，列出每一项资产可能面临的所有威胁。对于每个列出的威胁，计算暴露因子（Exposure Factor，EF）和单一损失期望（Single Loss Expectancy,SLE)

执行威胁分析，计算每个威胁在一年之内实际发生的可能性，也就是每年发生率（Annualized Rate of Occurrence,ARO)

通过计算年度损失期望（Annualized Loss Expectancy,ALE),得到每个威胁可能带来的总损失。

研究每种威胁的应对措施，然后基于已采用的控制措施，计算ARO和ALE的变化。

针对每项资产的每个威胁的每个防护措施进行成本、效益分析。为每个威胁选择最合适的防护措施。

与定量风险分析相关的成本函数包括暴露因子、单一损失期望、年度发生率和年度损失期望：

暴露因子：EF表示如果已发生的风险对组织的某个特定资产造成破坏，组织将因此遭受的损失百分比。EF仅表示当单个风险发生时对整体资产价值造成的损失预计值。EF用百分比表示。

单一损失期望：SLE 需要EF来计算SLE。SLE是特定资产发生单一风险的相关成本。

计算公式：SLE=资产价值（AV）*暴露因子（EF）

SLE 已货币为单位。

年度发生率:ARO 是在一年内特定威胁或风险发生的预期频率。ARO的值可以是0，表示威胁或风险永远不会发生，可以是非常大的数字，表示威胁或风险经常发生。

年度损失期望:ALE 是针对特定资产的所有可发生的特定威胁，在年度内可能造成的损失成本。

计算公式：ALE=单一损失期望（ALE）*年度发生率（ARO）

计算防护措施的成本、效益：公式如下

防护措施实施前的ALE - 防护措施实施后的ALE - 防护措施的年度成本（ACS）= 防护措施对公司的价值

计算结果为负，防护措施就不具有经济价值，不可接受。

计算结果为正，那么这个值就是组织通过部署防护措施可能获得的年度收益，因为发生的概率并不代表实际会发生。

对防护措施进行成本、效益分析，必须计算出以下三个元素：

资产与威胁组合在控制措施实施前的ALE

资产与威胁组合在控制措施实施后的ALE

ACS（Annual Cost of the Safeguard），防护措施的年度成本

– 定性风险分析

定性风险分析更多的是基于场景而不是基于计算。这种方式不用货币价值表示可能的损失，而对威胁进行分级，以评估其风险、成本和影响。

进行定性风险分析的过程包括判断、直觉和经验。可用多种技术来执行定性风险分析：

头脑风暴

Delphi技术

故事板

焦点小组

调查

问卷

检查清单

一对一的会议

面谈

场景：场景是对单个主要威胁的书面描述。重点描述威胁如何产生，以及可能对组织、IT基础架构和特定资产带来哪些影响。分配威胁级别时，可简单使用高、中、低或1-10数字，也可以使用详明的文字。

定性风险分析的有用性和有效性随着评估参与者的数量和多样性的增加而提高。

Delphi技术：只是一个匿名的反馈和响应过程，用于在一个小组中匿名达成共识。它的主要目的是从所有参与者中得到诚实而不受影响的反馈。

定量和定性风险分析机制都能提供有用的结果。每种技术都包括评估相同财产和风险的独特方法。

#风险响应

风险分析的结果如下：

所有资产完整的，详细的估值。

包括所有威胁和风险、发生概率及造成损失程度的详细清单

针对特定威胁的有效防护措施和控制措施列表

每个防护措施的成本、效益分析。

这些信息至关重要，使管理层能做出实施安全防护措施和变更安全策略的明智决策。一旦完成风险分析，管理人员必须处理每个特定风险。对风险有以下几种可能的反应：

降低或缓解

转让或转移

接受

威慑

规避

拒绝或忽略

风险缓解（Risk Mitigation）：指通过实施防护措施和控制措施以消除脆弱性或阻止威胁。风险缓解的一个可能变体是风险规避，即通过消除风险发生的原因来规避风险。

风险转移（Risk Assignment）：指将风险带来的损失转嫁给另一个实体或组织。转让或转移风险的常见形式是购买保险和外包。

风险接受（Risk Acceptance）：指成本、收益分析表明控制措施的成本超过风险的潜在损失。大多数情况下，接受风险需要进行明确的书面陈述，以书面签名形式说明为什么未实施防护措施、谁对决定负责 以及如果风险发生谁对损失负责。

风险威慑（Risk Deterrence）:是对可能违反安全和策略的违规者实施威慑的过程。例如，实施审计、安全摄像头、保安、警告横幅等。

风险规避（Risk Avoidance）：是选择替代的选项或活动的过程，替代选项或活动的风险低于默认的、通用的、权宜的或廉价的选项。

风险拒绝（Risk Rejection）：最后一个对风险的可能响应是拒绝或忽视。

总风险指在没有实施防护措施的情况下组织面临的全部风险，计算公式如下：

威胁脆弱性资产价值=总风险

这里的*不代表乘法，只起联合作用，不是一个真正的数学公式。

总风险和残余风险的差额称为控制间隙，控制间隙指通过实施保障措施而减少的风险。

残余风险的计算公式： 总风险 - 控制间隙 = 残余风险

风险处理与风险管理一样，都不是一次性过程。

#选择与实施控制措施

选择控制措施或安全控制在很大程度上依赖于成本、收益分析结果。

安全控制、控制措施和防护措施可以是管理性、逻辑性、技术性或物理性的。这三种安全机制应以纵深防御方式实现，以提供最大的收益。

技术性控制措施：包括硬件或软件机制，可用于管理访问权限以及为系统和资源提供安全保护。

管理性控制措施：是依赖组织的安全策略和其他法规或要求而规定的策略和程序。

物理性控制措施：是可实际接触到的措施，包括阻止、监测或检测对基础设施内系统或区域的直接接触的物理性控制措施。

适用的控制类型：

1.威慑控制：部署威慑控制以阻止违反安全策略。包括：策略、安全意识培训、锁、栅栏、安全标识、保安、陷阱和安全摄像头。

2.预防控制：部署预防控制以阻挠或阻止非预期的或未经授权的活动发生。包括：栅栏、报警系统、职责分离、岗位轮转、防火墙、IPS等。

3.检测控制：部署检测控制以发现或检测非预期或未经授权的活动。包括：保安、蜜罐、IDS，对用户监督和审查以及事件调查等。

4.补偿控制：补偿控制用于为其他现有的控制提供各种选项，从而帮助增强和支持安全策略。包括：加密等。

5.纠正控制：纠正控制会修改环境，把系统从发生的非预期的或未授权的活动中恢复到正常状态。包括：终止恶意活动或重启系统，备份恢复等。

6.恢复控制：恢复控制是纠正控制的扩展，具有更高级、更复杂的能力。包括：备份恢复。

7.指示控制：指示控制用于指导、限制或控制主体的行为，以强制或鼓励遵守安全策略。包括：发布通知、逃生路线出口标志，监控、监督和程序。

#安全控制评估（Security Control Assessment，SCA）:是根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估，可作为渗透测试或漏洞评估的补充内容，或作为完整的安全评估被执行。

SCA的目标是确保安全机制的有效性，评估组织风险管理过程的质量和彻底性，并生产已部署的安全基础设施相对优缺点的报告。

#监视和测量：安全控制提供的收益应该是可被监视和测量的。

#资产估值与报告：一般来说，防护措施的年度成本不应超过资产的年度损失期望。风险报告是风险分析的最后一项关键任务。风险报告应能准确、及时、全面地反应整个组织地情况，能清晰和准确地支持决策地指定并定期更新。

#风险框架（Risk Management Framework，RMF）：包括6个步骤：

安全分类 ： 对信息系统和根据影响分析将改系统处理、存储和传输地数据进行分类。

选择安全控制：基于安全分类为信息系统选择初始化安全控制基线，基于组织对风险和现场情况地评估，根据需要调整和补充安全控制基线。

实施安全控制：实施安全控制并描述如何在信息系统及其操作环境中使用安全控制。

评估安全控制：使用适当地评估程序对安全控制进行评估，来确定安全控制在多大程度上得到了正确实施、完成了预期操作并产生符合系统安全要求地期望结果。

授权信息系统：基于对组织运营和信息系统操作涉及的资产、个人、其他组织和国家的风险决策，对信息系统操作进行授权，并确定风险是可以接受的。

监视安全控制：持续监视信息系统中的安全控制，包括评估控制的有效性，记录系统或其运行环境的变化，对相关变化进行安全影响分析，并向指定的组织管理人员报告系统的安全状态。

#建立和维护安全意识、教育和培训计划

#管理安全功能