組件驅動的風險評估是網絡安全行業中最成熟和最常見的評估類型。本文描述了組件驅動技術的共同點,它們在哪些方面增加了價值,哪些方面沒有。
一旦了解了這些基礎知識,應該能夠掌握任何組件驅動的標準或框架(因為它們基于類似的風險觀點)并了解它們與系統驅動方法的區別。
如果還沒有這樣做,請在閱讀本文之前閱讀組件驅動和系統驅動的風險評估簡介。
范圍和資產
不出所料,組件驅動的風險評估側重于系統組件。那么我們所說的“系統組件”是什么意思呢?典型的例子包括:
硬件(計算機、服務器等)
軟件
數據集
服務
個人信息
關鍵業務信息
職員
對系統組件的關注要求您首先定義正在分析的功能(例如,工資單功能)。此功能稱為評估的“范圍”。然后,您需要說明在對范圍的風險評估中考慮了哪些組件,哪些不是。這通常被稱為“資產清單”或“資產登記冊”。
無法控制的組件(但您自己的系統所依賴的組件)稱為依賴項,并且可以包含在資產列表中,前提是這些依賴項如何影響可以控制的組件。范圍有時最好以圖表的形式呈現,它清楚地顯示了哪些內容、哪些內容以及關鍵資產是如何連接的。
風險要素
一旦確定了范圍,大多數組件驅動的方法都需要風險分析師評估風險的三個要素。這三個要素通常用影響、脆弱性和威脅這三個術語來描述。
影響
影響是風險被實現的后果。在進行組件驅動的風險評估時,影響通常是根據給定資產以給定方式受到損害的后果來描述的。這種影響以不同的方式描述,但更常見的技術之一是評估對信息的機密性、完整性和可用性的影響。例如,可能會根據客戶數據集的機密性丟失或公司帳戶的損壞(完整性丟失)來描述影響。這些財產之一的損失可能與其他類型的后果有關,例如金錢損失、生命損失、項目延誤或任何其他類型的不良后果。
漏洞
漏洞是組件中的一個弱點,可以有意或無意地實現影響。例如,漏洞可能是允許用戶非法增加其用戶賬戶權限的軟件,或業務流程中的弱點(例如,在向某人頒發訪問在線系統的憑據之前未正確檢查某人的身份或服務)。無論所討論的漏洞類型如何,它都可以用來造成影響。
威脅
威脅是導致特定影響發生的個人、團體或環境。例如,這可能是:
一個孤獨的黑客,或一個國家資助的團體
犯了誠實錯誤的員工
組織無法控制的情況(例如高影響天氣)
評估威脅的目的是改進對給定風險實現可能性的評估。通常,在評估人類威脅行為者時,分析師會考慮可能想要傷害組織的人。這使他們能夠同時考慮這些團體的能力和意圖。風險專家使用威脅分類法和分類方法來提供威脅能力的通用語言。
威脅評估的弱點之一是威脅的能力可以迅速變化,并且很難獲得關于這些變化的可靠信息。因此,不要對威脅能力的評估視為靜態評估,并確保認識到威脅評估中的不確定性和可變性。
應用和傳達威脅、脆弱性和影響
一旦評估了這些風險要素,下一步就是將這些評估結合起來,以確定哪些風險最令人擔憂。一些技術通過將威脅、脆弱性和影響的評估組合到每個系統組件的單一風險度量中來實現這一點。這并不像某些標準聲稱的那樣簡單。風險的三個組成部分彼此根本不同,比較它們就像比較蘋果和橙子。一些方法建議使用風險矩陣來結合對威脅、脆弱性和影響的評估。
優先考慮的風險
一旦對各種威脅、脆弱性和影響進行評估并組合以創建風險列表,就可以根據它們的相關程度對它們進行優先級排序。可以首先管理最相關的風險。可以通過多種方式傳達風險的優先級。例如,可以:
估計影響的財務損失(如果要實現)
提供資產受到損害時需要發生的事件鏈的敘述
許多標準化的組件驅動風險管理技術使用定性標簽來描述影響級別,通常帶有“高”、“中”和“低”等標簽。雖然這些相當直觀,但研究表明,不同的人對這些標簽的解釋方式存在巨大差異。當考慮到這種理解上缺乏一致性時,應該非常謹慎地使用這些標簽(以及類似的“紅綠燈”方法)。使用的技術應該適合風險評估的受眾;它想影響誰?你想告知什么決定?從評估中提供的信息是否有助于或阻礙決策?
有些方法有一個現成的任務或目標列表,可用于減輕已識別的風險。這些被稱為“控制集”,可以從中為每個風險選擇最合適的緩解措施。
常用的組件驅動網絡風險管理方法和框架
本節簡要介紹常用的組件驅動的網絡風險管理方法和框架。
選擇適合技術
在選擇風險方法或框架時,需要考慮:
使用該方法的總成本。例如,工具、許可和專業知識的采購。
項目范圍。風險方法是否與正在評估的內容相稱?
確保所需的資源是相稱的和可持續的。需要哪些專業資源,現實有嗎?
是否有任何許可限制?
