系統(tǒng)和組件驅(qū)動(dòng)的風(fēng)險(xiǎn)管理技術(shù)的概述。

關(guān)于組件驅(qū)動(dòng)方法

在網(wǎng)絡(luò)安全中，風(fēng)險(xiǎn)通常用系統(tǒng)的組成部分來(lái)描述，例如硬件（計(jì)算機(jī)、服務(wù)器等）或軟件。我們將這種方法稱為自下而上或組件驅(qū)動(dòng)的風(fēng)險(xiǎn)技術(shù)。按照這種觀點(diǎn)，風(fēng)險(xiǎn)被評(píng)估為給定系統(tǒng)組件的價(jià)值及其以某種方式受到損害的可能性的某種組合。更具體地說(shuō)，這需要評(píng)估這些組件面臨的威脅、它們的漏洞以及妥協(xié)可能造成的業(yè)務(wù)影響。

這種方法允許分析師識(shí)別系統(tǒng)內(nèi)特定組件面臨的特定風(fēng)險(xiǎn)。然后，它允許根據(jù)風(fēng)險(xiǎn)影響的嚴(yán)重程度（或威脅利用漏洞的難易程度）對(duì)這些風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序。以這種方式確定風(fēng)險(xiǎn)優(yōu)先級(jí)的目的是在可能的情況下首先減輕最嚴(yán)重的風(fēng)險(xiǎn)。

關(guān)于系統(tǒng)驅(qū)動(dòng)方法

補(bǔ)充方法主要關(guān)注系統(tǒng)（而不是組件）的目標(biāo)或用途。我們將此類方法稱為自上而下或系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)技術(shù)，因?yàn)樗鼈冎饕P(guān)注整個(gè)系統(tǒng)，而不是單個(gè)組件。自上而下的技術(shù)考慮系統(tǒng)各個(gè)方面之間的交互，包括人員、業(yè)務(wù)流程和技術(shù)。

這些方法要求風(fēng)險(xiǎn)分析師首先陳述系統(tǒng)的高級(jí)目的。從那里，您可以迭代地向該陳述添加更多細(xì)節(jié)，作為設(shè)計(jì)如何實(shí)現(xiàn)高級(jí)目標(biāo)的一種方式。重點(diǎn)是理解系統(tǒng)的各個(gè)部分如何相互作用。像這樣的方法對(duì)于系統(tǒng)工程師和其他涉及迭代設(shè)計(jì)技術(shù)的人來(lái)說(shuō)是非常熟悉的，這些想法在這些技術(shù)中很常見(jiàn)。

風(fēng)險(xiǎn)從何而來(lái)？除了考慮系統(tǒng)應(yīng)該服務(wù)的目的之外，自上而下的風(fēng)險(xiǎn)管理技術(shù)還會(huì)考慮系統(tǒng)不應(yīng)該服務(wù)的高級(jí)目的。我們用系統(tǒng)運(yùn)行過(guò)程中可能發(fā)生的“損失”來(lái)討論這些問(wèn)題。例如，如果您正在設(shè)計(jì)一個(gè)控制自動(dòng)安全門的系統(tǒng)，該系統(tǒng)的目的可能是讓人們進(jìn)出。您可能發(fā)現(xiàn)的損失可能是讓未經(jīng)授權(quán)的人員通過(guò)，或者將人員困在門的機(jī)械裝置中而受傷。

這種損失的概念似乎是顯而易見(jiàn)的。然而，我們的經(jīng)驗(yàn)表明，在項(xiàng)目生命周期開(kāi)始時(shí)很少考慮系統(tǒng)不能做什么的這些高級(jí)描述（與考慮的目的不同）。通常只有當(dāng)系統(tǒng)的設(shè)計(jì)相當(dāng)成熟時(shí)才會(huì)考慮損失（因此您已經(jīng)了解系統(tǒng)在邏輯上可能是什么樣子）。這就是人們普遍抱怨安全性“是用螺栓固定的，而不是內(nèi)置的”的部分原因。

使用拉斯穆森層次結(jié)構(gòu)來(lái)區(qū)分風(fēng)險(xiǎn)評(píng)估技術(shù)

為了幫助檢查自下而上和自上而下的技術(shù)如何相互關(guān)聯(lián)，我們可以借鑒Jens Rasmussen 的抽象層次結(jié)構(gòu)，如下所示。

圖片

該模型引入了這樣的想法：您可以查看不同抽象級(jí)別的系統(tǒng)。僅考慮插圖的前三層使我們能夠從概念角度思考該系統(tǒng)。也就是說(shuō)，我們的分析重點(diǎn)是系統(tǒng)應(yīng)該實(shí)現(xiàn)什么（而不是它應(yīng)該如何工作）。自下而上或組件驅(qū)動(dòng)的方法 是分析該層次結(jié)構(gòu)的底部?jī)蓪涌赡艹霈F(xiàn)的問(wèn)題。在這里，您關(guān)心的是物理存在的事物或其表示形式，例如詳細(xì)說(shuō)明特定技術(shù)決策的詳細(xì)架構(gòu)圖。

另外，自上而下或系統(tǒng)驅(qū)動(dòng)的方法 考慮系統(tǒng)的高級(jí)目的和損失。目的是確定因系統(tǒng)概念設(shè)計(jì)而可能造成損失的方式。在這個(gè)抽象級(jí)別，威脅和漏洞等概念在組件驅(qū)動(dòng)方法中使用時(shí)沒(méi)有任何意義。在這里，您正在尋找系統(tǒng)可以實(shí)現(xiàn)任何損失的方法。

引入該框架的原因是為了證明組件驅(qū)動(dòng)和系統(tǒng)驅(qū)動(dòng)的風(fēng)險(xiǎn)管理技術(shù)以根本不同的方式分析風(fēng)險(xiǎn)，但它們相互支持。當(dāng)應(yīng)用于正確的問(wèn)題時(shí)，它們都是有價(jià)值的風(fēng)險(xiǎn)管理工具。

何時(shí)使用系統(tǒng)和組件驅(qū)動(dòng)技術(shù)

這些技術(shù)可以相互結(jié)合使用，以提供對(duì)風(fēng)險(xiǎn)的補(bǔ)充視角。例如，您可以使用自上而下的方法來(lái)識(shí)別最關(guān)鍵的系統(tǒng)、交互或漏洞，然后切換到自下而上的分析來(lái)詳細(xì)探索這些關(guān)鍵領(lǐng)域。

他們以不同的方式增加價(jià)值；兩者都不比另一個(gè)“更好”。然而，每種技術(shù)更適合某些類型的風(fēng)險(xiǎn)管理問(wèn)題：

• 組件驅(qū)動(dòng)的方法對(duì)于探索已知技術(shù)漏洞的暴露程度非常有用。例如，您的組織中可能有一臺(tái)計(jì)算機(jī)由于操作原因而無(wú)法修補(bǔ)或升級(jí)。這在某些類型的操作技術(shù)中很常見(jiàn)。組件驅(qū)動(dòng)的風(fēng)險(xiǎn)分析可用于探索未修補(bǔ)的計(jì)算機(jī)中的漏洞如何影響您的組織。這種分析可以確定可以在這臺(tái)不可避免的易受攻擊的計(jì)算機(jī)周圍實(shí)施的保護(hù)措施。
• 系統(tǒng)方法在分析大型復(fù)雜系統(tǒng)時(shí)非常有用。特別是，它們可以幫助您探索 交互失敗。 例如，系統(tǒng)的正確和安全操作可能取決于組成系統(tǒng)的多個(gè)組件或子系統(tǒng)之間的交互。當(dāng)系統(tǒng)內(nèi)的各個(gè)組件按照其應(yīng)有的方式精確工作時(shí)，就會(huì)發(fā)生這種情況，但存在一些問(wèn)題這些組件相互交互的方式存在缺陷，從而有可能發(fā)生安全漏洞。一個(gè)很好的例子可能是針對(duì)在線支付系統(tǒng)的欺詐風(fēng)險(xiǎn)，其中組件驅(qū)動(dòng)的觀點(diǎn)可能會(huì)忽略客戶系統(tǒng)對(duì)整個(gè)系統(tǒng)安全的重要性。

下表總結(jié)了每種技術(shù)的優(yōu)勢(shì)：

組件驅(qū)動(dòng)技術(shù)和系統(tǒng)風(fēng)險(xiǎn)管理技術(shù)可以一起使用。例如，您可以使用系統(tǒng)驅(qū)動(dòng)的方法來(lái)確保在做出任何特定技術(shù)決策之前從概念上識(shí)別安全風(fēng)險(xiǎn)，然后在您致力于采用特定解決方案后切換到組件驅(qū)動(dòng)的分析。