幾乎每個組織都擁有互聯(lián)網(wǎng)連接和某種形式的 IT 基礎(chǔ)設(shè)施，這意味著幾乎所有組織都面臨網(wǎng)絡(luò)攻擊的風(fēng)險。為了了解這種風(fēng)險有多大并能夠管理它，組織需要完成網(wǎng)絡(luò)安全風(fēng)險評估，這是一個確定哪些資產(chǎn)最容易受到組織面臨的網(wǎng)絡(luò)風(fēng)險影響的過程。這是一種專門針對網(wǎng)絡(luò)威脅的風(fēng)險評估，因此火災(zāi)和洪水等風(fēng)險（一般風(fēng)險評估中會包括這些風(fēng)險）不在范圍內(nèi)。

減輕 評估過程中發(fā)現(xiàn)的風(fēng)險 將防止和減少代價高昂的安全事故和數(shù)據(jù)泄露，并避免監(jiān)管和合規(guī)問題。風(fēng)險評估過程還要求組織內(nèi)的每個人都考慮網(wǎng)絡(luò)安全風(fēng)險如何影響組織的目標(biāo)，這有助于 創(chuàng)造一種更具風(fēng)險意識的文化。那么，網(wǎng)絡(luò)安全風(fēng)險評估的核心是什么呢？

網(wǎng)絡(luò)安全風(fēng)險評估包含哪些內(nèi)容？

網(wǎng)絡(luò)安全風(fēng)險評估要求組織確定其關(guān)鍵業(yè)務(wù)目標(biāo)并確定實現(xiàn)這些目標(biāo)所必需的信息技術(shù)資產(chǎn)。然后， 識別可能對這些資產(chǎn)產(chǎn)生不利影響的網(wǎng)絡(luò)攻擊 ，確定這些攻擊發(fā)生的可能性并了解它們可能產(chǎn)生的影響；總之，為特定業(yè)務(wù)目標(biāo)構(gòu)建完整的威脅環(huán)境圖景。這使利益相關(guān)者和安全團(tuán)隊能夠做出明智的決定，決定如何以及在何處實施安全控制，以將總體風(fēng)險降低到組織可以接受的水平。

如何進(jìn)行網(wǎng)絡(luò)安全風(fēng)險評估：五個步驟

網(wǎng)絡(luò)安全風(fēng)險評估可以分為許多部分，但主要有五個步驟：范圍界定、風(fēng)險識別、風(fēng)險分析、風(fēng)險評估和文檔記錄。

步驟 1：確定風(fēng)險評估的范圍

風(fēng)險評估首先要確定評估范圍。評估范圍可以是整個組織，但這通常太大，因此更可能是業(yè)務(wù)部門、地點或業(yè)務(wù)的特定方面，例如支付處理或 Web 應(yīng)用程序。獲得評估范圍內(nèi)所有利益相關(guān)者的全力支持至關(guān)重要，因為他們的意見對于了解哪些資產(chǎn)和流程最重要、識別風(fēng)險、評估影響和定義風(fēng)險承受水平至關(guān)重要?？赡苄枰獙ｉT從事風(fēng)險評估的第三方來幫助他們完成這項資源密集型的工作。

所有參與者都應(yīng)熟悉風(fēng)險評估中使用的術(shù)語，例如可能性和影響，以便對風(fēng)險的構(gòu)成方式有共同的理解。對于不熟悉網(wǎng)絡(luò)安全概念的人，ISO/IEC TS 27100 提供了有用的概述。在進(jìn)行風(fēng)險評估之前，最好先查看 ISO/IEC 27001 等標(biāo)準(zhǔn)以及 NIST SP 800-37 和 ISO/IEC TS 27110等框架，這些框架可以幫助指導(dǎo)組織如何以結(jié)構(gòu)化的方式評估其信息安全風(fēng)險，并確保緩解控制措施適當(dāng)且有效。

各種標(biāo)準(zhǔn)和法律（如 HIPAA、薩班斯-奧克斯利法案和 PCI DSS） 都要求組織完成正式的風(fēng)險評估，并且通常會提供完成評估的指南和建議。然而， 在進(jìn)行評估時，應(yīng)避免采用以合規(guī)性為導(dǎo)向的清單方法 ，因為僅僅滿足合規(guī)性要求并不一定意味著組織不會面臨任何風(fēng)險。

第二步：如何識別網(wǎng)絡(luò)安全風(fēng)險

(1) 識別資產(chǎn)

您無法保護(hù)您不知道的東西，因此下一個任務(wù)是識別并創(chuàng)建風(fēng)險評估范圍內(nèi)所有物理和邏輯資產(chǎn)的清單。在識別資產(chǎn)時，不僅要確定那些被視為組織 皇冠上的寶石 的資產(chǎn)（對業(yè)務(wù)至關(guān)重要的資產(chǎn)，可能是攻擊者的主要目標(biāo)），還要確定攻擊者想要控制的資產(chǎn)，例如 Active Directory 服務(wù)器或圖片存檔和通信系統(tǒng)，以用作擴(kuò)大攻擊的支點。根據(jù)資產(chǎn)清單創(chuàng)建網(wǎng)絡(luò)架構(gòu)圖是一種很好的方法，可以直觀地顯示資產(chǎn)和流程之間的互連和通信路徑以及網(wǎng)絡(luò)入口點，從而使識別威脅的下一個任務(wù)變得更容易。

(2) 識別威脅

威脅是威脅行為者使用的策略、技術(shù)和方法，可能會對組織的資產(chǎn)造成損害。為了幫助識別對每項資產(chǎn)的潛在威脅，請使用威脅庫（例如 Mitre ATT&CK 知識庫） 和 網(wǎng)絡(luò)威脅聯(lián)盟的資源，它們都提供高質(zhì)量、最新的網(wǎng)絡(luò)威脅信息。安全供應(yīng)商報告和政府機(jī)構(gòu)（例如 網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）的建議 可以成為有關(guān)特定行業(yè)、垂直行業(yè)和地理區(qū)域或特定技術(shù)中出現(xiàn)的新威脅的極佳新聞來源。

還要考慮每項資產(chǎn)在洛克希德·馬丁網(wǎng)絡(luò)殺傷鏈中的位置 ，因為這將有助于確定它們所需的保護(hù)類型。網(wǎng)絡(luò)殺傷鏈列出了典型真實攻擊的階段和目標(biāo)。

(3) 確定可能出現(xiàn)的問題

此任務(wù)涉及指定已識別威脅利用漏洞攻擊范圍內(nèi)資產(chǎn)的后果。例如，考慮以下場景：

• 威脅：攻擊者執(zhí)行 SQL 注入。
• 漏洞/資產(chǎn)：未修補(bǔ)的網(wǎng)絡(luò)服務(wù)器。
• 后果：客戶的私人數(shù)據(jù)被盜，導(dǎo)致監(jiān)管罰款和聲譽受損。

在這樣的簡單場景中總結(jié)這些信息，可以讓所有利益相關(guān)者更容易地了解他們在關(guān)鍵業(yè)務(wù)目標(biāo)方面面臨的風(fēng)險，并讓安全團(tuán)隊更容易確定適當(dāng)?shù)拇胧┖妥罴褜嵺`來應(yīng)對風(fēng)險。

步驟 3：分析風(fēng)險并確定潛在影響

現(xiàn)在是時候確定步驟 2 中記錄的風(fēng)險情景實際發(fā)生的可能性，以及如果發(fā)生對組織的影響。在網(wǎng)絡(luò)安全風(fēng)險評估中，風(fēng)險可能性（即特定威脅能夠利用特定漏洞的概率）應(yīng)基于威脅和漏洞的可發(fā)現(xiàn)性、可利用性和可重現(xiàn)性來確定，而不是基于歷史事件。這是因為網(wǎng)絡(luò)安全威脅的動態(tài)性質(zhì)意味著 可能性 與過去發(fā)生的頻率沒有那么緊密的聯(lián)系，例如洪水和地震。

按 1（罕見）到 5（極有可能）的等級對可能性進(jìn)行排序，按 1（可忽略）到 5（非常嚴(yán)重）的等級對影響進(jìn)行排序，可以輕松創(chuàng)建步驟 4 中所示的風(fēng)險矩陣。

影響是指威脅利用漏洞造成的后果對組織造成的損害程度。應(yīng)在每種情況下評估對機(jī)密性、完整性和可用性的影響，并將最高影響作為最終分?jǐn)?shù)。評估的這一方面本質(zhì)上是主觀的，這就是為什么利益相關(guān)者和安全專家的意見如此重要。以 上面的SQL 注入為例 ，對機(jī)密性的影響評級可能會被評為“非常嚴(yán)重”。

步驟 4：確定風(fēng)險并確定其優(yōu)先順序

使用如下所示的風(fēng)險矩陣，其中風(fēng)險級別為“可能性乘以影響”，可以對每個風(fēng)險場景進(jìn)行分類。如果 SQL 注入攻擊的風(fēng)險被視為“可能”或“極有可能”，則我們的示例風(fēng)險場景將被歸類為“非常高”。

任何超出商定容忍水平的情況都應(yīng)優(yōu)先處理，以使其在組織的風(fēng)險容忍水平之內(nèi)。以下是實現(xiàn)此目的的三種方法：

• 避免。 如果風(fēng)險大于收益，停止某項活動可能是最好的做法，因為這意味著不再接觸它。
• 轉(zhuǎn)移。 通過將某些操作外包給第三方，例如 DDoS 緩解或購買網(wǎng)絡(luò)保險，與其他方分擔(dān)部分風(fēng)險。第一方保險通常僅承保因網(wǎng)絡(luò)事件而產(chǎn)生的費用，例如通知客戶數(shù)據(jù)泄露，而第三方保險將承保數(shù)據(jù)泄露后的和解費用以及罰款和罰金。它不承保的是知識產(chǎn)權(quán)損失或品牌聲譽受損的無形成本。
• 緩解。 部署安全控制措施和其他措施，以降低可能性和/或影響，從而將風(fēng)險水平降低到商定的風(fēng)險容忍度范圍內(nèi)。應(yīng)將實施降低不可接受的高風(fēng)險措施的責(zé)任分配給適當(dāng)?shù)膱F(tuán)隊。還應(yīng)設(shè)定進(jìn)度和完成報告的日期，以確保風(fēng)險所有者和處理計劃保持最新狀態(tài)。

然而，沒有任何系統(tǒng)或環(huán)境能夠做到 100% 安全，因此總會存在一些風(fēng)險。這被稱為 殘留風(fēng)險 ，必須由高級利益相關(guān)者正式接受，作為 組織網(wǎng)絡(luò)安全戰(zhàn)略的一部分。

步驟 5：記錄所有風(fēng)險

將所有已識別的風(fēng)險情景記錄在風(fēng)險登記冊中非常重要 。應(yīng)定期審查和更新風(fēng)險登記冊，以確保管理層始終掌握最新的網(wǎng)絡(luò)安全風(fēng)險信息。風(fēng)險登記冊應(yīng)包括以下內(nèi)容：

• 風(fēng)險情景。
• 識別日期。
• 現(xiàn)有的安全控制。
• 當(dāng)前風(fēng)險程度。
• 處理計劃，即為將風(fēng)險控制在可接受的風(fēng)險承受水平內(nèi)而計劃的活動和時間表，以及投資的商業(yè)理由。
• 進(jìn)展?fàn)顟B(tài)，如治療計劃的執(zhí)行狀態(tài)。
• 殘留風(fēng)險，或?qū)嵤┲委熡媱澓蟮娘L(fēng)險水平。
• 風(fēng)險所有者，指負(fù)責(zé)確保剩余風(fēng)險保持在容忍水平之內(nèi)的個人或團(tuán)體。

網(wǎng)絡(luò)安全風(fēng)險評估是一項龐大且持續(xù)的工作，因此如果要改善組織未來的安全性，就需要投入時間和資源。隨著新的網(wǎng)絡(luò)威脅出現(xiàn)以及新系統(tǒng)或新活動的引入，需要重復(fù)進(jìn)行評估；但如果第一次就做得很好，它將為未來的評估提供可重復(fù)的流程和模板，同時降低網(wǎng)絡(luò)攻擊對業(yè)務(wù)目標(biāo)產(chǎn)生不利影響的可能性。