![态势分析与安全运营平台SASOC问答系列(二)——企业信息安全风险分析篇]( "态势分析与安全运营平台SASOC问答系列(二)——企业信息安全风险分析篇")
问题1.看到SASOC的产品介绍中的风险分析功能,想详细仔细了解下SASOC风险分析的大致流程是怎样的?
①资产识别、所属区域匹配和资产价值赋值,该步骤通过自动化扫描和资产指纹库相结合的方式自动发现系统内的资产,免去了手工录入资产的复杂过程。
②脆弱性、威胁、已有措施识别,SASOC采集漏洞扫描工具、威胁发现工具、配置检查工具的数据,实现上述要素的识别。
脆弱性影响计算,根据CVSS评分判断脆弱性被利用的难易程度和对业务的影响程度。
威胁等级和频率计算,根据系统内置安全知识库判断威胁事件等级,同时统计威胁发生的频率。
已有安全措施有效性计算,基于等保知识库,对已有安全措施进行统计和计算。
④依据风险计算模型,计算并展示资产风险值、系统风险值、风险主机、风险趋势以及高频威胁。
⑤风险更新,随着资产脆弱性或威胁事件的更新,实时动态更新风险值。
![态势分析与安全运营平台SASOC问答系列(二)——企业信息安全风险分析篇]( "态势分析与安全运营平台SASOC问答系列(二)——企业信息安全风险分析篇")
相比GB/T《20984-2022 信息安全技术 信息安全风险评估方法》E.5所提的的威胁种类,SASOC更聚焦于信息安全类风险的评估(管理制度和物理环境风险除外),包括设备或系统自身风险、系统使用过程中的风险、网络层风险、攻击行为、安全运维等风险进行评估,具体如表1所示:
问题3.SASOC风险分析能为企业客户提供哪些价值?
《中华人民共和国网络安全法》第三十八条 规定“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”
国信办[2019]5号文件指出:信息安全风险评估应贯穿于网络与信息系统建设运行的全过程。在网络与信息系统的设计、验收及运行维护阶段均应当进行信息安全风险评估。
传统的风险评估,需要人工梳理资产的软硬件信息、业务信息、端口、服务、操作日志、运行日志等多种数据,这些数据分散在各个不同的资产中,人工搜集汇总涉及巨大的工作量,SASOC将复杂的评估过程“简单化”,能够自动梳理资产,自动统计各类威胁发生的频率,基于自身的资产库、漏洞库、安全事件库,通过风险计算模型,实时计算并展示系统风险指数和合规指数。
风险评估能够有效识别并确定风险点,给管理者提供整改方向,降低信息安全事件发生的频率,是组织确定信息安全需求的重要途径,属于组织信息安全管理体系策划的过程。
风险控制措施的选择是费用与风险的平衡,一味的追求控制风险势必会给企业带来较大的经济压力,一般的做法是投入可接受的资源将风险降低到合理范围。SASOC提供的风险评分能够帮助客户了解当前总体安全风险,资产风险排名能够筛选出风险较高的资产,高频威胁排名能够筛选出系统遭受的频繁的威胁,企业可以优先治理这类风险,同时SASOC自动动态监测系统风险变化,企业可以参考风险评分的变化监测安全治理效果。
问题4.等保测评与风险评估的关系是怎样的?SASOC是否能够对系统的等保合规情况进行评估?
等级保护属于国家法律要求,各企业需要根据等级保护要求开展安全建设和运营工作,风险分析不是强制要求,风险评估的目的是帮助用户了解系统的安全现状,也可用于检查等保的落实和执行情况,以便在后期进行整体的安全规划与建设。SASOC既支持风险评估也支持对系统进行等保合规情况进行自动评估。
问题5.SASOC与其他风险分析辅助工具有哪些差异?
目前主流的风险评估工具主要包含调查问卷类、漏洞扫描和渗透测试类、安全管理和分析平台类,其中调查问卷类需要手动填写问卷,对于大型系统,实施过程比较繁琐;漏洞扫描和渗透测试类工具通常只能反映系统的漏洞情况,仅能给出资产漏洞信息,无法对漏洞被利用的频率进行统计;安全管理类产品如态势感知,本身属于安全管理角色,天然具备收集资产、漏洞和威胁的能力,可以方便的实时对系统的风险进行评估。
定性风险评估的风险值是一个相对值,其数值的大小只有在整个风险参照体系中比较才有价值,只有使用相同评估算法,得出来的结果才具有对比意义,不同的评估工具由于算法模型以及安全要素赋值标准不同,计算出不同的结果是很正常的,所以建议使用相同的风险分析工具,对系统进行评估,避免由于工具不同引起的风险偏差。表2是市面上主流风险评估辅助工具的简单对比:
威胁发生的频率是威胁赋值的重要内容,不同的威胁频率的获取方式会导致威胁赋值的不同,不同工具威胁频率的判定方法有所不同,主要包括参考以往事件发生频率和通过日志的统计和分析计算威胁频率两种方式。
相同的脆弱性对不同行业或系统的影响程度是不同的,应从对业务的影响角度考虑、判断资产的脆弱性及其严重程度,在SASOC中客户可以调整脆弱性权重控制风险值。
对已有安全措施有效性进行评估和确认,不同系统的有效性的判定方法和规则有所不同,势必会得到不同的防护有效性数值。
问题7.SASOC具体怎样计算资产和系统的风险值?
参考20984标准的风险计算模型,SASOC根据资产识别、威胁识别、脆弱性识别和已有控制措施识别的结果来计算资产的风险值,具体步骤如下:
定义,AV为一个资产的业务价值,取值为1-5,值越大,业务价值越大。
定义,V为一个资产的漏洞风险指数,V的计算公式如下:
![态势分析与安全运营平台SASOC问答系列(二)——企业信息安全风险分析篇]( "态势分析与安全运营平台SASOC问答系列(二)——企业信息安全风险分析篇")
(0<= V <=10)
vi代表第i个漏洞的CVSS漏洞评分。如果资产不存在漏洞,或者还未进行漏洞扫描,则认为vi =0。一个资产是否可以被漏洞利用入侵,一般取决于严重程序为高危的那批漏洞,因此我们取vi的最大值来代表该资产的漏洞风险指数。
定义,T为一个资产的威胁风险指数,T的计算公式如下:
![态势分析与安全运营平台SASOC问答系列(二)——企业信息安全风险分析篇]( "态势分析与安全运营平台SASOC问答系列(二)——企业信息安全风险分析篇")
(0<= T <=10;若T > 10,取T = 10。)
ti代表第i个威胁事件告警的威胁评分。n表示单位时间内未处理的资产相关的威胁事件告警数量。如果资产不存在告警,则认为T= 0。
定义,S为一个区域或一个主机资产的合规分数,合规分数计算约束:
1)只有当所有资产都符合的情况下,区域此项才能算符合;
2)无法自动判断的项标识为人工判断,人工判断的项按照符合逻辑处理;
3)每一个评估项都可以展示判断依据。自动识别信息无法充分肯定某一项是否合规时,显示为人工判断,此时也可以展示已知的判断依据。
x代表漏洞风险的权重,y代表威胁风险的权重,z代表不合规风险权重。
定义,RS为一个区域的网络安全风险指数,RS的计算公式如下:
根据R的取值范围,可以定义一个资产的安全风险级别,如下:
SASOC系统内包含多种风险评估指标,能够简洁直观的反映系统的安全状况,具体如图3和图4所示:
③告警TOP排名反映系统面临的威胁和威胁发生的频率
④风险主机TOP排名反映系统中风险排名靠前的服务器和主机
以上是SASOC风险分析咨询较多的问题的答复,希望对您有所帮助,如果您对SASOC产品感兴趣,欢迎留言并持续关注,也欢迎拨打我们的热线服务电话4000-680-620,会有服务人员继续为您提供服务。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施网络空间安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 陈女士 15611262709
稿件合作 微信:shushu12121
原文始发于微信公众号(威努特工控安全):态势分析与安全运营平台SASOC问答系列(二)——企业信息安全风险分析篇
(0<= V <=10)
(0<= T <=10;若T > 10,取T = 10。)
评论