最佳实践：了解并保护关键资产

内部风险管理计划（IRMP）最基本的功能是保护为组织提供竞争优势的资产。根据国际标准化组织（ISO）55000，资产是对组织具有潜在价值的东西，组织对此负有责任[ISO 2014]。在《常识指南》中，这一定义得到了扩展，包括关键资产是一种有价值的东西，如果被销毁、更改或以其他方式降级，将影响其机密性、完整性或可用性，并对组织支持其基本任务和业务职能的能力产生严重的负面影响。

关键资产可以是有形的，也可以是无形的，根据CERT弹性管理模型（CERT-RMM）【Caralli 2016】，关键资产可以包括人员、信息、技术和设施，如图10所示。关键资产的一个经常被忽视的方面是知识产权（IP），它可以包括专有软件、供应商的客户数据、示意图，以及内部制造工艺。

图10：关键服务中的关键资产

组织必须密切关注数据在何处静止和传输。当前的技术允许比以往任何时候都更无缝的协作，但也允许轻松地从组织中删除组织的敏感信息。

在管理风险时，必须要有一个详尽的资产清单。以下问题可以帮助组织确定保护其关键资产的要求。

l对于每个业务单位或任务区，哪些是关键支持服务？

l对于每个关键服务，有哪些支持性的关键流程？

l对于每个关键流程，有哪些支持性的关键资产？

l对于每个关键资产，其性质是什么（例如，人员、信息、技术或设施）？

l对于每个关键资产，谁有授权访问？谁没有授权访问？

l对于每个关键资产的每个授权用户，他们有什么样的访问权？多长时间对访问进行一次审计？

l对于每个关键资产，授予访问权的过程是什么？撤销访问权的程序是什么？

l对于每个关键资产，其损失或替换的现值是多少？与其损失或更换相关的直接和间接成本是多少？

l对于每项关键资产，如果发生损失或事故，谁是必须通知的主要利益相关者或利益相关者（例如，主要联络点、所有者、控制者、客户、紧急联系人）？

l对于每个关键资产，是否有监管或其他强制性保护要求？

IRMP的作用是与组织内所有领域的资产所有者和资产管理人合作，回答这些问题。IRMP应该首先寻求那些可能已经维护关键资产清单的人的指导--一般是那些负责财产管理或数据保护（例如，隐私计划）的人。一旦IRMP在每个部门获得了这些问题的答案，它就应该从高级管理层获得投入，以确定整个组织的保护优先次序。其结果是一份关键资产清单，按照关键程度对资产进行优先排序。

一旦建立了关键资产清单，组织就可以开始识别与每个关键资产有关的潜在威胁情况。它应该侧重于对每项资产具有当前或以前授权访问的用户。IRMP应该确定每个用户如何利用他们的权限和知识来造成损害。

这项任务开始了威胁列举工作，这对衡量威胁情景的可能性和概率至关重要。

保护性措施：进行风险评估

风险评估是一个组织了解其资产并保护它们免受攻击（包括来自内部人员的攻击）的最佳方式之一。风险评估的结果使一个组织了解到威胁者如何滥用他们对组织资产的授权访问。

当评估小组进行风险评估时，它描述了攻击者如何利用他们的访问和资源来实施威胁方案。利用这一过程，评估小组对评估范围内的每个关键资产的具体威胁情况进行评估。评估结果(1)阐明每个场景的威胁影响和可能性，(2)描述环境中的资产如何促成或帮助攻击成功。

根据美国国家标准与技术研究所（NIST）的说法，风险管理框架包括六个步骤[NIST 2018a]。

1. 根据影响分析，对信息系统和该系统处理、存储和传输的信息进行分类。

2. 根据安全分类，为信息系统选择一套初始的基线安全控制；根据组织的风险评估和当地条件，根据需要调整和补充安全控制基线。

3. 实施安全控制，并记录如何在信息系统和操作环境中部署控制。

4. 使用适当的程序评估安全控制，以确定控制在多大程度上被正确实施、按计划运行，以及在满足系统的安全要求方面产生预期的结果。

5. 在确定信息系统的运行对组织运作和资产、个人、其他组织和国家造成的风险，并决定这种风险是可以接受的基础上，授权信息系统的运行。

6. 持续监测和评估信息系统中选定的安全控制，包括评估安全控制的有效性，记录对系统或操作环境的变化，对相关变化进行安全影响分析，并向适当的组织官员报告系统的安全状况。

这些步骤中的每一步都要求组织了解其资产。在一个组织推进保护战略之前，必须回答的关键问题包括以下几点。

1. 处理哪些类型的数据（例如，医疗信息、个人身份信息、信用卡号码、库存记录）？

2. 哪些类型的设备处理这些数据（例如，服务器、工作站、移动设备）？

3. 数据在哪里存储、处理和传输（例如，单一地点、地理上分散的地点、在外国的地点）？

回答这些问题有助于组织清点其必须保护的数据和系统，使其免受各种攻击。NIST特别出版物800-60第2卷确定了组织中可能存在的数据类型，以及它们应该被赋予的保护级别[NIST 2008]。

联邦信息处理标准（FIPS）第199号出版物提供了关于根据其安全目标（如保密性、完整性和可用性）和危害它们的事件的潜在影响（如低、中或高）对信息和信息系统进行分类的指导[FIPS 2004]。

度量：

一个组织面临的主要困难之一是能够准确地对提供给其决策者的不同关键资产进行排名和打分。通常，一个组织的利益相关者声称 " 他们所了解和控制的资产 " 在他们看来是组织中最关键的资产。与其收集这种主观的、有偏见的关键资产排名，不如使用衡量标准，并在内部与不同的工作团队成员讨论。

表2 并不意味着是一个详尽的指标清单；相反，提供了仅一个可以考虑的指标类型。

表2：对关键资产进行排名时需要考虑的指标[Wikoff 2004]

指标值	解释
回复时间	如果关键资产变得不可用，需要多长时间（如几个月、几周、几小时）来恢复它？
失败是损失	如果关键资产发生故障，损失是什么（例如，金钱或甚至生命损失）？
任务和客户影响	如果关键资产不可用或不能正常工作，对组织的任务和客户群有什么影响？
失败概率	关键资产发生故障的百分比概率是多少？
关键资产（数据）的受欢迎程度	关键资产被下载、搜索和查看的频率如何？

当试图对潜在的关键资产库进行排名和打分时，组织应该利用一种被称为 "配对排名 "的统计方法。这种方法基本上允许一个小组通过一次比较两个关键资产并给每个资产一个数字等级来对资产进行排名。然后将这些数字评级相加，并按升序排序，以显示最关键的资产。

保护措施：维护资产清单

一个组织要想更好地保护自己的关键资产，就必须知道自己的关键资产是什么。识别和跟踪组织的关键资产的可靠方法对于将减轻内部威胁的工作与组织的需求联系起来至关重要。

这份关键资产清单应定期更新，因为它是组织的IRMP的指南，并提供了一个重点。

持续更新组织的关键资产清单可能需要手动和自动程序。创建一个详尽的清单的主要方法是基于服务的清单方法。另一种方法是创建一个基于硬件的清单。这种清单可以补充基于服务的清单，或者作为基于服务的资产清单的开始。

为了执行基于服务的库存，组织必须有一个服务目录，而不是一个传统的库存。服务目录包含了一个组织为完成其任务所需的服务信息。

一个组织为完成其任务所需的服务信息。例如，一家在线商店可能会将其网页定义为关键服务，而一家通信公司可能会将其电子邮件确定为关键服务。

基于服务的清单建立了资产的层次结构，从顶级服务开始，分支到支持它的信息资产，再分支到支持它们的资产，依此类推。然后，组织对底层的资产进行清查。例如，如果电子邮件是关键服务，那么硬件和软件就是其支持资产。这些支持性资产又由电子邮件服务器、防病毒设备、防病毒程序和电子邮件应用程序支持，这些都是组织应该识别和盘点的资产。

为了进行基于硬件的清查，组织依靠通常由信息技术（IT）部门管理的基于硬件的资产来开始资产清查。通常情况下，组织有某种程度的硬件跟踪，以管理发给员工的各种IT设备的生命周期和保护。

对于基于硬件的清单，数据管理人应提供以下信息：

l所有支持的软件、其类型（如Windows、Linux、虚拟机系统）、其平台（如Oracle、Java）和其环境（如生产、集成、模型、开发）的清单

l对于每台设备，在服务器上运行的内容列表（例如，客户-服务器应用程序、网络应用程序、数据库）和每项的IT支持联系人

l对于每个虚拟系统实例，在平台上运行的内容的列表，以及每个项目的所有者或联系人

请记住，基于硬件的清查方法并不能产生一份详尽的关键资产清单。只有在不存在关键资产清单的情况下，组织才应该使用硬件清单来启动关键资产清单。

一旦组织使用这些方法中的一种确定了其信息资产，它应该做以下工作。

l要求IT部门添加任何未识别的资产和其企业主的联系信息。

l要求这些企业主确定以下内容：有授权访问的人，如何授予和撤销访问权，紧急联系人的姓名，资产的损失或替代价值，以及是否有任何监管要求来保护资产。

l将所有的库存信息浓缩到一个电子表格中。

一旦清单完成，组织应该为每项资产分配一套属性，这有助于确定每项资产的优先权。

组织可以定义其需要的任何属性，但至少应考虑以下内容。

l环境（如生产、集成、模型、开发）。

l安全分类（例如，保密性、完整性、可用性）。

l关键性（例如，高、中、低、不适用）

保护性措施。

进行隐私影响评估（PIA）

《一般数据保护条例》（GDPR）规定，特殊类别的个人数据必须包括揭示 "种族或民族血统、政治观点、宗教或哲学信仰或工会会员资格的数据，以及处理基因数据、用于唯一识别自然人的生物识别数据、有关健康的数据或有关自然人的性生活或性取向的数据"，并且一般禁止处理此类数据。

组织应考虑到在风险评估或资产追踪过程中可能会发现此类个人数据。它应该有明确地处理或销毁该数据的适当程序。因此，该组织可能要考虑在进行风险评估或资产清查的同时，进行隐私影响评估（PIA）（在欧盟被称为数据保护影响评估（DPIA））。根据欧盟GDPR第35条[GDPR 2021]，PIA至少必须包括以下内容。

1.系统地描述所设想的处理操作和处理目的，包括在适用的情况下，控制器所追求的合法利益。

2.对与目的相关的处理操作的必要性和相称性的评估。

3. 对第1款中提到的数据主体的权利和自由所面临的风险进行评估；以及

4. 为应对风险而设想的措施，包括保障措施、安全措施和机制，以确保个人数据得到保护，并在考虑到数据主体和其他相关人员的权利和合法利益的情况下，证明符合本条例。

在雇主/雇员关系中，PIA或DPIA由雇主以控制者（即 "决定处理个人数据的目的和方式 "的实体）的身份进行[GDPR 2021]。根据GDPR，个人数据是 "与可识别的人有关的任何信息，特别是通过参考识别器可以直接或间接识别"[GDPR 2021]。

虽然美国（U.S.）组织可能最关心和熟悉的是社会安全号码（SSN）作为个人数据，但在某些情况下，这一定义可以扩展到包括动态互联网协议（IP）地址，17 因为它们与欧盟公民有关。如果动态IP地址可以与第三方（如互联网服务提供商（ISP））持有的其他信息相结合，以识别个人，这就构成了个人信息，必须给予适当的考虑和保障。

根据GDPR，数据主体是 "与个人数据有关的活着的个人"。在这种情况下，数据主体可以是客户或雇员[GDPR 2021]。

资产识别的挑战

组织在实施这一最佳实践时可能面临以下挑战。

1. 获得领导层的认同。为了花费所需的时间、金钱和精力来准确理解和优先处理组织的关键资产，有必要得到领导层的适当买入。

2. 确定适当的衡量标准。组织应通过确定和使用适当的衡量标准来确定什么是关键资产。简单地要求组织的利益相关者报告他们的关键资产，可能会导致过度报告。

3. 确定关键资产的范围。组织必须了解并包含组织必须了解并控制其关键资产的范围，特别是在使用云、远程站点和虚拟系统时。

4. 保证时间和资金。进行资产清查或编目需要花费劳动力时间和组织资金，因此找到时间和资金来进行完整的清查是至关重要的。为了证明必要的资金和工时，要考虑这项工作的重要性，以及不完成这项工作的风险，包括财务和其他方面。

5. 保持库存。准确和最新的库存对于确保清单持续正确至关重要。组织应定期进行库存检查，例如完整的半年或年度审查，以及更频繁的（例如，每月或每季度）抽查审计。

案例研究：一个酷炫的黑客

一家医院设施与该内线签订了合同，作为一名保安。她广泛参与互联网的地下活动，是一个黑客组织的领导人。她只在晚上为受害者组织工作，而且无人监督。她的大部分未经授权的活动涉及一台加热、通风和空调（HVAC）计算机。这台HVAC电脑位于一个上锁的房间里，但该内部人员使用她的安全钥匙获得了对它的物理访问。 在两天的时间里，该内部人员五次远程访问该HVAC电脑。此外，她还访问了一台护士站的电脑，该电脑与受害者组织的所有电脑相连，储存着医疗记录和病人的账单信息。她使用各种方法来攻击该组织，包括密码破解程序和僵尸网络。她的恶意活动导致暖通空调系统变得不稳定，最终导致了一个小时的停电。 该内部人员和互联网地下人员正计划利用该组织的计算机系统对一个未知的目标进行分布式拒绝服务（DDoS）攻击。一名安全研究员发现了该内部人员的在线活动。她被定罪，被命令支付31,000美元的赔偿金，并被判处9年零2个月的监禁，然后是3年的监督释放。

这个案例说明了一个单一的计算机系统是如何对一个组织造成广泛损害的。在这个案例中，由于攻击发生在医院设施中，所以损害可能会威胁到生命。修改暖通空调系统的控制和改变组织的环境可能会影响到对温度敏感的药品和用品，以及容易受温度变化影响的病人。通过额外的步骤绕过安全系统，内部人员可以修改和破坏病人的记录，这可能会影响治疗、诊断和护理。管理和信息安全团队与其他部门合作以确定关键系统是至关重要的。在这个案例中，HVAC计算机位于一个上锁的房间，而不是在一个数据中心或服务器机房，这将为系统提供额外的保护，并可能阻止内部人员操纵该系统。

此外，该内部人员能够访问护士站的计算机，该计算机能够访问其他关键的组织系统。如果该组织充分了解一个被入侵的工作站可能对该组织的其他部分产生的潜在影响，它本可以实施额外的保护层，从而防止这种类型的攻击。

快速赢利和高影响力的解决方案

所有组织

本小节中的建议适用于所有组织。

²确定关键业务服务、支持性流程和支持性资产。

²通过与整个组织的数据所有者和用户交谈，描述你的组织所处理的信息的性质。

²确定保护关键资产的法律和法规要求。

²确定所有关键资产的紧急联络点。

²计算每项资产损失或更换的现值。

²追踪谁对每项资产有什么样的访问权。

²保持对每项关键资产授予和撤销访问权的指导。

²确定允许每个关键资产被控制和审计的监控能力类型。

²对资产和数据进行优先排序，以确定高价值目标。

本文整理自：卡内基梅隆的第七版《缓解内部威胁的常识指南》

1. 
   

2. >>>等级保护<<<
3. 开启等级保护之路：GB 17859网络安全等级保护上位标准
4. 网络安全等级保护：等级保护测评过程及各方责任
5. 网络安全等级保护：政务计算机终端核心配置规范思维导图
6. 网络安全等级保护：什么是等级保护？
   
7. 网络安全等级保护：信息技术服务过程一般要求
8. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
9. 闲话等级保护：什么是网络安全等级保护工作的内涵？
10. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
11. 闲话等级保护：测评师能力要求思维导图
    
12. 闲话等级保护：应急响应计划规范思维导图
    
13. 闲话等级保护：浅谈应急响应与保障
    
14. 闲话等级保护：如何做好网络总体安全规划
    
15. 闲话等级保护：如何做好网络安全设计与实施
    
16. 闲话等级保护：要做好网络安全运行与维护
    
17. 闲话等级保护：人员离岗管理的参考实践
18. 信息安全服务与信息系统生命周期的对应关系
19. >>>工控安全<<<
20. 工业控制系统安全：信息安全防护指南
21. 工业控制系统安全：工控系统信息安全分级规范思维导图
22. 工业控制系统安全：DCS防护要求思维导图
23. 工业控制系统安全：DCS管理要求思维导图
24. 工业控制系统安全：DCS评估指南思维导图
25. 工业控制安全：工业控制系统风险评估实施指南思维导图
26. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
27. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
28. >>>数据安全<<<

29. 数据安全风险评估清单

30. 成功执行数据安全风险评估的3个步骤

31. 美国关键信息基础设施数据泄露的成本

32. VMware 发布9.8分高危漏洞补丁

33. 备份：网络和数据安全的最后一道防线

34. 数据安全：数据安全能力成熟度模型

35. 数据安全知识：什么是数据保护以及数据保护为何重要？

36. 信息安全技术：健康医疗数据安全指南思维导图

37. >>>供应链安全<<<

38. 美国政府为客户发布软件供应链安全指南
    

39. OpenSSF 采用微软内置的供应链安全框架
    

40. 供应链安全指南：了解组织为何应关注供应链网络安全
    

41. 供应链安全指南：确定组织中的关键参与者和评估风险
    

42. 供应链安全指南：了解关心的内容并确定其优先级

43. 供应链安全指南：为方法创建关键组件

44. 供应链安全指南：将方法整合到现有供应商合同中

45. 供应链安全指南：将方法应用于新的供应商关系

46. 供应链安全指南：建立基础，持续改进。
47. 思维导图：ICT供应链安全风险管理指南思维导图
    

48. 英国的供应链网络安全评估

原文始发于微信公众号（祺印说信安）：缓解内部威胁：了解并保护关键资产