风险管理之如何获得并维持保证

• 1 .如何获得并维持风险处理的保证
• 2 .保证模型
• 3 .使用这个模型
• 4 .保证示例1：使用经过认证的产品
• 5 .保障示例 2：使用云服务

通过有效利用保障活动来增强对风险处理的信心对于管理网络风险至关重要。

如何获得并维持风险处理的保证

保证是一种让人们相信安全控制正在按照您期望的方式工作以确保系统安全的方法。应不断从您用于处理网络安全风险的控制措施（无论是程序、人员、物理还是技术）中寻求保证。因此，通过有效利用保障活动来获得对风险处理的信心对于管理网络风险至关重要。

值得注意的是，许多保障活动只能提供特定时间段内安全控制或措施性能的快照。获得并保持对风险处理的信心应该是在系统或服务的整个生命周期中持续进行的活动，以响应威胁、漏洞、技术和业务使用的变化。

这里介绍的保证模型旨在描述在网络安全风险处理中获得和维持保证所需的不同活动。这些活动需要根据您的组织所做的事情、关心的事情以及面临的网络安全风险来考虑和应用。如果使用技术产品或服务应用风险处理，则该模型可以与我们的技术保证指南和我们的博客结合使用，帮助您思考、规划和应用保证活动，为决策者提供他们所需的信心系统（或服务）“足够安全”。

---

保证模型

以下模型确定了四种范围广泛的保证机制，如果使用得当，可以为企业提供所需的信心，即您的风险处理措施是适当且有效的。这些机制是：

• 内在保证
• 外在保证
• 执行保证
• 运营保证

该模型的一个关键方面是每个机制都是相互关联的，并且需要所有这些机制来为您的企业提供所需的信心。下图对此进行了说明，该图显示了所有四种保证机制如何为系统或服务的整体保证做出贡献，并提供了一些示例保证活动。请注意，这些仅用于说明目的，并不提供组织可以用来为他们提供对其所使用的技术系统和服务所需的信心和保证的完整活动列表。

内在保证

这是为供应商在产品、服务或系统开发过程中所应用的流程提供信心的任何活动。内在保证的例子包括：

• 建立供应商在交付并在适当情况下维护其产品完整性方面的声誉（例如，使用安全设计和开发实践，通过定期发布补丁来快速纠正安全漏洞）
• 在产品或服务中应用基于原则的保证结果
• 供应商或供应商用于设计和开发其产品或服务的实践
• 供应商或供应商管理其产品或服务中的漏洞的方式

外在保证

这是独立于开发环境的任何活动，提供对产品或服务的一定程度的信任。例如，确保产品或服务通过适合其功能和预期用途的公认的独立评估方案。

注意：

• 如果没有其他机制，仅靠外在保证就只能提供很少的安全保障或根本无法提供安全保障

示例包括：

• 确定您的供应商及其供应链是否拥有任何形式的适当的独立认证（例如Cyber Essentials 或 Cyber Essentials Plus，或适当范围的 ISO 9001 和/或 27001 认证）

  对产品或服务的正式评估，例如 FIPS-140、通用标准等。注意：此类评估正变得越来越小众，并且不适用于绝大多数商业产品或服务（这不是问题，因为模型中的其他机制可以弥补任何外部保证的缺乏）。

实施保证

这是任何能让人们相信产品、系统或服务已正确实施的活动。此类保证活动的示例可能包括：

• 由具有适当资格的人员对产品、系统或服务进行审查，以确保设计和实施能够提供业务所需的风险管理效益
• 对系统进行安全测试（再次由适当的合格人员进行），以确定部署过程中是否引入了任何漏洞
• 避免众所周知的安全反模式

运营保证

这是产品、系统或服务进入运行使用后维持其安全功能所需的任何活动。这包括为监控漏洞和威胁变化的企业活动提供规定。

运营保证活动的示例可能包括：

• 监控有关产品、系统或服务的任何新漏洞的出现
• 应用补丁来解决已知的安全漏洞（如果有）
• 培训相关人员如何监控和安全应用安全补丁
• 测试是否已应用安全补丁或更新以及这些补丁或更新是否已解决漏洞
• 确保任何无法修补的易受攻击的设备都通过系统安全架构和必要的补偿措施得到有效的深度防御

---

使用这个模型

该模型应谨慎使用，特别是因为它主要设计用于企业 IT 系统，企业所有者可以完全控制系统及其网络安全。如何使用该模型将取决于您的环境和系统。例如，对于运营技术 (OT) 系统，所有 4 种保证机制的选择较少，尤其是在外部保证方面，您可能需要不同的策略来获得对风险处理的信心。

使用云服务时，您需要了解可以从服务提供商那里获得哪些信任。保证机制需要以互补的方式使用，有些（例如外部保证）可能无法使用。此外，运营保障机制需要持续开展活动（例如安全监控、软件更新和修补），并通过 IT 健康检查和主动漏洞测试定期支持实施和外部保障。

---

保证示例1：使用经过认证的产品

使用来自市场上历史悠久的供应商（提供内在保证）的认证产品，例如FIPS 140-3加密设备（通过它您可以获得外在保证），仍然可能会带来风险。如果设备未在经过合理安全测试的安全架构（提供实施保证）中正确配置，就会出现这些风险。而且，尽管进行了正式评估，但由于产品持续进行主动漏洞测试（提供进一步的外在保证），该产品可能需要在其整个生命周期内进行软件更新。这些软件更新需要快速安装，并且（当然）需要监控设备的安全警报（提供操作保证）。

这些保证机制中任何一种的失败都意味着该设备（尽管已经通过了 FIPS 140-3 认证）将无法提供企业所需和期望的安全性，并且实际上会提供错误的信任级别。

---

保证示例 2：使用云服务

虽然公有云服务（IaaS、PaaS、SaaS 或 FaaS）可能会经过正式的独立认证（提供外在保证），但也可以通过云提供商满足 NCSC 云安全原则以及某些要求来获得内在保证。更大的云提供商（例如微软、谷歌和亚马逊已经公开这样做了）。其他较小的提供商可以根据SaaS 安全原则进行评估。

除了认证之外，一些外部保证更加棘手，因为云提供商通常不允许您从外部对其服务进行安全测试，但这并不意味着您不应该对服务的使用进行安全测试，以及通过此您是否可以确认您正在履行任何共同责任模式下的义务。通过此，可以确保您对云服务的使用正确实施，并为您的云使用提供有效的安全监控，从而获得实施保证。

需要注意的是，如果您未能正确实施您负责配置的云服务、监控您对这些服务的使用情况以及对任何安全警报做出反应，那么尽管云服务提供商召开了会议，您也无法提供所需的信心NCSC 云安全原则或任何其他已知的良好指导或云安全标准。

原文始发于微信公众号（祺印说信安）：风险管理之如何获得并维持保证