快速审核步骤
与任何审计一样,这种快速审计应遵循结构化检查表。再次强调,我们现在保持非常简单。由于您可能会依赖其他人提供某些输入,因此我们需要使其易于解释。您可以从以下网站下载电子表格作为可选的审核步骤。此时的数学非常简单,几乎不需要在电子表格中为您计算出来,但它应该提供一些结构。
-
确定内部来源:您将采访这些人来回答以下问题。他们一开始可能会对这些概念有点陌生,因此请耐心等待并指导他们完成整个过程。您可能需要依靠自己的知识来估计某些项目(例如,勒索软件的可能性),但其他问题需要企业的输入(例如,业务中断的成本)。如果他们以前使用过风险矩阵,那么为此提供输入的同一个人可能就是此风险审计的来源。如果他们更喜欢他们识别的现有风险列表,您可以跳过接下来的两个步骤(定义资产、定义威胁)。无论您使用现有的风险列表还是生成新的风险列表,我们都将其称为“一对一替代”,因为绘制在风险矩阵上的每个风险都会转换为等效的定量模型。如果您的风险矩阵上绘制了20个风险,那么您可以在我们提供的电子表格中使用这20个风险,而不是像我们即将要做的那样为每项资产定义一组新的威胁。但如果您想从头开始,请按照下面的其余过程进行操作。
-
定义资产:内部资源可以解决的第一个问题是如何对资产进行分类。您可以将整个企业视为一项巨大资产——事实确实如此。或者您可以将其分解为几个单独的部分,例如运营业务部门。这是快速审核的简单起点。您可以使用现有的组织结构图作为指导。为了快速进行风险审核,请避免采用高度精细的方法,例如列出每台服务器。保持简单,将其限制在不超过十几个主要业务部门。进一步分解的方法和好处将在本书后面讨论。
-
定义威胁:电子表格中提供了威胁的“入门”列表(与表3.1相同),但您可以更改它们或添加更多威胁。有很多可能的方法来制定威胁分类法,因此您应该使用的标准是您的消息来源认为对他们有意义的标准。同样,如果他们有一个他们喜欢使用的现有风险登记册,那么就使用它而不是他们不熟悉的列表。
-
评估可能性:对于每项资产的每种威胁,评估该资产在一年内的某个时间经历威胁事件的可能性。如果您有多个资产并使用表3.1对于威胁,您将重复该过程来估计每个威胁/资产组合的可能性。对于许多分析师来说,这似乎是该过程中最具挑战性的部分。通常,至少会有一些行业报告可以用作起点。请参阅本章后面的一些来源列表。但是,如果您觉得没有其他可继续的,请根据您自己的经验从拉普拉斯继承规则(LRS)开始,如上一章所述。请记住,对于LRS,只需考虑“参考类”(您的经验年数、给定年份的其他公司等)中有多少观察结果,以及这些观察结果中有多少“命中”(给定的威胁事件)型)进行观察。
-
评估影响:对于每项资产的每种威胁,估计潜在损失的90% CI。这是“概率分布”的简单形式,代表数量的可能性。我们假设这种潜在损失的分布是倾斜的(不平衡),其方式类似于通常用于损失建模的分布。在这种类型的分布中,所有可能损失的平均值不是范围的中间,而是更接近下限。(这意味着,当我们计算下一步的平均损失时,我们不仅仅使用范围的中间值。)有关使用主观CI的入门知识,请参阅插图“思考范围:大象示例”。
-
计算年度预期损失(AEL):我们将计算此偏态分布中的平均损失,并将该值乘以事件的可能性。您可以下载的电子表格对这组倾斜的潜在损失的平均值进行了更精确的计算。但我们也可以只使用下面的简单方程:
Annual Expected Loss Per Threat= Likelihood x( 0.65 x LB + 0.35 x UB)
有关AEL计算值的示例,请参见表3.2。
- 将所有AEL相加:合并所有资产AEL后,您就得到了整个组织的AEL。
-
使用输出:企业的总AEL本身就具有丰富的信息。它可以快速评估问题的严重程度。每个威胁/资产组合的AEL还为我们提供了一种简单的方法来确定最大风险的优先级。
原文始发于微信公众号(河南等级保护测评):快速风险审计:快速审核步骤
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论