这是晓霖的第 4 篇文章
嗨,你好,我是晓霖。(认真备考CISSP中)
写这篇的意义在于自我备忘。【全文大概4500字,阅读需要20分钟左右】
在所有安全的解决方案中,人员经常被视为最脆弱的元素。
岗位职责就是员工常规执行的具体任务,需要给员工划分合理的访问权限,访问合理的资源、服务和对象等。同时也要进行定期审计。
候选人筛选、背景调查(预防性控制措施)、推荐信调查、学历验证和安全调查验证都是证实有能力的、有资质的和值得信任的候选人的必备要素。
入职:求职者被录用,需要融入组织,组织添加新员工的流程。
入职后签署雇佣协议(可接受使用策略AUP)和策略,也做新员工入职培训。为了保证安全,应进行IAM身份和管理访问,IAM账户提供并分配必要的特权和访问权限,按照最小特权原则分配权限。
除了雇佣协议之外还需要签订保密协议(NDA)。NDA防止在职或已离职员工泄露组织和机密信息,违反保密协议会受到严厉的惩罚。
SPML标记语言是在不同的企业之间开通账号和权限。
管理则定期审查或审计每位员工的工作描述、工作任务、特权和职责。
金融组织来说,审查的一个关键部分是强制休假(同行审查)检测性控制措施。
审查的措施:职责分离(预防性措施)、岗位轮换(检测性控制措施)、交叉培训。
用户行为分析(UBA)和用户与实体行为分析(UBEA):为用户、主体、访客、客户等行为进行分析。
UEBA中的E将分析扩展到发生的实体活动,这些活动不一定与用户特定行为直接相关或有关联,仍然可能与漏洞、侦察、入侵、破坏或漏洞利用事件相关联。
UBA/UEBA监控收集的信息可改进人员安全策略、程序、培训和安全相关的监督计划。
完整的离职流程包括:撤销该员工的电子访问权限,包括禁用用户账户、撤销证书、取消访问代码以及终止其他被授予的特权。(必须仔细协调收回公司资源的电子访问权限。如果没有及时撤销访问权限,被解雇的员工可能会利用该访问权限采取报复行动。如果访问权限过早撤销,员工可能会发现自己即将被解雇了)向相关人员通知解雇。
通常不会直接删除用户账户(停用或冻结),保留一定的时间进行审计。一般由人事部门发起开通账号权限和撤销账号和权限,离职之后也会重新签署保密协议(NDA)
使用服务水平协议(SLA)是一种确保提供服务的组织在服务商、供应商或承包商以及客户组织达成协议的基础上保持适当服务水平的方法。
SLA以及供应商、顾问和承包商的控制是降低和规避风险的重要部分。
外包(第三方)也是可以作为风险应对的一种方法,称为转移或转让风险,外包只能转移风险,不会转移责任。
合规需要符合或遵守规则、策略、法规、标准或要求的行为。合规是一种行政或管理的安全控制形式。不合规也是一种风险。
合规的工作一般是由首席安全官(CISO)或首席安全官(CSO)、员工经理、监督人员、审计员和第三方监管员执行。
隐私包括PII(个人身份信息)或HIPAA(健康保险流通与责任法案)。
PII是可以很容易或明显地追溯到原始作者或相关人员的任何数据项。
电话号码、电子邮件地址、邮寄地址、社会保险号和姓名都是PII。
MAC地址、 IP 地址、操作系统类型、喜欢的度假地点、吉祥物的名字等通常不被认为是PII。
风险管理是一个详细的过程,包括识别可能造成资产损坏或泄露的因素,根据资产价值和控制措施的成本评估这些因素,并实施具有成本效益的解决方案来减轻风险。
风险评估:检查环境中的风险,评估每个威胁时间发生的可能性和实际发生后造成的损失,并评估各种风险控制措施的成本。
风险响应:根据风险评估的结果进行优先级排序后进行响应,使用成本收益/收益分析的方式评估风险控制措施、防护措施和安全控制,并向管理层进行汇报响应的方案,按照管理层的决策和指导,进行响应措施。
资产:资产可以是业务流程或任务中使用到的任何事物。
资产估值:资产估值是根据多个因素给资产指定的货币价值。(定量分析)
威胁:任何可能发生的、对组织或特定资产造成不良或非预期结果的潜在事件都 是威胁。
威胁代理/主体:威胁代理或威胁主体有目的地利用脆弱性。威胁主体通常是人员,但也可能是程序、硬件或系统。威胁主体使用威胁来危害目标。
脆弱性(漏洞):资产中的弱点,是防护措施或控制措施的弱点,或防护 措施、控制措施的缺乏。
风险:风险=威胁*脆弱性,威胁利用脆弱性对资产造成危害的可能性,或对资产造成的严重程度。
防护措施:安全控制、保护机制措施来消除或减少脆弱性。
资产估值是为资产分配具体的货币价值,既包括有形的成本,也包括无形的成本。
风险分析:目标就是确保只部署具有成本效益的防护措施,防护措施年度成本不应该超过资产的年度损失期望。
考虑各种风险可能发生的场景,并基于不同观点对各种威胁的严重程度和各种对策的有效性进行等级排列。
定性风险更多是基于常见,如头脑风暴、场景、Delphi技术等。
NIST SP 800-30 Rev.1定性方法、关注IT风险。
定量风险分析可计算出具体概率指数或用数字指示出相关风险的可能性,防护措施成本、资产价值、业务影响、威胁频率防护措施有效性、漏洞利用的可能性等每个元素被量化,最后计算出总风险和剩余风险。一般需要借助自动化工具帮助分析。
定量风险分析可计算出具体概率指数或数字指示出相关风险的可能性
2.估计每种威胁的潜在损失:暴露因子EF,表示如果已发生的风险对组织的某个特定资产造成破坏
3.年度发生率ARO:在一年内特定威胁或风险发生的预期频率
4.单一期望损失SLE:特定资产发生单一真实威胁的潜在损失。
SLE(单一期望损失)= AV(资产价值)*(暴露因子)
年度损失期望ALE:特定资产单一特别威胁实际发生的所有实例。
风险缓解:通过安全措施、安全控制和安全对策减少或消除脆弱性或组织威胁。
风险转让:将风险带来的损失转嫁给另一个实体或组织。转移风险常见的形式就是购买保险和外包。转让风险不转让责任。
风险威慑:是对可能违反安全和策略的违规者实施下威胁的过程,如警告横幅。
风险规避:选择替代的选项或活动的过程,或者通过选择放弃来规避风险。
风险接受:成本效益分析表明控制措施的成本超过风险可能造成的损失之后的结果。
风险拒绝:一个不可能接收的,但可能发生的风险响应是拒绝风险或忽略风险,否认风险的存在,并希望用于不会发生。
固有风险:在风险管理之前的初始风险不考虑安全措施。
控制风险:控制措施不能达成控制目标的风险管理,控制风险的最好措施是持续监控。
成本效益分析,基本原则实施安全措施的代价不应该大于所要保护资产的价值。
对策成本购买费用对业务效率的影响,额外的人力,物力,培训费用,维护费用等。
确定是否有安全措施的保护依赖于风险评估的结果,在设计有效的安全控制时,必须考虑设计的易用性。
管理型控制措施是依据组织的安全策略和其他法规或要求而规定的策略和程序。
包括:安全策略、程序、背景调查、数据分类和标签、安全意识和培训,报告和审查、工作监督、人员控制和测试、风险管理、人员安全等。
逻辑性控制措施包括身份认证方法、加密、限制接口、访问控制列表、IDS等。
专为设施和真实世界对象提供保护的安全机制,包括门禁、栅栏、锁、刷卡、摄像头、报警器等。
主要是事前的预防,包括:职责分离、DLP、访问控制方法、防火墙、安全策略、杀毒软件、安全意识培训、加密、IPS。
威慑控制和预防控制类似的,但威慑控制往往需要说服个人不采取不必要的行动。
在事中和事后进行,包括:运动探测器、闭路电视监控CCTV、岗位轮换、强制休假、蜜罐、IDS、日志审计。
在事后进行,包括:备份和恢复、服务器集群、虚拟机镜像、业务连续性和灾难恢复(BCP/DRP)
纠正控制会修改环境,使系统从发生的非预期的或未经授权的活动中恢复到正常状态。纠正控制试图纠正安全事故引发的任何问题。纠正控制可以是简单的,例如终止恶意活动或 重新启动系统
包括安全策略要求或标准、发布的通知、保安指引、逃生路线出口标志、监控、监督和程序。
安全控制评估(security control assessment, SCA)是根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估,确保安全机制的有效性。
NIST SP 800-53 Rev.5“信息系统和组织的安全和隐私控制”实施SCA流程。
编写风险评估报告,并将其提交给利益相关方,利益相关方能清晰和准确地支持决策的制定,并定期更新。
风险成熟度模型RMM,RMM从成熟、可持续和可重复方面评估风险管理流程的关键指标和活动。
5.优化级:实现目标,并吸取教训重新归纳到风险管理。
支持期终止(EOS)/服务终止期(EOSL):产品不再提供服务的时间。
CSF网络安全框架:是一个框架核心为基础,该框架核心由五个功能组成:识别、保护、检测、响应和恢复。
RMF风险管理框架步骤:准备-分类-选择-评估-授权-监控。
准备:通过建立管理安全和隐私风险的上下文和优先级,准备从组织级和系统级的角度 执行RMF。
分类:根据对损失影响的分析,对系统以及系统处理、存储和传输的信息进行分类。
选择:为系统选择一组初始控制并根据需要定制控制,以根据风险评估将风险降低到可接受的水平。
实施:实施控制并描述如何在系统及其操作环境中使用控制。
评估:评估控制以确定控制是否正确实施,是否按预期运行以及是否产生满足安全和隐私要求的预期结果。
授权:在确定组织运营和资产、个人、其他组织和国家/地区面临的风险是可接受的基础上,授权系统或共同控制。
监控:持续监控系统和相关控制,包括评估控制有效性,记录系统和操作环境的变化, 进行风险评估和影响分析,以及报告系统的安全和隐私状况。
原文始发于微信公众号(晓说森林):第2章人员安全和风险管理的概念(一)
评论