经过前几周的铺垫,今天,终于让风险有了一个清晰的样子。
在信息泛滥和摊平的今天,其实我们越来越需要“知识蒸馏”工程,把知识用认知的框架再压缩一次。
每一次信息平权,其实都是更高维度的信息霸权。
来,咱们一起掌握新的“信息霸权”。
【1】风险要素
什么是风险?
风险就是威胁利用资产的脆弱性使这些资产损失或破坏的可能性。
什么是风险管理?
就是识别出风险要素、对风险要素进行赋值,然后进行风险评估的过程。
图:风险管理
什么是风险要素?
威胁(Threat)、资产(Asset)、业务(Business)和脆弱性(Vulnerability)。
当然,在国家标准里,其实是把“业务”当成“资产”的一部分,只是业务过去大家都忽略了,所以这里重点提出来。
那么,什么是风险评估呢?
【2】风险评估实施流程
这里有一个风险评估的实施流程:
图:实施流程
就是通过沟通与协商、评估准备,然后进行风险识别、风险分析和风险评价,最终输出评估过程文档的过程。
像国家标准这种多人协同文档,其实是把每个人的小逻辑最终变成一个大逻辑,很多内容难免有冲突、嵌套和新的创意。
所以,我把所有内容基于这个框架展开,就形成了下面的风险评估架构。
【3】风险评估架构
图:锐安全风险评估架构
基于这一张架构图,你心里就建立起了风险完整的样子,从今天起,你再不用担心讲不清楚风险是什么了。
更重要的是,当有了这样一张基本图,如果再有其它风险理论,有了新的想法和新的要素,我们就在这张图上再进行迭代,你就形成了一张真正的“风险全景图”。
就像霍金的“M理论”试图统一“相对论”和“量子力学”一样,全景图可以在更高的维度上建立新的“风险共识”。
风险评估架构图有七个要素:沟通协商与评估准备、风险评估全周期、风险评估文档,然后就是把风险评估过程拆解成了四个阶段:风险识别、风险分析、风险评估和风险评价。
除了“沟通协商与评估准备”没啥实质内容外,其它要素咱们再串一下。
【4】风险评估全生命周期
我们听过数据安全的全生命周期(DSMM,Data Security Capability Maturity Model):数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁。
图:数据安全成熟度DSMM
有了这样一个框架,你就可以沿着这个链接进行数据安全的分析和建模。
我们也听过开发全生命周期(SDL,Security Development Lifecycle):培训(Training)、需求分析(Requirements)、设计(Design)、实现(Implementation)、验证(Verification)、发布(Release)、响应(Response)。
今天,我们看到了风险评估全生命周期的六个阶段:规划阶段、设计阶段、实施阶段、交付阶段、运行阶段、废弃阶段。
【5】风险识别
风险识别其实就是:资产识别、威胁识别、已有安全措施识别和脆弱性识别。
资产识别分为:业务识别、系统资产识别、系统组织和单元资产识别三部分。并通过五方面对资产进行赋值:业务重要性、资产保密性、资产完整性、资产可用性、业务承载性。
威胁识别是识别威胁的来源、主体、种类、动机、时机和频率。
已有安全措施识别分为:预防性安全措施识别和保护性安全措施识别。
脆弱性识别分为:技术脆弱性和管理脆弱性两大部分。
图:脆弱性识别
【6】风险分析
风险分析是对风险进行“定量”的重要一环,有四个指标:安全事件发生的可能性、安全事件发生后的损失、系统资产风险值、业务风险值。
1.计算安全事件发生的可能性
安全事件发生的可能性=L[威胁赋值,脆弱性被利用难易程度]=L(T,Av)。
2.计算安全事件发生后的损失
安全事件造成的损失=F[资产价值,影响程度]=F(Vc,Di)。
安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也是不一样的。
3.计算系统资产风险值
风险值=R[安全事件发生的可能性,安全事件造成的损失]=R(L(T,Av),F(Vc,Di))。
4.计算业务风险值
业务风险值=Rb[系统资产风险值,系统资产风险值,…,系统资产风险值]=Rb(RA1,RA2,…,RAn)。
【7】风险评估(标准与工具)
风险评估讲了目前主流的四个参考标准:GB/T 31509、NIST SP 800-30、ISO/IEC 27005、ISO/IEC 13335。
讲了三大工具:风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具(情报)。
其中风险评估与管理工具包括:基于风险评估标准的工具(标准)、基于知识的工具(最佳实践)、基于模型的工具(算法)。
系统基础平台风险评估工具包括:脆弱性扫描工具、渗透测试工具、代码审计工具、APP安全测试工具、工控安全工具、机房检测工具。
风险评估辅助工具(情报)包括: 国家漏洞库、基线检查工具、网络入侵检测工具、态势感知系统、网络审计工具、资产发现工具、资产管理工具、机房检测工具、评估指标库。
有了这些工具作为评估依据和手段,就可以对风险进行“定性”评价了。
【8】风险评价
风险评价包括两部分:系统资产风险评价、业务风险评价。
这两个分类非常重要,因为它是IT视角和业务视角的整合视野。
最后就是输出风险评估文档了,这个是甲方工作最重要的一环,而往往是安全厂商最忽略的一环,因为这里面全是责任,没有利润。
【9】风险评估文档
风险评估文档包括9类文档:风险评估方案、资产识别清单、重要资产清单、威胁列表、已有安全措施列表、脆弱性列表、风险列表、风险评估报告、风险评估记录。
这9类文档,我知道过去你没有,但是,未来应该有。
因为在“安全度量”还没有形成行业共识的今天,这些是你“安全价值”的体现。
如果你是甲方的安全负责人,如果你没有更好的方法论,用这个架构把你的安全建设工作装进去,其实还是一个挺不错的主意。
注:如果你想获得本文及《安全到底》栏目近期或未来文章中插图的原始PPT版本,以方便修改成自己的版本,请看:【付费阅读:《风险建模:全新安全思考与建设规划指南》源PPT,持续更新中......】,目前已经更新到V1.5版本。
| 恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见! |
欢迎来到安全的大航海时代!
如果对我描述的安全世界感兴趣,可以翻翻我为你写的一本书,悄悄超过80%的人:
end
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
参考资料:
[1]GB∕T 19715.1-2005 信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型
[2]GB∕T 20984-2007 信息安全技术信息安全风险评估规范
[3]GB∕T 20984-2022 信息安全技术 信息安全风险评估方法
题图:风险架构重试
题图创作者:晓兵与AI小助手
原文始发于微信公众号(锐安全):风险评估架构,终于让风险露脸了!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论