此前介绍了 NIST SP800-30 风险管理过程中的“评估”阶段,本文会介绍剩余的两个部分:“响应”与“监控”。
响应阶段
通过风险分析确定风险后,就要应对相应的风险。风险管理策略有如下四种类型,通常来说降低风险 -> 承担风险是一个普遍的策略。
- 降低风险
- 通过引入安全控制来降低风险
- 承担风险
- 根据管理层的判断接受剩余风险
- 风险转移
- 将风险转移给第三方,例如使用网络保险以及第三方产品与服务
- 规避风险
- 消除风险,例如为了避免风险可能禁止通过电子邮局与客户进行沟通
五种安全控制
通常在风险缓解中实施安全控制,安全控制也通常分为多个类别:
- 指挥控制(指令)
- 促进所需应为或者抑制错误行为,例如进行规则和意识的培训
- 拒止控制(预防)
- 禁止、限制或阻止某些恶意行为,例如访问控制
- 侦测控制
- 检测恶意行为,例如 IDS 或 EDR
- 纠正控制(恢复)
- 纠正监测到的安全事件,例如备份
- 备用控制(补偿)
- 如果有各种理由不能采取控制措施,请采取替代措施以降低风险
这里的重点是,从纵深防御的角度触发,组合多种类型的防御方式非常重要。例如,通过访问控制实施预防性控制措施,然后通过日志监控实施启发式控制措施。
监控阶段
风险管理过程中最后的部分是监控。在此过程中,可以从以下角度监控风险和响应,如果有任何变更就需要重新进行风险分析与风险响应。
- 风险应对策略是否合适?
- 安全控制措施是否有效?
- 新的风险是否出现?
简化风险管理流程
综上所述,风险管理是指进行风险分析 -> 风险处理 -> 风险监控的过程。因此,风险管理不过是重复这个 PDCA 周期。
简化风险分析
此前,我们将风险表述为“威胁×脆弱性×资产”。但是在某些风险分析中,仅通过“威胁×脆弱性”来进行风险分析。此外,也可以使用 CSC 等框架根据脆弱性进行风险评估。
这样一来就简化了风险评估的过程。例如,如果资产分析的类型可能导致分析结果不稳定、“没有多种类型的资产/任何资产的信息泄露对业务影响都很大”的情况下则可以将其省略。
也可以忽略威胁,例如,在“特定情况下为威胁”或“有必要应对任何威胁”的情况下,可能不可避免地要考虑该威胁。如果不是这种情况,可以忽略威胁。
资产和威胁是防御方难以控制的参数,因为某些情况对这两部分进行分类时可以适当进行简化。
清单方法与场景方法
如上所述,简化风险分析并使用 CSC 漏洞评估的风险分析方法被称为清单方法。这种方式需要准备 CSC 的检查表,通过是否或五步评估来测量成熟度。这种方法本身是一个很好的起始点,这样做可以很容易搞清楚要做什么。CIS CAST也是一种典型的清单方法。
当然,我们不建议止步于清单方法。相反的,将清单应用于网络图中,使用基于场景的分析方法进行分析,这样可以更充分地考虑攻击场景,如果不这样做可能会存在疏漏。
可以举一个例子,假如 X 公司的所有重要业务系统和业务数据都在云端。使用清单方法进行检查时,一切(相对于内部 OA)都是完美无缺的,在这种情况下,我们可以说已经完成了正确的风险分析吗?答案是否定的,上述情况下应该将云攻击视为一种攻击方案。但是如果只关注清单而忽略了网络部署情况以及实际的攻击情况,就会产生疏漏。因此,检查清单是一种好方法,但是要意识到需要对攻击进行分析,以免丢失检查清单的本质。
总结
本文介绍了风险管理过程的其余阶段,还谈到了基于场景的分析方法的重要性。相关内容可以扩展阅读 NIST 推出的风险管理框架(RMF)。
风险分析与风险管理是相关安全措施的基础,如果这一系列文章能够对读者产生帮助那就再好不过了,暂时没有相关的内容可以清楚地对这些问题进行描述。