如何高效地執(zhí)行信息安全風(fēng)險(xiǎn)評估
信息安全風(fēng)險(xiǎn)評估工作對于組織進(jìn)行信息安全風(fēng)險(xiǎn)的有效管理、識(shí)別并修復(fù)安全風(fēng)險(xiǎn)點(diǎn)具有非常重要的意義,同時(shí)也是組織為滿足安全合規(guī)管理的要求之一,如當(dāng)前主流的信息安全管理體系ISMS-27001、PCI-DSS數(shù)據(jù)安全標(biāo)準(zhǔn)等均有明確的風(fēng)險(xiǎn)評估要求。而在實(shí)際風(fēng)險(xiǎn)評估工作的執(zhí)行過程中,組織難免會(huì)走入一個(gè)極端:會(huì)因?yàn)楹弦?guī)或監(jiān)管的要求而在極短時(shí)間內(nèi)執(zhí)行完成,因時(shí)間和人力等方面的分配,往往難以有效地發(fā)現(xiàn)和準(zhǔn)確評價(jià)各種威脅的影響,使得風(fēng)險(xiǎn)評估流于形式。
在執(zhí)行信息安全風(fēng)險(xiǎn)評估的過程中,有些組織會(huì)將風(fēng)險(xiǎn)評估工作委托給專業(yè)的安全風(fēng)險(xiǎn)評估機(jī)構(gòu)來執(zhí)行。誠然專業(yè)評估機(jī)構(gòu)具有很強(qiáng)的方法論和知識(shí)積累,然而如果對每一個(gè)客戶都用完全相同的方法和知識(shí)庫,難免會(huì)出現(xiàn)對某些風(fēng)險(xiǎn)評價(jià)的偏差甚至缺失。
筆者認(rèn)為,信息安全風(fēng)險(xiǎn)評估是一個(gè)專業(yè)性很強(qiáng)的工作,組織除了依賴于專業(yè)評估機(jī)構(gòu)的能力以外,組織本身仍然需要明智地進(jìn)行管理和影響,使得組織通過該過程可以真正有效地管理所面臨的風(fēng)險(xiǎn)。
在風(fēng)險(xiǎn)評估的執(zhí)行過程大體可以分為三個(gè)階段,評估準(zhǔn)備與識(shí)別、風(fēng)險(xiǎn)的評估與計(jì)算以及風(fēng)險(xiǎn)結(jié)果處置。準(zhǔn)備與識(shí)別階段主要進(jìn)行資產(chǎn)梳理、威脅識(shí)別以及脆弱性識(shí)別等工作;評估與計(jì)算階段主要基于識(shí)別到的風(fēng)險(xiǎn)要素和措施,進(jìn)行風(fēng)險(xiǎn)的評價(jià)和計(jì)算;而處置階段剛基于評估結(jié)果進(jìn)行有效的風(fēng)險(xiǎn)處理,所采取的方法通常包括接受風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)或轉(zhuǎn)移風(fēng)險(xiǎn)等。為便于理解,下圖是GB/T 20984-2007標(biāo)準(zhǔn)中對風(fēng)險(xiǎn)評估過程,從整體上對風(fēng)險(xiǎn)評估工作所涉及的工作要素進(jìn)行了說明。
因篇幅原因,本文不再具體描述和展開評估流程,而是側(cè)重于風(fēng)險(xiǎn)評估過程的實(shí)踐經(jīng)驗(yàn)以及對執(zhí)行方法的一些理解和建議。其中的不足之處,也非常歡迎業(yè)界朋友批評指正。
一、組織所面臨風(fēng)險(xiǎn)的定制化
在風(fēng)險(xiǎn)評估的準(zhǔn)備階段, 需要針對組織當(dāng)前的情況進(jìn)行大量的信息收集,再加上對信息的分析與整理,這將占用大量的時(shí)間資源。而如果不進(jìn)行梳理,則無法達(dá)到風(fēng)險(xiǎn)評估的預(yù)期效果。而制定適合組織當(dāng)前狀況的評估項(xiàng),相關(guān)的實(shí)踐經(jīng)驗(yàn)如下:
1、擴(kuò)展安全威脅信息庫以覆蓋組織面臨的主要風(fēng)險(xiǎn)
如基于常見的信息安全風(fēng)險(xiǎn)來開展,難免存在對于威脅的忽略和偏差。組織可以從以下角度來考慮威脅數(shù)據(jù)庫的構(gòu)建:
威脅的種類
比如可以從對組織產(chǎn)生影響的角度,擴(kuò)展組織所適用的威脅庫分類。筆者認(rèn)為威脅庫的積累對于風(fēng)險(xiǎn)評估最終的效果將有直接的影響,建議組織在信息安全風(fēng)險(xiǎn)評估機(jī)構(gòu)的選擇過程中充分考慮評估機(jī)構(gòu)對于信息安全知識(shí),尤其是威脅知識(shí)庫的積累。
借助于遍布全球的知識(shí)資源,atsec所采用的知識(shí)庫體系可覆蓋到信息安全風(fēng)險(xiǎn)的方方面面,如合規(guī)風(fēng)險(xiǎn)、物理安全、人員安全、安全管理、技術(shù)架構(gòu)、介質(zhì)管理、權(quán)限管理、密碼管理、安全意識(shí)等多個(gè)領(lǐng)域。通過全面的安全風(fēng)險(xiǎn)分析,使得組織可以非常有針對性地制定當(dāng)前以及未來的信息安全建設(shè)規(guī)劃。
威脅的來源
組織在確定威脅的過程中,除了考慮自身面臨的風(fēng)險(xiǎn)外,推薦從風(fēng)險(xiǎn)合規(guī)的角度來擴(kuò)展威脅的信息來源。atsec 可以在風(fēng)險(xiǎn)評估過程中幫助組織梳理并明確組織所處行業(yè)的監(jiān)管要求,指導(dǎo)組織建立或完善統(tǒng)一整合的管理體系,并有效地吸收和融合PCI、ISO/IEC 27001、ISO 9001、ITIL、SAS70 等標(biāo)準(zhǔn),形成全面且有針對性的威脅信息庫,使評估結(jié)果達(dá)到事半功倍的效果。
2、高效地進(jìn)行資產(chǎn)的識(shí)別與評價(jià)
對于組織的信息資產(chǎn),尤其是數(shù)據(jù)資產(chǎn),難以進(jìn)行有效地衡量和梳理。然而,風(fēng)險(xiǎn)評估過程中則需要對所影響的信息資產(chǎn)的價(jià)值納入到評價(jià)體系。由此看來如何明智地組織資產(chǎn)的評價(jià)體系,并對資產(chǎn)進(jìn)行合理評價(jià)是一個(gè)具有挑戰(zhàn)性的工作。在該過程中,atsec的執(zhí)行經(jīng)驗(yàn)如下:
建立有效的資產(chǎn)層次
通常的資產(chǎn)層次可以從物理位置(如XX組織的生產(chǎn)機(jī)房),到物理概念上的資產(chǎn)(如XX機(jī)房的XX服務(wù)器),再到操作系統(tǒng),進(jìn)而到應(yīng)用軟件,最終到其中的數(shù)據(jù)。經(jīng)過多層次的資產(chǎn)劃分后,其好處是使得威脅與資產(chǎn)具有了明確的關(guān)聯(lián)關(guān)系,便于后續(xù)的風(fēng)險(xiǎn)評價(jià)。
有效地使用“資產(chǎn)組”的概念
在建立資產(chǎn)層次后,也會(huì)帶來資產(chǎn)類別和梳理過程的工作量的成倍增加。在atsec執(zhí)行風(fēng)險(xiǎn)評估的過程中,會(huì)充分考慮低層級資產(chǎn)的梳理難度,更多地從業(yè)務(wù)流程劃分的角度進(jìn)行歸類,在最大程度上使用“資產(chǎn)組”的概念,盡最大可能使用組合的方法降低難度。
3、快速收集與評價(jià)組織的管理體系
風(fēng)險(xiǎn)評估的執(zhí)行更多地側(cè)重于發(fā)現(xiàn)安全管理過程中的差距,管理體系梳理與具體評價(jià)應(yīng)更多地由內(nèi)部或外部審計(jì)來完成。然而,在此過程中也需要有一定的介入并給出初步評價(jià),以便于安全流程等方面的實(shí)際評估。
二、科學(xué)地提升執(zhí)行效率和準(zhǔn)確性
在風(fēng)險(xiǎn)的評估與評價(jià)階段,項(xiàng)目團(tuán)隊(duì)的成員應(yīng)把絕大部分精力投入到風(fēng)險(xiǎn)項(xiàng)的識(shí)別和級別定義,除了依賴于執(zhí)行者的信息安全評估的經(jīng)驗(yàn)外,使用有效的方法論和工具方法對于提升執(zhí)行效率和準(zhǔn)確性也具有非常重要的意義。
1、建立有效的風(fēng)險(xiǎn)分析模型
在風(fēng)險(xiǎn)評估過程中,atsec所使用的風(fēng)險(xiǎn)分析模型會(huì)包括多個(gè)層面,以更有效地進(jìn)行風(fēng)險(xiǎn)評價(jià)。模型方法如下:
風(fēng)險(xiǎn)發(fā)生的可能性初步的控制措施風(fēng)險(xiǎn)發(fā)生對客戶業(yè)務(wù)的影響風(fēng)險(xiǎn)發(fā)生對客戶品牌的影響風(fēng)險(xiǎn)發(fā)生對客戶收益的影響
對于具體的分析過程,由評估人員基于訪談情況、滲透情況以及相關(guān)的信息輸入,從品牌、收益和客戶三方面的影響進(jìn)行展開。每一選項(xiàng)的賦值基于方法論中的準(zhǔn)則進(jìn)行確定,下圖為整個(gè)風(fēng)險(xiǎn)評估過程中,對數(shù)據(jù)庫和應(yīng)用系統(tǒng)存在威脅的評定示例:
2、使用半定量化的風(fēng)險(xiǎn)計(jì)算方法
因威脅本身具有不斷變化和難以測量的性質(zhì),推薦明智地使用半定量化的測試方法。在具體的執(zhí)行過程中,atsec的做法是通過對每個(gè)威脅的評估結(jié)果給出半定量的評級,并進(jìn)一步通過風(fēng)險(xiǎn)計(jì)算方法使最終的評估結(jié)果更精確。因篇幅原因,在此不展開具體的風(fēng)險(xiǎn)計(jì)算方法。
3、使用自動(dòng)化的風(fēng)險(xiǎn)計(jì)算工具
基于風(fēng)險(xiǎn)評估在執(zhí)行過程中,atsec使用自有開發(fā)的計(jì)算工具,以最大程度上節(jié)省風(fēng)險(xiǎn)計(jì)算所占用的工作量。
4、最大限度地使用輔助工具
在對技術(shù)類威脅的評估過程中,如關(guān)鍵帳號(hào)和口令安全性,通過管理訪談方法通常難以做出準(zhǔn)確的判斷。atsec則會(huì)在類似的過程中盡最大限度地使用各種輔助工具和手段,比如密碼安全性驗(yàn)證、服務(wù)器的技術(shù)漏洞等。
三、評估結(jié)果的高效使用
在對所有的威脅完成風(fēng)險(xiǎn)評估后,如何有效地將風(fēng)險(xiǎn)結(jié)果轉(zhuǎn)化為組織進(jìn)行高效改進(jìn)的發(fā)動(dòng)機(jī)呢?
1、自動(dòng)、清晰地呈現(xiàn)風(fēng)險(xiǎn)發(fā)現(xiàn)與結(jié)果
在發(fā)現(xiàn)并對信息安全風(fēng)險(xiǎn)進(jìn)行評價(jià)后,自動(dòng)地呈現(xiàn)風(fēng)險(xiǎn)結(jié)果與發(fā)現(xiàn)不僅可以極大地節(jié)省風(fēng)險(xiǎn)評估過程中的資源,也將使得管理層清晰地知曉關(guān)鍵的信息安全風(fēng)險(xiǎn)。這對于信息安全風(fēng)險(xiǎn)評估項(xiàng)目的收益具有非常重要的意義。在風(fēng)險(xiǎn)評估過程中,atsec會(huì)通過自動(dòng)化工具全面展現(xiàn)風(fēng)險(xiǎn)評估的發(fā)現(xiàn)與結(jié)果,如下圖所示:
2、全生命周期的風(fēng)險(xiǎn)管理
一旦一個(gè)風(fēng)險(xiǎn)被識(shí)別出來之后,將對其整個(gè)過程進(jìn)行管理和控制。通常的處理方法包括:風(fēng)險(xiǎn)降低(如通過技術(shù)手段降低其影響或可能性)、風(fēng)險(xiǎn)轉(zhuǎn)移(如購買保險(xiǎn)或通過第三方合同轉(zhuǎn)移)和風(fēng)險(xiǎn)接受(管理層正式接受風(fēng)險(xiǎn)及其影響)等。建議組織在執(zhí)行過程中使用自動(dòng)化的工具跟蹤每一個(gè)風(fēng)險(xiǎn)的最終處理方法,以避免風(fēng)險(xiǎn)項(xiàng)被忽略和措施不到位的情況。
3、自上而下的管理決策
對于識(shí)別到的風(fēng)險(xiǎn),需要管理層投入資源進(jìn)行處理,在此看來自上而下的管理決策非常重要。atsec在風(fēng)險(xiǎn)評估管理過程中,會(huì)通過自動(dòng)化的工具列舉出來,然后需要組織的管理層首先進(jìn)行低級別風(fēng)險(xiǎn)的接受,最后將工作著眼于中、高級別風(fēng)險(xiǎn)整改措施的確定。
4、通過投入產(chǎn)出比指導(dǎo)安全措施的制定
在排除可接受的風(fēng)險(xiǎn)后,所剩余風(fēng)險(xiǎn)項(xiàng)的管理也是風(fēng)險(xiǎn)評估后期的難點(diǎn)之一。在此過程中,atsec推薦從投入產(chǎn)出比的角度考慮措施的制定。筆者認(rèn)為,在整個(gè)信息安全風(fēng)險(xiǎn)評估過程中所做出的努力不僅僅是一項(xiàng)時(shí)間、金錢和人員的投入,而是一項(xiàng)為組織避免由安全風(fēng)險(xiǎn)帶來更大安全損失的核心。能做到這個(gè)的關(guān)鍵一點(diǎn)是在風(fēng)險(xiǎn)整改措施的投入方面,應(yīng)至少要小于所避免的安全損失,這就要求借助于半定量化的指標(biāo)來指導(dǎo)安全措施的選擇,以達(dá)到最大的投入產(chǎn)出比。
在整個(gè)風(fēng)險(xiǎn)評估過程中,atsec采用的半定量化的方法和結(jié)果仍然可用于達(dá)到此目的。舉例來看,對于識(shí)別出的“應(yīng)用層XXX漏洞”的整改措施,則可以基于應(yīng)用的價(jià)值以及該漏洞的風(fēng)險(xiǎn)值確定該風(fēng)險(xiǎn)的損失值,而安裝WAF設(shè)備、使用商業(yè)應(yīng)用層漏洞掃描工具、使用開源工具進(jìn)行應(yīng)用掃描、由開發(fā)人員進(jìn)行安全代碼檢查等措施每個(gè)的投入也可以從工作量和設(shè)備投入角度進(jìn)行確認(rèn),這將使得最終的措施或措施組合為組織產(chǎn)生更大價(jià)值。
小結(jié):
對于風(fēng)險(xiǎn)評估這樣專業(yè)性很強(qiáng)的工作,建議組織從信息安全經(jīng)驗(yàn)和積累的角度出發(fā),選擇、借鑒并融合業(yè)界優(yōu)秀風(fēng)險(xiǎn)評估機(jī)構(gòu)的經(jīng)驗(yàn)和實(shí)踐,以最大化風(fēng)險(xiǎn)評估的收益。對于執(zhí)行策略,應(yīng)充分融合內(nèi)、外部資源,明智全面地覆蓋所有威脅,并通過執(zhí)行過程的自動(dòng)化和投入產(chǎn)出比的優(yōu)化,使風(fēng)險(xiǎn)評估工作真正地成為應(yīng)對各類風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)合規(guī)的利劍。
atsec是一家獨(dú)立且基于標(biāo)準(zhǔn)的IT(信息技術(shù))信息安全咨詢和評估服務(wù)公司,它充分結(jié)合了豐富的技術(shù)知識(shí)和國際經(jīng)驗(yàn),可以為組織提供具有商業(yè)導(dǎo)向的信息安全服務(wù)。atsec 利用其對安全保障、應(yīng)用和標(biāo)準(zhǔn)方面的豐富專業(yè)知識(shí),將協(xié)助組織建立完整的安全管理流程,進(jìn)而有效地管理安全風(fēng)險(xiǎn),改善數(shù)據(jù)和產(chǎn)品,以確保業(yè)務(wù)流程的可靠性。