0x00 考试提示
风险评估用来收集数据,风险分析对收集的数据进行研究,以确定应该采取什么行为。
0x01 风险管理
安全环境下的风险指的是破坏发生的可能性以及破坏发生后的衍生情况。
风险管理(Risk Management)是识别并评估风险,将风险降低至可接受级别并确保能维持这种级别的过程。
信息安全的主要风险:
- 物理破坏
Physical damage火灾、水灾、蓄意毁坏、停电和自然灾害。 - 人为破坏
Human interaction意外或有意行为或者可能降低生产效率的懒散工作态度。 - 设备故障
Equipment malfunction系统或外围设备故障。 - 内部与外部攻击
Inside and outside attacks黑客、破解和攻击行为。 - 数据误用
Misuse of data共享商业秘密、欺诈、间谍活动和盗窃。 - 数据丢失
Loss of data通过破坏性方法有意或无意地造成信息丢失。 - 应用程序
Application error错误计算错误、输入错误和缓冲区溢出。
NIST SP 800-39定义了三层风险管理:
- 组织层面,关注整个业务的风险,这意味着它会构建其余会话,并设置重要参数,如风险
容忍度。 - 业务流程层面,处理对组织的主要功能有是风险的,例如定义组织与其合作伙伴或客户之
问信息流的关键性。这是底层。 - 信息系统层面,从信息系统的角度解决风险。
信息系统风险管理策略
恰当的风险管理需要高级管理层的坚定承诺和一个文档化过程,这个过程为组织机构的使命、信息系统管理(ISRM)策略和委任的ISRM 团队提供支持。公司应该挑选一名成员来管理这个团队在大型组织内,这名成员应当使用50-70%的时间来处理风险管理工作。管理层必须投入资金对此成员进行必要的培训,为其提供风险分析工具,以确保风险管理工作的顺利进行。
风险管理过程
- 风险框架
Frame risk,定义了所有其他风险活动发生的背景。 - 评估风险
Assess risk,在采取任何行动降低风险之前,必须对风险进行评估。 - 响应风险
Respond to risk,为了应对风险,将有限的资源与优先级控制相匹配。 - 监控风险
Monitor risk,为领先于搞破坏的人,需要不断监控我们对风险设计的控制措施的有效性。
0x02 威胁建模
威胁建模:描述威胁源对资产可实施的不利影响的过程。
脆弱性
1、信息
信息系统中的核心信息对于潜在对于来说都是最有价值的资产
计算机信息系统(Computer Information System, CIS)中的信息被表示为数据。
数据的分类:
静态数据,内部人员把这些数据拷贝到U 盘,并提供给未授权人员,从而损害其机密性。传输中的数据,数据被网络上的外部人员进行拦截和修改,然后继续传送(称为中间人攻击),从而损害其完整性。使用中的数据,恶意进程利用"检查时间/使用时间(TOC / TOU)"或"竞争条件"漏洞来删除数据,从而损害其可用性。
2、进程Processes
进程漏洞可以被看成一种特定的软件漏洞。
3、人员
将人视为安全链中最薄弱的环节。
- 社会工程
Social engineering - 社交网络
Social networks - 密码
Passwords
威胁
不良事件的潜在原因,可能会对系统或组织造成损害。
威胁源分类:
- 恶意攻击者
- 内部人员
- 自然事件
攻击
构成威胁模型核心的三个重要组成部分
- 存在的漏洞
- 可行的攻击
- 有能力的威胁
术语攻击链和杀死链它们是指没有分支的特定类型的攻击树,只是从一个阶段或者动作到一个阶段。
攻击树更具表现力,因为它显示了攻击者可以完成每个目标的许多方法。
消减分析Reduction Analysis
攻击树本身也产生了被称为"消减分析"的技术。
- 减少我们必须考虑的攻击数量。以通过找到这些共同点来减少需要消减的条件数量。
- 减少攻击带来的威胁。当你实施减轻技术时,你越接近根节点,则你能使用一个控件来缓解来自叶子节点的攻击就越多。
0x03 风险评估和分析
风险评估(实际上是一种风险管理工具)方法能够识别脆弱性和威胁以及评估可能造成的损失,从而确定如何实现安全防护措施。对风险进行评估后,结果才可被分析。
风险分析有下列4个主要目标:
- 标识资产和它们对于组织的价值。
- 识别脆弱性和威胁。
- 量化潜在威胁的可能性及其对业务的影响。
- 在威胁的影响和对策的成本之间达到预算的平衡。
风险分析提供了一种成本/收益比cost/benefit comparison时,也就是用来保护公司免受威胁的防护措施的费用与预料中的损失所需要付出的代价之间的比值。
风险评估人员提出的正确问题
- 可能会发生哪些事件(威胁事件)?
- 潜在的影响(风险)是什么?
- 它们多久发生一次(频率)?
常见危险示例:
风险具有潜在损失(直接损失)和延迟损失(次生灾害)。
风险评估方法
NIST
- (1) 评估准备
- (2) 进行评估
a. 识别威胁源和事件
b. 识别威胁和诱发条件
c. 确定发生的可能性
d. 确定影响的大小
e. 确定风险 - (3) 沟通结果
- (4) 维持评估
NIST风险管理方法主要关注计算机系统和IT安全问题。它是一种只关注企业运营层面而不是较高战略层面的方法。
FRAP
便利的风险分析过程Facilitated Risk Analysis Process,这种定性方法的核心是只关注那些的确需要评估以降低成本和时间的系统。
OCTAVE
Operationally Critical Threat, Asset, and Vulnerability Evaluation操作性关键威胁、资产和脆弱性评估,这种方法专门为管理和指导公司内的信息安全风险评估的人员设计,它将组织内的工作人员放在权力位置,使其能够决定评估组织安全的最佳方式。
AS/NZS4360
采取了一种更广泛的方式来进行风险管理。这种方法从商业的角度而不是安全的角度来关注公司的健康情况。
ISO/IEC27005 是一个国际标准?规定在ISMS 框架内如何进行风险管理
FMEA
失效模式和影响分析Failure Modes and Effect Analysis是一种确定功能、标识功能失效并通过结构化过程评估失效原因和失效影响的方法。
CRAMM
中央计算和电信机构风险分析与管理方法。该方法分为3个不同的阶段:定义目标、评估风险和标识对策。
风险分析方法
风险分析具有定量和定性两种方法。
-
定量的风险分析会尝试为风险分析过程的所有元素都赋予具体的和有意义的数字。
最常用的公式是单一损失预期SLE和年度损失预期ALE资产价值*暴露因子=SLESLE*年发生比率=ALE
-
定性的风险分析不会呈现具体衡量的结果,只是给风险评级,如红、黄和绿。
定性分析技术包括判断、最佳实践、直觉和经验
收集数据的定性分析技术示例有Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访。
定性和定量的对比
定量方法的缺点
- 计算更复杂。管理层能够理解这些值是怎么计算出来的吗?
- 没有可供利用的自动化工具,这个过程完全需要手动完成。
- 需要做大量基础性工作,以收集与环境相关的详细信息。
- 没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。
定性方法的缺点
- 评估方法及结果相对主观。
- 无法为成本/收益分析建立货币价值。
- 使用主观衡量很难跟踪风险管理吕标。
- 没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。
保护机制
确定现行的安全机制并评估它们的有效性。风险分析团队必须评估防护措施的功能和有效性。
一项安全对策必须有很好的商业意义,这意味着该对策是非常合算的(收益大于成本)。这就需要另一种分析:成本/收益分析。
(实现防护措施前的ALE)-(实现防护措施后的ALE)-(防护措施每年的成本)=防护措施对公司的价值
总风险与剩余风险
安全工作永无止境
处理风险
处理风险的基本方式有四种:
- 转移
- 规避
- 缓解
- 接受
外包
可以外包功能,但不能外包风险。
0x04 风险管理框架
风险管理框架Risk Management Frameworks, RMF定义为一个结构化的流程,它允许组织识别和评估风险,将其降低到可接受的水平,并确保其保持在该水平。实质上,即RMF是风险管理的结构化方法。
常见框架:
- NI8T RMF(SP 800-37r1)
- ISO 31000:2009
- ISACA IT 风险
- COSO企业风险管理-集成的框架
RMF流量的六步骤
- (1) 信息系统的分类
- (2) 安全控制的选择
- (3) 安全控制的实现
- (4) 安全控制的评估
- (5) 信息系统的授权
- (6) 安全控制的监管
0x05 业务连续性与灾难恢复
作为安全专业人员,需要为意想不到的情况制定好各种计划。
- 灾难恢复的目标是尽量减少灾难或中断带来的影响。
- 灾难恢复计划的目标是在灾难发生之后,处理灾难及其后果
- 灾难恢复计划通常是以信息技术(IT)为核心的。
灾难恢复计划(Disaster Recovery Plan, DRP)是当一切事情仍处于紧急模式时实施的计划,其中每个人都争相让所有关键系统重新联机。
业务连续性规划(Business Continuity Plan,BCP)采取一个更广泛的解决问题的方法。它可以包括在计划实施中对原有设施进行修复的同时在另一个环境中恢复关键系统,使正确的人在这段时间内回到正确的位置,在不同的模式下执行业务直到常规条件恢复为止。它也涉及通过不同的渠道应对客户、合作伙伴和股东,直到一切都恢复到正
常
业务连续性管理(Business Continuity Managnent)BCM则是整体的管理过程,应该包括DRP和BCP。
标准和最佳实践
NIST SP 800-34
ISO/IEC 27031 :2011
Good Practice Guidelines, GPG,业务连续性协会的优秀实践指南,BCM的最佳实践
管理实践:
- 策略和程序管理
- 在组织文化中嵌入BCM
技术实践:
- 理解组织
- 确定BCM 战略
- 制定和实施BCM 响应
- 演练、维护和修订
DRI 国际协会的业务连续性规划人员专业实践最佳实践和框架
BCP项目管理
SWOT分析 代表优势/弱点/机会/威胁(Strengths/Weaknesses/Opportunities/τhreats) ,
- 优势 项目团队的特点,使其比其他团队具有更大优势。
- 弱点 相对于其他团队,使该团队处于不利地位的特征。
- 机会 可促使项目成功的元素
- 威胁 可促使项目失败的元素
业务影响分析(Business Impact Analysìs)被认为是一种功能性分析,在BIA 中, BCP 团队通过访谈、文献资料来源收集数据罗将企业业务功能、活动和交易等方面文档化,划分企业业务功能层次,最后制定一个分类方案来表示每一个单独功能的重要级别
公司可以容忍的中断时间指的是可承受的最长停机时间(Maximurn Tolerable Downtime,MTD)或者最长中断时间(Maximum Period Time of Disruption, MPTD)
MTD越短,有问题的功能的恢复优先级就越高。
- 非必需的 30天
- 普通 7天
- 重要 72小时
- 紧急 24小时
- 关键 几分钟到几小时
BCP策略主要包括范围、任务说明、原则、指南和标准。
0x06 人员安全
-
职责分离Separation of duties可以确保一项重要的任务不是由一个人独自完成。分离是一种预防性的管理控制,落实到位,可以减少潜在的欺诈。- 知识分割
- 双重控制
-
岗位轮换rotation of duties是管理检测控制,落实到位则可以发现欺诈活动。 -
强制休假mandatory vacation,在敏感领域工作的员工被强迫去度假,可以检测到欺诈性的错误或活动。 -
招聘实践,签订保密协议,背景调查。 -
解雇- 被解聘员工必须在一名经理或保安的监督下立即离开公司。
- 被解聘员工必须上交所有身份徽章或钥匙,要求完成离职谈话并返还公司的财物。
- 公司应立即禁用或修改被解聘员工的账户和密码。
-
安全意识培训- 组织应采用不同的方法来强化安全意识概念。
- 屏幕横幅、员工手册甚至海报都可以用于向雇员提醒他们的责任及良好安全实践的必要性。
-
学位或证书
0x07 安全治理
什么是治理?
对管理的管理就是治理!
安全治理是一个框架,它允许组织的安全目标由高级管理人员设置并传达出来, 通过在组织不同层面交流传达,授予需要实施和加强安全措施的实体权限,并且提供一种方法来验证这些必要的安全活动的执行。
0x08 道德
- 保护社会、公共利益,必要的公共信任和信心。
- 行为得体、诚实、公正、负责和遵守法律。
- 为委托人提供尽职的和胜任的服务工作。
- 发展和保护职业声誉。
