從網(wǎng)絡(luò)安全的角度來(lái)看,如今的組織正在一個(gè)高風(fēng)險(xiǎn)的世界中運(yùn)營(yíng)。這種情況下,擁有風(fēng)險(xiǎn)管理框架顯得至關(guān)重要,因?yàn)轱L(fēng)險(xiǎn)永遠(yuǎn)無(wú)法完全消除;它只能得到有效管理。企業(yè)評(píng)估和管理風(fēng)險(xiǎn)的能力變得前所未有得重要。
而選擇風(fēng)險(xiǎn)評(píng)估框架時(shí),最關(guān)鍵的考慮因素就是確保它“迎合目的”并最適合預(yù)期結(jié)果。此外,選擇廣為人知且易于理解的框架同樣有好處,它能夠確保框架的使用更加一致和有效,并允許組織內(nèi)的個(gè)人使用一致的語(yǔ)言。
組織可以利用風(fēng)險(xiǎn)評(píng)估框架來(lái)幫助指導(dǎo)安全和風(fēng)險(xiǎn)管理人員。以下是其中一些最突出的框架,每個(gè)框架都旨在解決特定的風(fēng)險(xiǎn)領(lǐng)域。
NIST風(fēng)險(xiǎn)管理框架
美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的風(fēng)險(xiǎn)管理框架(RiskManagementFramework,簡(jiǎn)稱RMF)提供了一個(gè)全面、可重復(fù)和可衡量的七步流程,組織可以用其管理信息安全和隱私風(fēng)險(xiǎn)。它還附帶一套NIST標(biāo)準(zhǔn)和指南,以支持風(fēng)險(xiǎn)管理計(jì)劃的實(shí)施,使其滿足聯(lián)邦信息安全現(xiàn)代化法案(FISMA)的合規(guī)要求。
據(jù)NIST稱,RMF提供了一個(gè)將安全、隱私和供應(yīng)鏈風(fēng)險(xiǎn)管理活動(dòng)集成到系統(tǒng)開發(fā)生命周期中的流程。它可以應(yīng)用于任何類型的系統(tǒng)或技術(shù),包括物聯(lián)網(wǎng)(IoT)和控制系統(tǒng),以及任何類型的企業(yè)組織——無(wú)論其規(guī)模或部門如何。NISTRMF的七個(gè)步驟為:
準(zhǔn)備,包括使組織準(zhǔn)備好管理安全和隱私風(fēng)險(xiǎn)的必要活動(dòng);
分類,包括分類系統(tǒng)和基于影響分析處理、存儲(chǔ)和傳輸?shù)男畔?
選擇,即根據(jù)風(fēng)險(xiǎn)評(píng)估選擇一組NISTSP800-53控制來(lái)保護(hù)系統(tǒng);
實(shí)施,部署控制系統(tǒng)并記錄它們的部署方式;
評(píng)估,確定控制系統(tǒng)是否到位,是否按預(yù)期運(yùn)行,并產(chǎn)生預(yù)期的結(jié)果;
授權(quán),高級(jí)管理人員做出基于風(fēng)險(xiǎn)的決定來(lái)授權(quán)系統(tǒng)運(yùn)行;
監(jiān)控,包括持續(xù)監(jiān)控控制系統(tǒng)的實(shí)施和系統(tǒng)風(fēng)險(xiǎn)。
NISTRMF可以根據(jù)企業(yè)組織需求進(jìn)行定制,且經(jīng)常能夠得到評(píng)估和更新,許多工具支持該標(biāo)準(zhǔn)。IT專業(yè)人員在部署NISTRMF時(shí)要明白,它不是一個(gè)自動(dòng)化工具,而是一個(gè)需要嚴(yán)格遵守紀(jì)律以正確建模風(fēng)險(xiǎn)的文件化框架,這一點(diǎn)至關(guān)重要。
目前,NIST已經(jīng)出版了一些易于理解且適用于大多數(shù)組織的風(fēng)險(xiǎn)相關(guān)出版物。這些參考資料提供了一個(gè)整合安全、隱私和網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理活動(dòng)的流程,有助于控制選擇和政策制定。
OCTAVE
運(yùn)營(yíng)關(guān)鍵威脅、資產(chǎn)和漏洞評(píng)估(OCTAVE)由卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急小組(CERT)開發(fā),是用于識(shí)別和管理信息安全風(fēng)險(xiǎn)的框架。它定義了一種綜合評(píng)估方法,允許組織識(shí)別對(duì)其目標(biāo)很重要的信息資產(chǎn)、對(duì)這些資產(chǎn)的威脅以及可能使這些資產(chǎn)面臨威脅的漏洞。
通過(guò)將信息資產(chǎn)、威脅和漏洞結(jié)合在一起,組織能夠全面了解哪些信息面臨風(fēng)險(xiǎn)。而有了這種理解,他們就可以設(shè)計(jì)和部署策略來(lái)降低信息資產(chǎn)的整體風(fēng)險(xiǎn)敞口。
目前,有兩個(gè)版本的OCTAVE。一個(gè)是OCTAVE-S,這是一種簡(jiǎn)化方法,專為具有扁平層次結(jié)構(gòu)的小型企業(yè)組織而設(shè)計(jì)。另一個(gè)是OCTAVEAllegro,這是一個(gè)更全面的框架,適用于大型或結(jié)構(gòu)復(fù)雜的企業(yè)組織。
可以說(shuō),OCTAVE是一個(gè)精心設(shè)計(jì)的風(fēng)險(xiǎn)評(píng)估框架,因?yàn)樗鼜奈锢怼⒓夹g(shù)和人力資源的角度來(lái)看待安全。它可以識(shí)別對(duì)任何組織而言都是關(guān)鍵任務(wù)的資產(chǎn),并發(fā)現(xiàn)威脅和漏洞。但是,部署起來(lái)可能非常復(fù)雜,而且只能通過(guò)定性方法進(jìn)行量化。
不過(guò),這種框架的靈活性允許運(yùn)營(yíng)團(tuán)隊(duì)和IT團(tuán)隊(duì)一起協(xié)作來(lái)解決企業(yè)組織的安全需求。
COBIT
來(lái)自ISACA(國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì))的“信息和相關(guān)技術(shù)的控制目標(biāo)”(COBIT)是IT管理和治理的框架。它旨在以業(yè)務(wù)為中心,并為IT管理定義了一組通用流程。每個(gè)流程都融合了流程輸入和輸出、關(guān)鍵活動(dòng)、目標(biāo)、績(jī)效度量和基本成熟度模型等因素。
據(jù)ISACA稱,最新版本的COBIT2019提供了更多的實(shí)施資源、實(shí)踐指導(dǎo)和見解,以及全面的培訓(xùn)機(jī)會(huì),其實(shí)施更加靈活,使組織能夠通過(guò)框架定制他們的治理過(guò)程。
COBIT是與IT管理流程和政策執(zhí)行相一致的高級(jí)框架。不過(guò),挑戰(zhàn)在于COBIT成本高昂,并且需要具備很高的知識(shí)和技能才能實(shí)施。
該框架是解決企業(yè)組織信息和技術(shù)治理和管理的唯一模型。雖然COBIT的主要目的不是專門針對(duì)風(fēng)險(xiǎn),但它在整個(gè)框架中整合了多種風(fēng)險(xiǎn)實(shí)踐,并引用了多個(gè)全球公認(rèn)的風(fēng)險(xiǎn)框架。
TARA
據(jù)非營(yíng)利組織MITRE(從事包括網(wǎng)絡(luò)安全在內(nèi)的技術(shù)領(lǐng)域研究和開發(fā))稱,威脅評(píng)估和補(bǔ)救分析(TARA)是一種工程方法,用于識(shí)別和評(píng)估網(wǎng)絡(luò)安全漏洞并部署對(duì)策來(lái)緩解它們。
該框架是MITRE系統(tǒng)安全工程(SSE)實(shí)踐組合的一部分。MITRE表示,“TARA評(píng)估方法可以被描述為聯(lián)合交易研究,其中第一個(gè)交易是基于評(píng)估的風(fēng)險(xiǎn)識(shí)別和排列攻擊向量,第二個(gè)交易是基于評(píng)估的效用、成本識(shí)別和選擇對(duì)策。”
該方法的獨(dú)特之處包括使用目錄存儲(chǔ)的緩解映射,為給定的攻擊向量范圍預(yù)先選擇可能的對(duì)策,以及提供基于風(fēng)險(xiǎn)容忍度的對(duì)策策略。
TARA是一種在考慮緩解措施的同時(shí)確定關(guān)鍵風(fēng)險(xiǎn)的實(shí)用方法,并且可以增強(qiáng)正式的風(fēng)險(xiǎn)方法以包含有關(guān)攻擊者的重要信息,這些信息可以改善風(fēng)險(xiǎn)狀況。
FAIR
信息風(fēng)險(xiǎn)因素分析(FAIR)是對(duì)導(dǎo)致風(fēng)險(xiǎn)的因素以及它們?nèi)绾蜗嗷ビ绊懙姆诸惙āT摽蚣苡蒒ationwideMutualInsurance前首席信息安全官JackJones開發(fā),主要為數(shù)據(jù)丟失事件的頻率和幅度建立準(zhǔn)確的概率。
FAIR不是執(zhí)行企業(yè)或個(gè)人風(fēng)險(xiǎn)評(píng)估的方法。但它為組織提供了一種理解、分析和衡量信息風(fēng)險(xiǎn)的方法。該框架的組成部分包括信息風(fēng)險(xiǎn)分類法、信息風(fēng)險(xiǎn)術(shù)語(yǔ)的標(biāo)準(zhǔn)化命名法、建立數(shù)據(jù)收集標(biāo)準(zhǔn)的方法、風(fēng)險(xiǎn)因素的度量尺度、評(píng)估風(fēng)險(xiǎn)的計(jì)算引擎以及分析復(fù)雜風(fēng)險(xiǎn)情景的模型。
FAIR是為信息安全和運(yùn)營(yíng)風(fēng)險(xiǎn)提供可靠量化模型的少數(shù)方法之一。這種務(wù)實(shí)的風(fēng)險(xiǎn)框架為評(píng)估任何企業(yè)的風(fēng)險(xiǎn)提供了堅(jiān)實(shí)基礎(chǔ)。不過(guò),雖然FAIR提供了威脅、漏洞和風(fēng)險(xiǎn)的全面定義,但它卻沒有很好的記錄,因此很難實(shí)施。
與其他風(fēng)險(xiǎn)框架不同的是,F(xiàn)AIR的重點(diǎn)是將風(fēng)險(xiǎn)量化為實(shí)際美元,而不是傳統(tǒng)的“高、中、低”評(píng)分。這一點(diǎn)也正在獲得高級(jí)領(lǐng)導(dǎo)者和董事會(huì)成員的關(guān)注,通過(guò)有意義的方式更好地量化風(fēng)險(xiǎn),從而實(shí)現(xiàn)更深思熟慮的業(yè)務(wù)討論。
本文翻譯自:https://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html
