近日,CYE发布《网络风险评估分步指南》,主要从合规性驱动、威胁建模和攻击路线分析三个方面进行了探索和研究,并给出了企业可落地实施的指引步骤参考,期望以此为更多企业进行网络风险评估给予支持,以下为《指南》具体内容。
为什么要进行网络风险评估?
如今,IT 安全专家面临各种重大威胁,从勒索软件、网络钓鱼,到对基础设施的攻击,再到对知识产权、客户数据的窃取;从不安全的供应链合作伙伴,再到组织内部人员的恶意行为。同时,随着云计算、远程工作、移动设备和其他创新技术的诞生,各种新威胁、新挑战层出不穷,IT 安全专家面临削减开支和安全投资的压力。
因此,首席信息官和首席信息安全官必须充分利用有限资源来保护组织,而网络风险评估就是最有效的工具之一。风险评估用于识别、估计和确定组织运营风险的优先级......组织资产、个人、其他组织和国家因运作和使用信息系统而面临的风险。
网络风险评估的功能:
•明确组织网络威胁优先级
•识别现有防御中的漏洞
•评估其 IT 和 OT 安全计划的成熟度
•更好地向非技术主管传达风险
•确定安全控制投资优先级
•制定路线图以改进安全计划
网络风险评估还为网络风险量化奠定了基础,首席信息官和首席信息安全官可以通过量化数据来证明安全投资的合理性并适时调整其风险管理策略。
该报告概述了三种主要的网络风险评估方法并进一步介绍了评估步骤,为安全领导者提供一定见解和建议。
网络风险评估的三种方法
三种主要方法分别为合规性驱动、威胁建模和攻击路线分析,虽然都涉及了解组织的安全状况和合规性要求、收集相关威胁、漏洞和资产数据、对潜在攻击进行建模及确定缓解操作优先级,但在评估重点和结果方面存在巨大差异。
方法 1:合规性驱动
合规性驱动侧重于将组织的安全控制与网络安全和监管框架中指定的要求进行比较,包括美国国家标准与技术研究院 (NIST)、ISO/IEC、支付卡行业安全标准委员会或欧盟等发布的各类要求,甚至提供有关如何进行网络风险评估的指导(例如,NIST SP 800-30 和 ISO/IEC 27005)。
这些框架作为组织合规活动和基本安全准则具有一定积极作用,但其“一刀切”、缺乏(或忽略)重要领域详细信息(例如云安全性和安全编码实践等)的缺点,有时会导致组织内部员工滋生一种“打勾”心理,即安全团队快速修复各种漏洞,即使它们对组织没有重大风险。
方法 2:威胁建模
威胁建模首先需要编制组织主要威胁、系统和网络中的漏洞以及基础设施和信息资产的全面列表,这些信息主要通过调查问卷、与IT和业务经理的访谈以及漏洞扫描获得。之后,根据攻击概率、漏洞严重性、现有控件的弱点、资产价值以及数据泄露和业务中断等安全事件的影响程度及范围进行建模。最后,协助安全团队选择最能降低风险的修正操作。
基于广泛威胁进行建模的网络风险评估方法可生成对潜在威胁和现有控制措施差距的详细的见解,其结果可确定组织面临的最大风险,并帮助组织确定修正操作的优先级。
但是,这种方法需要员工投入大量时间来编制列表、完成问卷调查、进行访谈、收集数据、估计概率以及为威胁和漏洞的长目录进行建模,分析阶段需要耗费数周或数月才能完成,届时大部分分析结果可能已经过时。
方法3:攻击路径分析
攻击路线分析首先需要收集有关可能的威胁和关键资产的信息,但不依靠清单、问卷调查和访谈,而是立足于真正攻击者的技术和思维过程,发现和利用现有漏洞,探索组织的内部环境,并制定一系列的策略来接触关键业务资产。
通过该方法收集的信息使安全团队能够构建可能的威胁和关键资产之间的攻击路径图,这些路径是威胁参与者获得关键资产可能采取的主要路径,包括存在漏洞的系统、网络和云平台,甚至包括阻止攻击的安全控制等。
安全团队可以使用攻击路径图对那些真正危险的攻击进行建模,还可以降低绝大多数漏洞的优先级,这些漏洞要么不在关键资产的攻击路线上,要么位于被现有控件阻止的攻击路线上。
该图还有助于确定最有效的修正选项,可以通过删除路径中的所有漏洞或部署安全控制来消除攻击路由。只需稍加分析,安全团队就可以快速确定最具成本效益的缓解措施,以保护特定资产。
攻击路由分析方法还提高了与非技术经理的沟通效率,通过示意图就可以明确威胁如何运作以到达关键资产,以及如何通过删除漏洞或添加控件来消除威胁。但为实现最大收益,组织必须定期重新审查评估,以便能够解决第一轮建模中未涵盖的新威胁和中等优先级漏洞。
进行网络风险评估的相关步骤
进行网络风险评估的分步计划适用于上述所有三种方法,但详细阐述了一些特定于攻击路径分析的活动。
第 1 步:了解组织的安全状况和合规性要求
网络风险评估的第一步是广泛了解组织的安全状况和合规性要求,如汇编有关组织的信息:
• 业务运营、目标和主要挑战
• 合规性要求和安全策略
• 信息系统的结构和使用
• 现有的网络安全控制、流程、工具和治理
• 关键业务资产和技术,包括应用程序、机密数据、知识产权、员工和客户凭证、网络、数据中心、云服务器务以及用户设备。
通常,以上信息是通过调查问卷、与 IT 和业务经理的访谈以及现有文档收集。
为了避免陷入过多的细节,在这一步中使用的方法应该是“广泛但不深入”。换句话说,评估团队应该获得组织关键业务和IT流程的完整图片,但不要深入清点每个数据中心服务器或信息资产。
在对组织的安全态势有了广泛了解后,安全团队的初步评估目标可能会放在一个关键业务部门、地理区域或安全领域上。
第 2 步:识别威胁
在评估小组调查了组织的业务运作、信息系统、安全控制和关键业务资产后,下一步是确定主要威胁并评估它们影响组织的概率。
该团队应该掌握所有可能攻击组织的威胁参与者、其动机和目标。例如:
• 在暗网上转售的信用卡信息
• 加密数据库以勒索钱财的勒索软件团伙
• 试图窃取知识产权或重要研究成果的竞争对手
• 内部员工的恶意行为
• 供应商系统漏洞
• 国际冲突
在收集有关威胁的信息时,评估团队应与业务经理合作,评估每种类型攻击组织的概率。
显然,相关威胁和概率将因组织的行业、地理位置、商业模式和许多其他因素而大不相同。因此,评估团队应该以开放的心态处理这项任务,从各种渠道征求意见,而不是严重依赖“一刀切”的模板。
第3步:识别漏洞并绘制攻击路线图
一旦确定了最有可能影响组织的威胁,评估团队就可以收集有关漏洞的信息,并绘制访问高价值资产的攻击路线。
识别漏洞
在这种情况下,“漏洞”包括攻击者可以利用的所有类型的网络安全弱点,包括具有安全漏洞的软件和硬件、配置错误的系统、错误的安全流程和未经培训的员工。想要找到这些漏洞需要:
•与IT安全和支持人员面谈
•自动网络和端点扫描程序
•红队和渗透测试
绘制攻击路线地图
之后,评估团队可以从最关键的威胁和最高价值的资产开始,并绘制它们之间的攻击路径(请参阅下面的示例)。如前所述,攻击路由是跨系统、网络和平台的路径,威胁参与者可以利用这些漏洞来获取高价值资产。攻击路由图也可以显示阻止攻击的现有安全控制。
攻击路线图简化示例
绘制过程本质上是将攻击者的TTP(战术、技术和程序)知识与组织的信息系统结构、已识别的漏洞和安全控制相结合,以理清哪些资产会受到损失或损害。
攻击路线图使评估团队能够:
• 对不在关键资产攻击路径上的漏洞进行优先级排序
• 对被现有控件阻挡的攻击路线进行优先级排序
• 记录可能影响特定资产的漏洞和攻击操作的组合
• 突出显示敏感和高风险区域并将事件检测工具集中在这些区域
• 形成技术漏洞到特定业务风险和可能后果的“连接点”
第4步:模拟攻击后果
在确定了漏洞、绘制了攻击路线后,评估团队可以专注于对最有可能的攻击后果进行建模,该分析应记录每个攻击的类型:
• 存在风险的资产(应用程序、系统和数据)
• 资产的暴露程度(对互联网开放、在限制区域、在公共网络平台上等)
• 攻击的难度(所需的专业知识量、暗网上可用的脚本和工具等)
• 可能的后果,例如:
° 收入损失
° 生产力损失
° 知识产权丢失
° 未能履行合同义务
° 数据泄露的通知费用
° 违反相关安全和隐私的监管罚款
° 补救费用
° 损害组织的声誉和市场地位
这种建模也将有助于重新确定威胁和增加评估深度,如攻击概率和控制差距等。
第 5 步:确定缓解方案的优先级
通过清楚地了解风险、攻击途径和后果,评估团队现在可以确定缓解方案的优先级。缓解方法包括:
• 修补或升级易受攻击的软件和硬件
• 修复错误配置和强化设备
• 分段网络并限制对资产的访问
• 增加安全控制(防火墙、入侵防御系统、端点检测和响应、数据加密等)
• 制定更强大的安全策略并加强对员工和IT人员的培训
缓解措施对于那些访问高价值资产的攻击路线且没有得到有效安全控制保护的高概率攻击极为重要。
另一个方法是为每条攻击路线确定成本最低、工作量最小的缓解方案。例如,修复一台服务器上的错误配置或加强对数据库的访问,这种方案可能与重新配置网络或投资昂贵的数据监控产品产生相同的效果。
评估团队还可以使用攻击路由图来可视化攻击中使用的漏洞链,并选择最容易消除或用控制手段缓解的漏洞。
持续评估和网络风险量化
评估过程
网络风险评估是一个过程,第一轮的信息收集和分析可能会产生许多的高优先级缓解建议,但组织无法在短时间内实施。因此,评估团队组应先将这些建议分成几个阶段,并创建一个路线图,说明如何分阶段加强组织的安全态势。之后,评估团队可以持续跟踪、衡量和量化网络安全性能,并随着时间的推移提高方案弹性。
此外,应定期审查评估以解决以下问题:
•新出现的威胁
•业务变更
•组织技术、IT 架构和安全控制方面的变化
风险评估和风险管理不是一次性的,而是作为识别风险、制定解决计划、根据这些计划采取行动以及监控行动结果的循环重复的连续过程。
网络风险量化
网络风险评估为网络风险量化奠定了基础,也是CIO和 CISO用来证明安全投资和调整风险管理策略的有力工具。
网络风险评估可帮助组织识别重要威胁、高价值资产、攻击途径、安全漏洞以及高优先级补救方案。网络风险量化建立在评估的基础上,使组织能够对攻击的后果和缓解方案估计出具体的货币价值。这有助于CIO和 CISO:
• 通过计算资金或投资回报率来证明安全投资的合理性
• 微调缓解方案的优先级和顺序
• 评估缓解的替代方案,例如接受风险、将风险转移给其他方或支付网络保险费用
• 以首席执行官和董事会能够理解的方式量化组织安全状况随时间推移的改进情况
京公网安备 11010802033237号
