网络安全风险评估怎么开展
第 1 步:确定信息价值
大多数组织没有无限的信息风险管理预算,因此最好将您的范围限制在最关键的业务资产上。为了以后节省时间和金钱,请花一些时间来定义确定资产重要性的标准。大多数组织都包括资产价值、法律地位和业务重要性。一旦该标准正式纳入组织的信息风险管理政策,就可以使用它来将每项资产分类为关键、主要或次要资产。
第 2 步:确定资产并确定其优先级
第一步是确定要评估的资产并确定评估范围。这将使您能够确定要评估的资产的优先级。您可能不想对每个建筑物、员工、电子数据、商业机密、车辆和办公设备进行评估。并非所有资产都具有相同的价值。
您需要与业务用户和管理人员一起创建所有有价值资产的列表。对于每项资产,在适用的情况下收集软件、硬件、数据、界面、终端用户、支持个人、目的、危急程度、功能要求、信息技术安全政策、IT安全架构、网络拓扑结构、信息存储保护、信息流、技术安全控制、物理安全控制、环境安全信息。
第 3 步:识别网络威胁
网络威胁是指任何可被利用来破坏安全以造成伤害或从您的组织窃取数据的漏洞。虽然会想到黑客、恶意软件和其他 IT 安全风险,但还有许多其他威胁:
- 自然灾害:洪水、飓风、地震、闪电和火灾的破坏力不亚于任何网络攻击者。您不仅会丢失数据,还会丢失服务器。在内部部署服务器和基于云的服务器之间做出决定时,请考虑发生自然灾害的可能性。
- 系统故障:您最关键的系统是否在高质量设备上运行?他们有很好的支持吗?
- 人为错误:您的S3 存储桶是否正确配置了保存敏感信息的信息?您的组织是否接受过有关恶意软件、网络钓鱼和社会工程的适当教育?任何人都可能不小心点击恶意软件链接或将其凭据输入到网络钓鱼诈骗中。您需要有强大的 IT 安全控制,包括定期数据备份、密码管理器等。
- 对抗性威胁:第三方供应商、内部人员、受信任的内部人员、特权内部人员、成熟的黑客团体、特设团体、企业间谍、供应商、民族国家
影响每个组织的一些常见威胁包括:
- 未经授权的访问:来自攻击者、恶意软件、员工错误
- 授权用户滥用信息:通常是内部威胁,其中数据被更改、删除或未经批准使用
- 数据泄露:个人身份信息 (PII)和其他敏感数据,由攻击者或通过糟糕的云服务配置
- 数据丢失:组织丢失或意外删除数据作为备份或复制不良的一部分
- 服务中断:由于停机造成的收入损失或声誉损失
在确定组织面临的威胁后,您需要评估它们的影响。
第 4 步:识别漏洞
漏洞是威胁可以利用来破坏安全、损害您的组织或窃取敏感数据的弱点。通过漏洞分析、审计报告、美国国家标准与技术研究院 (NIST)漏洞数据库、供应商数据、事件响应团队和软件安全分析发现漏洞。
第 5 步:分析控制并实施新控制
分析现有的控制措施,以最大限度地减少或消除威胁或漏洞的可能性。控制可以通过技术手段实现,例如硬件或软件、加密、入侵检测机制、双因素身份验证、自动更新、持续数据泄漏检测,或通过非技术手段,例如安全策略和物理机制,例如锁或钥匙卡访问。
控制应分类为预防性或检测性控制。预防性控制尝试阻止加密、防病毒或持续安全监控等攻击,检测性控制尝试发现攻击何时发生,如持续数据暴露检测。
第 6 步:每年计算各种情景的可能性和影响
了解了信息价值、威胁、漏洞和控制措施,下一步是确定这些网络风险发生的可能性以及发生时的影响。
第 7 步:根据预防成本与信息价值对风险进行优先排序
以风险级别为基础,确定高级管理人员或其他负责人采取的措施以减轻风险。以下是一些准则:
- 高——尽快制定整改措施
- 中等 - 在合理的时间内制定的正确措施
- 低 - 决定是接受风险还是减轻风险
在已经确定了资产的价值以及您可以花多少钱来保护它的情况下,如果保护资产的成本超过其价值,则使用预防性控制来保护它可能没有意义。也就是说,请记住可能会产生声誉影响,而不仅仅是财务影响,因此将其考虑在内也很重要。
另外,请考虑组织政策、名誉受损、可行性、法规、 控制的有效性、安全、可靠性、组织对风险的态度、 对风险因素不确定性的容忍度、风险因素的组织权重等相关因素。
第 8 步:记录风险评估报告的结果
最后一步是制定风险评估报告,以支持管理层就预算、政策和程序做出决策。对于每个威胁,报告应描述风险、漏洞和价值。以及发生的影响和可能性以及控制建议。
在您完成此过程时,您将了解您的公司运营哪些基础架构、您最有价值的数据是什么,以及如何更好地运营和保护您的业务。然后,您可以创建风险评估策略,定义您的组织必须定期执行哪些操作来监控其安全状况、如何解决和减轻风险,以及您将如何执行下一个风险评估过程。