风险评估架构,终于让风险露脸了!
风险评估架构,终于让风险露脸了!
原创 晓兵Jason 锐安全 2025-02-22 15:24
本文
2109
字,阅读时长
8
分钟
指给你我看到的远方,助力你走得更远
经过前几周的铺垫,今天,终于让风险有了一个清晰的样子。
在信息泛滥和摊平的今天,其实我们越来越需要“知识蒸馏”工程,把知识用认知的框架再压缩一次。
每一次信息平权,其实都是更高维度的信息霸权。
来,咱们一起掌握新的“信息霸权”。
【1】风险要素
什么是风险?
风险就是威胁利用资产的脆弱性使这些资产损失或破坏的可能性。
什么是风险管理?
就是识别出风险要素、对风险要素进行赋值,然后进行风险评估的过程。
图:风险管理
什么是风险要素?
威胁
(Threat)
、资产(
Asset
)、业务(
Business
)和脆弱性
(Vulnerability)
。
当然,在国家标准里,其实是把“业务”当成“资产”的一部分,只是业务过去大家都忽略了,所以这里重点提出来。
那么,什么是风险评估呢?
【2】风险评估实施流程
这里有一个风险评估的实施流程:
图:实施流程
就是通过沟通与协商、评估准备,然后进行风险识别、风险分析和风险评价,最终输出评估过程文档的过程。
像国家标准这种多人协同文档,其实是把每个人的小逻辑最终变成一个大逻辑,很多内容难免有冲突、嵌套和新的创意。
所以,我把所有内容基于这个框架展开,就形成了下面的风险评估架构。
【3】风险评估架构
图:锐安全风险评估架构
基于这一张架构图,你心里就建立起了风险完整的样子,从今天起,你再不用担心讲不清楚风险是什么了。
更重要的是,当有了这样一张基本图,如果再有其它风险理论,有了新的想法和新的要素,我们就在这张图上再进行迭代,你就形成了一张真正的“风险全景图”。
就像霍金的“
M
理论”试图统一“相对论”和“量子力学”一样,全景图可以在更高的维度上建立新的“风险共识”。
风险评估架构图有七个要素:沟通协商与评估准备、风险评估全周期、风险评估文档,然后就是把风险评估过程拆解成了四个阶段:风险识别、风险分析、风险评估和风险评价。
除了“沟通协商与评估准备”没啥实质内容外,其它要素咱们再串一下。
【4】风险评估全生命周期
我们听过数据安全的全生命周期(
DSMM
,
Data Security Capability Maturity Model
):数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁。
图:数据安全成熟度
DSMM
有了这样一个框架,你就可以沿着这个链接进行数据安全的分析和建模。
我们也听过开发全生命周期(
SDL
,
Security Development Lifecycle
):培训(
Training
)、需求分析(
Requirements
)、设计(
Design
)、实现(
Implementation
)、验证(
Verification
)、发布(
Release
)、响应(
Response
)。
今天,我们看到了风险评估全生命周期的六个阶段
:
规划阶段、设计阶段、实施阶段、交付阶段、运行阶段、废弃阶段。
【5】风险识别
风险识别其实就是:资产识别、威胁识别、已有安全措施识别和脆弱性识别。
资产识别分为:业务识别、系统资产识别、系统组织和单元资产识别三部分。并通过五方面对资产进行赋值:业务重要性、资产保密性、资产完整性、资产可用性、业务承载性。
威胁识别是识别威胁的来源、主体、种类、动机、时机和频率。
已有安全措施识别分为:预防性安全措施识别和保护性安全措施识别。
脆弱性识别分为:技术脆弱性和管理脆弱性两大部分。
图:脆弱性识别
【6】风险分析
风险分析是对风险进行“定量”的重要一环,有四个指标:安全事件发生的可能性、安全事件发生后的损失、系统资产风险值、业务风险值。
1.计算安全事件发生的可能性
安全事件发生的可能性
=L[
威胁赋值
,
脆弱性被利用难易程度
]=L(T,Av)
。
2.计算安全事件发生后的损失
安全事件造成的损失
=F[
资产价值
,
影响程度
]=F(Vc,Di)
。
安全事件的发生造成的损失不仅仅是针对该资产本身
,
还可能影响业务的连续性
;
不同安全事件的发生对组织造成的影响也是不一样的。
3.计算系统资产风险值
风险值
=R[
安全事件发生的可能性
,
安全事件造成的损失
]=R(L(T,Av),F(Vc,Di))
。
4.计算业务风险值
业务风险值
=Rb[
系统资产风险值
,
系统资产风险值
,
…
,
系统资产风险值
]=Rb(RA1,RA2,
…,
RAn)
。
【7】风险评估(标准与工具)
风险评估讲了目前主流的四个参考标准:
GB/T 31509
、
NIST SP 800-30
、
ISO/IEC 27005
、
ISO/IEC 13335
。
讲了三大工具:风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具(情报)。
其中风险评估与管理工具包括:基于风险评估标准的工具(标准)、基于知识的工具(最佳实践)、基于模型的工具(算法)。
系统基础平台风险评估工具包括:脆弱性扫描工具、渗透测试工具、代码审计工具、
APP
安全测试工具、工控安全工具、机房检测工具。
风险评估辅助工具(情报)包括: 国家漏洞库、基线检查工具、网络入侵检测工具、态势感知系统、网络审计工具、资产发现工具、资产管理工具、机房检测工具、评估指标库。
有了这些工具作为评估依据和手段,就可以对风险进行“定性”评价了。
【8】风险评价
风险评价包括两部分:系统资产风险评价、业务风险评价。
这两个分类非常重要,因为它是
IT
视角和业务视角的整合视野。
最后就是输出风险评估文档了,这个是甲方工作最重要的一环,而往往是安全厂商最忽略的一环,因为这里面全是责任,没有利润。
【9】风险评估文档
风险评估文档包括
9
类文档:风险评估方案、资产识别清单、重要资产清单、威胁列表、已有安全措施列表、脆弱性列表、风险列表、风险评估报告、风险评估记录。
这
9
类文档,我知道过去你没有,但是,未来应该有。
因为在“安全度量”还没有形成行业共识的今天,这些是你“安全价值”的体现。
如果你是甲方的安全负责人,如果你没有更好的方法论,用这个架构把你的安全建设工作装进去,其实还是一个挺不错的主意。
注:如果你想获得本文及《安全到底》栏目近期或未来文章中插图的原始PPT版本,以方便修改成自己的版本,请看:【付费阅读:《风险建模:全新安全思考与建设规划指南》源PPT,持续更新中……】,目前已经更新到V1.5版本。
| 恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见! |
欢迎来到安全的大航海时代!
如果对我描述的安全世界感兴趣,可以翻
翻我为你写的一本书,悄悄超过80%的人
:
点击文末【阅读原文
】,
看到一个完整的安全系统
end
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
参考资料:
[1]
GB
∕
T 19715.1-2005
信息技术信息技术安全管理指南第
1
部分:信息技术安全概念和模型
[2]
GB
∕
T 20984-2007
信息安全技术
信息安全风险评估规范
[3]
GB
∕
T 20984-2022
信息安全技术 信息安全风险评估方法
题图:风险架构重试重试
题图创作者:晓兵与AI小助手算法提供:FLUX&SD3.5