比较风险管理的方法
很多组织都被通过响应一个相对较小的安全事件引入安全风险管理。 例如,一名员工的计算机感染了病毒,担任办公室经理的内部电脑专家必须指出如何根除病毒而不破坏计算机或计算机存储的数据。 无论最初的事件是什么,随着越来越多与安全有关的问题出现并开始影响业务,很多组织对响应一个接一个的危机感到灰心丧气。 他们需要一个这种反应性方法的替代方法,一种寻求减少第一次发生安全事件可能性的方法。 有效管理风险的组织发展了更有前瞻性的方法,但是随着您对本章的学习,此方法只是解决方案的一部分。
反应性方法
现在,很多信息技术 (IT) 专业人员对在尽量方便用户的情况下迅速完成他们的任务倍感压力。 当一个安全事件发生时,很多 IT 专业人员感到唯一有时间做的事情是遏制情形,指出发生了什么事情,并尽可能快地修复受影响的系统。 有些会试图确定根本原因,但是对于那些在极端资源限制条件下的人而言,这似乎是一种奢望。 尽管反应性方法可以是一种对已经被利用并转换为安全事件的安全风险的有效技术响应,使反应性方法具有一定程度的严密性可帮助所有类型的组织更好地利用他们的资源。
最近的安全事件可帮助组织预测将来的问题并做好准备工作。 这意味着如果组织以一种平静且理性的方式来响应安全事件,并且确定允许事件发生的根本原因,则能够更好地保护组织在将来不受类似问题的伤害,并且能更快地响应可能出现的其他问题。
深入检查事件响应超出了本指南的范围,响应安全事件时遵循六个步骤可帮助您快速而有效地进行管理:
-
保护人身安全。 总是应该首先保证这一点。 例如,如果受影响的计算机包括生命支持系统,关闭计算机可能并不是一种选择;也许您能通过重新配置路由器和交换机而不中断生命支持系统帮助病人的能力,从而合乎逻辑地隔离网络上的系统。
-
遏制损害。 遏制攻击造成的损害有助于遏制其他损害。 快速保护重要的数据、软件和硬件。 最大程度地减少计算机应用资源的中断是一个重要的考虑因素,但是在攻击期间保持系统运行可能会导致长期运行时更为广泛传播的问题。 例如,如果您的环境感染了蠕虫病毒,您可以通过断开服务器与网络的连接来遏制损害。 但是,有时断开服务器可能导致更大损害而无益。 请使用您最好的判断力及对自己网络与系统的了解做出此决定。 如果您确定没有副作用,或措施的正面效果超过了负面效果,在安全事件期间应通过从网络断开受影响的系统尽快开始实施遏制措施。 如果不能通过隔离服务器来遏制损害,确保您积极监视攻击者的行动以便能够尽可能快地消除损害。 在任何事件中,确保在关闭任何服务器之前保存所有日志文件,以保留这些文件所含的信息,作为以后您(或您的律师)需要的证据。
-
评估损害。 立即制作受到攻击的任何服务器中硬盘的副本,并将这些副本另放他处以便以后鉴定时使用。 然后评估损害。 您应在遏制情形并复制硬盘后尽快确定攻击造成的损害程度。 这非常重要,这样您便可以尽快恢复组织的运作,同时保留硬盘的副本以便进行调查。 如果不能及时评估损害,应当实施应变计划,以便可以维持正常的业务运营和工作效率。 在此时,组织可能想对事件实施法律行动;但是,您应当在事件发生前与有权管辖组织业务的法律实施机构建立并维护工作关系,这样便可在发生严重问题时知道向谁联系及如何与他们协同工作。 您也应当立即通知您的法律部门,这样他们便可确定是否可以因损害而向肇事者提起民事诉讼。
-
确定损害原因。 为了确定攻击的起源,必须弄清此次攻击瞄准的是哪些资源,以及它是通过什么安全漏洞来获得访问权或中断服务的。 在直接受影响的系统以及向系统传输数据流量的网络设备上检查系统配置、修补程序级别、系统日志和审核记录。 这些检查通常有助于发现攻击源于系统中的哪一位置以及还有其他哪些资源受到了影响。 您应在适当计算机系统上执行此操作,而不是在第 3 步中建立的备份驱动器上。 必须使那些驱动器保持为未经使用状态以便进行鉴定,这样执法部门或您律师可用这些驱动器来跟踪攻击者并将其绳之以法。 如果您需要建立一个用于测试的备份以确定损害原因,请从原来的系统建立第二个备份,并且使第 3 步中建立的驱动器保持为未经使用状态。
-
修复损坏部分。 在多数情况下,非常重要的是要尽快修复损坏部分,以便恢复正常的业务运营,并修复攻击期间丢失的数据。 组织的业务连续性计划和步骤应包括此恢复策略。 还应有事件响应小组来处理修复和恢复过程,或向负责小组提供恢复过程指导。 在恢复期间,需要执行应急步骤以遏制损害的扩展并将损害隔离起来。 将修复后的系统投入服务后,请通过确保已解决在事件发生期间被利用的任何漏洞,使系统不会立即被重新感染。
-
审查响应和更新策略。 在文档制作和恢复阶段完成之后,应全面审查整个流程。 与小组成员一起讨论哪些步骤成功了,以及出现了哪些疏漏。 基本在任何情况下,您都会发现整个过程总是存在需要修改的地方。只有不断完善,才能更好地应对将来可能发生的事件。 您将不可避免地发现您的事件响应计划中存在弱点。 这是这种事后方法的关键 — 您正在寻求改善的机会。 任何缺陷将推动另一轮事件-响应规划流程,这样您便可更加顺畅地处理将来的事件。
此方法如下图所示:
前瞻性方法
与反应性方法相比,前瞻性安全风险管理有很多优点。 与等待坏事情发生然后再做出响应不同,前瞻性方法首先最大程度地降低坏事情发生的可能性。 您制定计划,通过实施控制来保护组织的重要资产,这些控制减少被恶意软件、攻击者或偶然误用等利用漏洞的风险。 可用类推来帮助说明此观点。 流行性感冒是一种致命的呼吸道疾病,美国每年都会有数以百万计的感染者。 这些感染者中,至少有 100,000 人必须入院治疗,并且约有 36,000 人死亡。 您可能会选择通过等待以确定您是否受到感染,如果确实受到感染,则采用服药治疗这种方式来治疗疾病。 此外,您也可以选择在流行性感冒病发季节开始之前接种疫苗。
当然,组织不应完全放弃事件响应。 一个有效的前瞻性方法可帮助组织显著减少将来发生安全事件的数量,但是似乎此类问题并不会完全消失。 因此,组织应继续改善他们的事件响应流程,同时制定长期的前瞻性方法。
本章的后续部分以及本指南的剩余章节将详细介绍前瞻性风险管理。 每种安全风险管理方法共用某些常见的高级过程:
-
确定企业资产。
-
确定对某项资产的攻击会对组织造成什么损害。
-
确定攻击可利用的安全漏洞。
-
确定如何通过实施适当的控制措施最大程度地减少攻击的风险。
确定风险优先级的方法
术语风险管理和风险评估在本指南中频繁使用,但是尽管两者之间有关系,却并不能互换。 Microsoft 安全风险管理流程将风险管理定义为将整个企业内的风险降低到可接受水平的整体流程。 将评估风险定义为确定企业面临的风险并确定其优先级的流程。
确定风险优先级或评估风险有多种方法,但是大多数都基于两种方法或这两种方法的组合:定量风险管理或定性风险管理。 请参阅第 1 章“安全风险管理指南介绍”末尾“更多信息”中的资源列表,以获得指向某些其他风险评估方法的链接。 本章接下来的几节是定量风险评估和定性风险评估的摘要与比较,接下来是 Microsoft 风险管理流程的简要说明,这样您便可以了解流程是如何将这两种方法组合起来使用的。
定量风险评估
在定量风险评估中,目标是试图为在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值。 例如,您用替换成本、生产率损失成本、品牌名誉成本以及其他直接和间接商业价值来估计各个企业资产的真实价值。 计算资产暴露程度、控制成本以及在风险管理流程中确定的所有其他值时,尽量具有相同的客观性。
注:本节在一个较高层次介绍定量风险分析中的部分步骤,不是对使用安全风险管理项目中方法的说明性指导。
此方法有一些固有的难以克服的明显缺点。 首先,没有正式且严格的方法来有效计算资产和控制措施的价值。 换言之,尽管该方法可以向您提供更多详细资料,但财务价值实际上掩盖了数字是估计而来这一事实。 如何可以精确且正确地计算高度公开的安全事件可能对您品牌造成的影响? 如果可行,您可以检查历史数据,但通常情况下是不行。
其次,尝试过小心翼翼地应用各方面的定量风险管理的组织发现流程需要大量的成本。 此类项目通常需要非常长的时间来完成其全部周期,并且通常会出现员工对如何计算具体财务价值的详情发生争论的情形。 再次,对具有高价值资产的组织而言,暴露成本是如此之高,以致于您要用大量的资金来缓解您面临的任何风险。 然后这并不现实;组织不会用其整个预算来保护单一资产甚至前五个重要资产。
定量方法的细节
此时,一般性地了解定量风险评估的优点与缺点可能会有所帮助。 本节的其余部分介绍在定量风险评估中通常会评估的几个因素和价值,例如资产估价、成本控制、确定安全投资收益 (ROSI) 以及计算单一预期损失 (SLE) 、年发生率 (ARO) 和年预期损失 (ALE) 的值。 这并不意味着一个对定量风险评估的所有方法进行的全方位说明,只是该方法某些细节的简要说明,这样您便可以了解构成所有计算的基础的数字本身具有主观性。
评估资产
确定资产的货币价值是安全风险管理的一个重要组成部分。 业务经理通常会根据资产的价值来决定应该花多少钱和时间来保护资产的安全。 作为其业务连续性计划的一部分,许多组织都维护一份资产价值 (AV) 清单。 注意计算出的数字实际上是主观估计,但是不存在用来确定资产价值的客观工具或方法。 为了向资产指定价值,请计算下列三个主要因素:
-
对于您的组织该资产所具有的总价值。 从财务上计算或估算资产价值。 考虑这样一个简单示例,一个通常每周七天、每天 24 小时运行,平均每小时从客户订单获得 2000 元收入的电子商务网站临时中断的影响。 您可以自信地宣布该网站的年销售收入为 17,520,000 元。
-
资产损失对财务的直接影响。 如果有意简化示例并假定网站每小时的收益不变,同样的网站停用六个小时,则计算出的暴露系数为每年 0.000685%。 资产年价值乘以暴露百分比,可以预测此时直接损失是 12,000 元。 事实上,大多数电子商务网站视每天的不同时段、星期几、季节、营销活动和其他因素而有不同的收益率。 此外某些客户可能找到更喜欢从其进行购买的备选网站,因此网站可能会永久性地失去一些用户。 如果要进行精确计算并考虑所有潜在类型的损失,则计算收入损失实际上相当复杂。
-
损失该资产的间接业务影响。 在此示例中,公司估计将花费 10,000 元的广告费用,以抵消该事件造成的负面影响。 此外,公司也估计损失年销售额的 1%,即 17,520 元。 通过组合额外的广告支出和年销售收入损失,可以预计本案例的间接总损失为 27,520 元。
确定 SLE
SLE 是指发生一次风险引起的收入损失总额。 SLE 是分配给单个事件的金额,代表一个具体威胁利用漏洞时公司将面临的潜在损失。 (SLE 类似于定性风险分析的影响。)通过将资产价值与暴露系数相乘 (EF) 计算出 SLE。暴露系数表示成为现实的威胁对某个资产造成的损失百分比。 如果一个网络场的资产价值为 150,000 元,一场大火造成的损害占其价值的 25%,此时 SLE 为 37,500 元。 然而这是一个尽量简化的示例;可能还需要考虑其他支出。
确定 ARO
ARO 是一年中风险发生的次数,应合理预估该数字。 做出这些估计相当困难;只有极少的实际数据可供使用。 迄今为止收集的数据成为少数财产保险公司持有的私有信息。 为了估计 ARO,请利用以往的经验并请教风险管理专家以及安全和业务顾问。 ARO 类似于定性风险分析的可能性,其范围从 0 (从不)至 100%(始终)。
确定 ALE
ALE 是您的组织不采取任何减轻风险的措施在一年中可能损失的总金额。 SLE 乘以 ARO 即可计算出该值。 ALE 类似于定量风险分析的相对级别。
例如,如果此同一公司的网络场发生的火灾导致 37,500 元的损失,而火灾发生的可能性(或 ARO)的值为 0.1(表示每十年发生一次),则这种情况下的 ALE 值为 3,750 元(37,500 元 x 0.1 = 3,750 元)。
ALE 提供了一个价值,您的组织可以使用它来预算建立一种控制或安全措施以阻止此类损害 — 在本例中是每年 3,750 元或更少 — 并提供足够级别的保护需要多少成本。 为了知道需要花费多少钱来避免威胁的潜在后果的影响,量化风险的实际可能性和威胁造成的损失(以货币尺度计量)是重要的。
确定控制成本
确定控制成本要求精确估计购买、测试、部署、操作和维护各个控制措施所需的成本。 此类成本包含购买或部署控制解决方案、部署和配置控制解决方案、维护控制解决方案、向用户通告与新控制措施有关的新政策或程序、对用户和 IT 员工进行如何使用及支持控制措施的培训、监督控制措施、应对控制措施可能造成的不方便性或生产率损失。 例如,为了降低火灾损害网吧的风险,假设的组织可能考虑部署一个自动消防系统。 组织可能需要聘请一个承包商来设计和安装系统,然后需要持续监控系统。 组织还可能需要定期检查系统,并且偶尔补充系统使用的灭火剂。
ROSI
请使用以下等式估计控制成本:
实施控制前的 ALE)–(实施控制后的 ALE)–(年控制成本)= ROSI
例如,攻击者对 Web 服务器的威胁的 ALE 为 12,000 元,在实施了建议的安全措施后,估计 ALE 为 3,000 元。 安全措施每年的维护与操作成本为 650 元,因此,ROSI 为每年 8,350 元,如以下表达式所示:12,000 元 - 3,000 元 - 650 元 = 8,350 元。
定量风险分析的结果
定量风险分析的输入项目提供了明确定义的目标和结果。 前述几个步骤的结果通常得出以下各项:
-
分配给资产的货币值
-
详细的重要威胁列表
-
每个威胁发生的可能性
-
在 12 个月内每项危险对公司的潜在损失
-
推荐的安全措施、控制措施和行为
您已经了解所有这些计算都是建立在主观估计之上的。 为结果提供基础的关键数字并不是来自客观等式或定义良好的实际数据集,而是来自评估人员的意见。 AV、SLE、ARO 和控制成本均是参与者自己插入的数字(通常在多次讨论和折衷以后)。
定性风险评估
定性风险评估与定量风险评估的区别在于在前一方法中不用向资产分配难以确定的财务价值、预期损失和控制成本。 取而代之的是计算相对值。 通常通过调查表和合作研讨会的组合形式进行风险分析,涉及来自组织内各个部门的人员,例如信息安全专家、信息技术经理和员工、企业资产所有者和用户以及高级经理。 如果使用,调查表通常在第一次研讨会之前几天或几周内发放。 调查表专为发现已经部署了什么资产和控制措施而制定,收集的信息在随后举行的研讨会期间非常有用。 在研讨会中,参与者确定资产并评估资产的相对价值。 接下来,参与者尝试指出各个资产可能面临的威胁,然后尝试描述这些威胁在将来可能利用的漏洞类型。 信息安全专家和系统管理员通常准备好缓解风险的控制措施参加会议,以便各部门考虑并估计各个控制措施的成本。 最后,结果被交给管理层以便在成本效益分析期间进行考虑。
您可以看出,定性评估的流程非常类似于定量方法。 区别在于细节处。 一个资产和另一个资产的价值之间的比较是相对的,参与者不会用大量的时间来尝试为资产评估计算精确的财务数字。 计算转变为现实的风险的可能影响以及实施控制所需的成本也同样如此。
定性方法的优点是克服了为资产价值、控制成本等计算精确数字的挑战,流程对员工没有太高的要求。 定性风险管理项目通常在几周内即可开始显示重要的结果,然而选择定量方法的大多数组织历时数月甚至数年也看不到好处。 定性方法的缺点是得出的数字是含糊的;某些业务决策者 (BDM),特别是具有财务或会计背景的决策者,可能会对在定性风险评估项目中确定的相对值感到不适。
比较两种方法
安全风险管理的定性方法和定量方法都具有各自的优点与缺点。 某些情形会要求组织采用定量方法。 此外,小型组织或资源有限的组织可能会发现定性方法更适合他们的需要。 下表概括介绍了各个方法的优点与缺点:
表 2.1:各个风险管理方法的优点与缺点
|
| 定量 | 定性 |
|---|---|---|
| 优点 | – 按财务影响确定风险优先级;按财务价值确定资产优先级。 – 结果通过安全投资收益推动风险管理。 – 结果可用因管理而异的术语来表达(例如货币值和表达为具体百分比的可能性)。 – 随着组织建立数据的历史记录并获得经验,其精确度将随时间的推移而提高。 | – 使可见性和了解风险排列成为可能。 – 更容易达成一致意见。 – 无需量化威胁频率。 – 无需确定资产的财务价值。 – 更便于不是安全或计算机专家的人员参与。 |
| 缺点 | – 分配给风险的影响值以参与者的主观意见为基础。 – 达成可靠结果和一致意见的流程非常耗时。 – 计算可能会非常复杂且耗时。 – 结果只用财务术语来表达,对非技术性人员而言可能难以解释。 – 流程要求专业技术,因此参与者无法轻松通过流程获得指导。 | – 在重要的风险之间没有足够的区别。 – 难以证明投资控制措施实施是否正确,因为没有为成本效益分析提供基础。 – 结果取决于建立的风险管理小组的素质。 |
在过去的几年里,定量方法似乎在安全风险管理中占据了主流地位;但是,随着越来越多的实践者承认严格遵守定量风险管理流程通常会导致困难的长期运行项目,但看不到什么有形好处,这种情形也出现了变化。 正如您将在后续章节中所见,Microsoft 安全风险管理流程将两种方法的优点综合到一种独特的混合方法。
Microsoft 安全风险管理流程
Microsoft 安全风险管理流程是一种混合方法,综合了两种传统方法的优点。 正如您将在后续章节中所见,本指南介绍了安全风险管理的一种独特方法,比传统的定量方法更为快速。 与传统的定性方法相比,这种方法还提供了更加详细的结果,并且能更加容易地向管理层证明。 通过将定性方法的简单性和简明性与定量方法的一些严格性结合起来,本指南为安全风险管理提供了一种有效且可使用的独特流程。 流程的目标是使风险承担者能够了解评估中的每一步骤。 此方法比传统的定量风险管理大为简单,最大程度地减少风险分析和决策支持阶段的结果面临的阻力,使一致意见的达成更为快速并在整个流程中都得到维护。
Microsoft 安全风险管理流程由四个阶段构成。 第一个阶段是评估风险阶段,综合了定性和定量风险评估方法。 用定性方法来快速类选安全风险的整个列表。 然后用定量方法更加详细地检查在此类选过程中确定的最严重的风险。 结果是一份相对较短的经过详细检查的最重要风险列表。
此短列表在下一阶段“实施决策支持”中使用,在该阶段中提议并评估潜在的控制解决方案,然后将最好的解决方案作为缓解顶级风险的推荐交给组织的安全筹划指导委员会。 在第三阶段“实施控制”中,缓解方案所有者实际实施控制解决方案。 第四阶段“评定计划有效性”用于验证控制措施实际提供预期的保护程度,并观察环境变化,例如可能改变组织风险配置的新业务应用程序或攻击工具。
因为 Microsoft 安全风险管理流程是持续进行的,周期以各个新的风险评估重新开始。 周期重新开始的频率因组织不同而异;很多组织发现每年一次就已足够,因为组织正前瞻性地监控新的漏洞、威胁和资产。
以上图 2.2 说明了 Microsoft 安全风险管理流程的四个阶段。 下一章(第 3 章“安全风险管理概述”)全面介绍此流程。 第 3 章以后的章节详细解释与这四个阶段中的每一个阶段关联的步骤与任务。
扫一扫
817
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
