Security+ 学习笔记52 风险管理

一、风险处理方案

一旦我们完成了对组织的风险评估，就会留下一个需要我们注意的风险的优先次序列表。风险管理(Risk management)，或风险处理(Risk treatment)，是系统地分析对每个风险的潜在反应的过程，并实施战略来适当地控制这些风险。无论我们管理的是什么风险，都有四个基本选择来处理这种情况。我们可以进行风险规避(Risk avoidance)，风险转移(Risk transference)，风险缓解(Risk mitigation)，或风险接受(Risk acceptance)。

1. 当我们规避一个风险时，可能改变自己的组织的业务实践，使其不再处于一个该风险可能影响的业务的位置。在上一个笔记中，我们对洪水给一个组织的数据中心带来的风险进行了风险评估。如果我们选择对该风险采取风险规避策略，我们可能会将数据中心搬迁到一个没有洪水破坏风险的地方；
2. 转移风险试图将风险的影响从我们的组织转移到另一个组织。最常见的风险转移的例子是保险单。许多组织现在正在考虑购买网络安全保险，以防止黑客或身份盗窃造成的经济损失。其实，通过这种方式，不可能总是完全转移风险。例如，我们可以购买保险来弥补安全漏洞造成的经济损失，但没有任何保险政策可以修复我们的企业在客户眼中的声誉；
3. 风险缓解是指采取目的在减少风险的可能性或影响的行动。例如，我们想减轻数据中心被淹的风险，可以会聘请防洪专家来安装可以将水从我们的设施引开的系统；
4. 在几乎所有的风险评估中，管理者发现自己面临着一个非常长的风险清单，而没有足够的资源来避免、转移或减轻所有的风险。出于商业原因，他们必须接受其中的一些风险。风险的接受只能作为深思熟虑的分析的一部分，确定执行另一个风险管理行动的成本超过了进一步控制风险的好处。在我们的水灾情景中，如果其他的风险管理方案都太昂贵了。我们可能会决定在我们目前的设施中继续运营，接受洪水发生的后。

每个组织都必须为自己的技术和商业环境选择这些风险管理策略的适当组合。影响一个组织的风险组合被称为其风险状况（Risk profile）。而组织则采取风险管理策略来应对该风险状况中的风险。在实施任何控制措施之前，一个组织存在的初始风险水平是该组织的固有风险(Inerent Rist)。然后，采用控制措施来降低该风险。但是，当然不是每一种风险都能被完全消除。在固有风险被控制措施减少后，仍然存在的风险被称为残余风险(Residual Risk)。另外，控制措施本身也可能引入一些新的风险。例如，如果我们安装了一个防火墙作为风险管理控制，这可能会大大降低你的风险，但它也增加了一个新的风险，即防火墙本身可能失效。这种因增加控制而产生的新风险被称为控制风险(Control Risk)。

现实情况是，组织将需要接受一些持续的风险，以便继续运营。企业领导人必须决定他们选择接受多大的风险。这是一个被称为确定组织的风险偏好(Risk appetite) 的过程。风险管理的目标是确保剩余风险和控制风险的组合低于组织的风险承受力。

二、对安全控制进行分类(Categorizing security controls)

安全专业人员将大部分时间花在设计、实施和管理安全控制上，作为应对我们在风险评估中发现的风险的对策。安全控制(Security controls) 是一个组织为解决安全风险而设置的程序和机制。这些措施可能会减少风险发生的可能性，并将风险发生时将其影响降至最低，或将控制措施落实到位以检测发生的安全问题。安全控制是为了使我们的风险状况与我们的风险偏好保持一致。

安全专家们使用各种不同的类别来分组安全控制。如下两种不同的方法：首先，我们将讨论按目的或类型(Purpose or Type)对控制措施进行分组：它们是否被设计用来预防、检测、纠正、阻止或补救(Prevent, Detect, Correct, Deter, or Compensate) 安全问题；然后，我们将按照它们的作用机制( Mechanism of action)，即它们的工作方式来讨论它们。这就把它们分为技术、操作和管理控制(Technical, Operational, and Managerial controls)的类别。需要注意的是，这些类别并不相互排斥。在这些例子中，一个控制措施可以适用于不止一个类别和类型。

1. 预防性控制是指在从一开始就阻止安全问题发生的控制。阻止不需要的网络流量的防火墙就是预防性控制的一个例子;
2. 检测性控制可以识别需要进一步调查的潜在安全漏洞。搜索网络漏洞迹象的入侵检测系统(IDS)就是检测性控制的一个例子;
3. 纠正性控制对已经发生的安全问题进行补救。如果一个攻击者闯入一个系统并抹去了关键信息，从备份中恢复这些信息就是纠正性控制的一个例子;
4. 威慑性(deterrent)控制目的是防止攻击者试图违反安全政策。凶恶的看门狗和有刺的铁丝网就是相关的例子；
5. 物理控制是影响真实世界的安全控制。物理安全控制的例子包括栅栏、周边照明、锁、灭火系统和防盗报警器；
6. 安全控制的最后一种类型是补救性控制。补救性控制目的是在填补安全环境中的一个已知缺口。
   

我们对控制措施进行分类的第二种方式是根据其作用机制：

1. 技术控制正如其名称的那样，使用技术来实现安全目标。防火墙、入侵预防系统、加密、数据丢失预防和反恶意软件都是技术安全控制的例子；
2. 操作控制包括我们为安全地管理技术而设置的程序、包括安全专业人员每天执行的许多任务。例如，用户访问审查、日志监控、背景调查和进行安全意识培训。要区分技术和操作控制之间的区别有时会有点困难，一个诀窍是记住操作控制是由个人进行的，而技术控制是由技术进行的。例如，防火墙执行规则是一种技术控制，而系统管理员审查防火墙的日志是一种操作控制；
3. 管理控制的重点是风险管理过程的机制。一个常见的管理控制是定期进行风险评估，以确定一个组织或特定信息系统所面临的威胁、漏洞和风险。其他管理控制措施包括定期进行安全规划，并将安全考虑纳入组织的变更管理、服务获取和项目管理方法中。

三、持续的风险管理(Ongoing risk management)

实施安全控制仅仅是风险管理的开始。安全专业人员必须执行各种持续的活动，以确保风险保持适当的管理。这些活动包括监测和评估控制措施，测量控制的有效性，报告和持续改进(Monitoring and assessing controls, Measuring control effectiveness, reporting, and Continuous improvement)。

风险控制评估(Risk control assessments)代表了对一个组织所面临的风险以及控制措施管理这些风险的能力的一个时间点分析。这些评估可以作为内部安全团队的自我评估或作为顾问或审计师的外部评估来完成。风险环境经常变化，组织应定期审查这些风险评估，并定期进行控制评估，以测试其安全控制的正确功能和有效性。例如，大多数组织使用防火墙来阻止不需要的网络流量。对防火墙的控制评估，可以使用网络扫描工具来验证它是否允许任何不需要的流量通过。组织还应该对其安全控制的有效性进行常规测量，并利用这些信息为管理报告提供信息。这些常规活动应包括技术控制审查和操作控制审查(Technical control reviews and Operational control reviews)。例如，一个组织可能会跟踪被入侵的最终用户账户的数量，以此来评估反钓鱼控制的有效性。他们也可以吸引在面向公众的系统中检测到的漏洞数量，以此来评估操作系统和应用程序补丁的有效性。最后，组织可以使用需要通知个人的数据泄露的数量来衡量其安全计划的整体有效性。

四、风险管理框架(Risk management frameworks)

风险管理是一个复杂的话题，幸运的是组织不需要从头开始设计自己的风险管理流程。风险管理框架为执行企业风险管理提供了成熟的、经过时间检验的技术。最广泛使用的风险管理框架之一是由美国联邦政府机构–国家标准与技术研究所开发的。该框架见于NIST特别出版物800-37。这份文件有60多页，包括了关于该框架的大量细节，这对任何参与风险管理的人来说都是一本好书。

该出版物可在NIST的网站上免费获取。这张图显示了根据NIST的规定，管理风险所涉及的六个步骤。
在开始这个过程之前，组织应该收集两个不同类别的信息。第一类信息涉及技术架构，它包括参考模型、技术细节、业务流程信息和信息系统的边界。该过程的第二个输入是组织的具体信息，包括适用的法律、法规和政策、组织的战略、其优先级、资源可用性和供应链信息。而在收集了所有这些信息后，组织进入风险管理框架的第一步。

1. 在这个步骤中，它对被评估的信息系统以及由该系统存储、处理和传输的信息进行分类(Categorize)。这通常是通过影响评估来完成的；
2. 在第二步，组织选择(Select) 应该用来管理信息系统风险的安全控制。这是以第一步的系统分类为基础的。组织可能会从一个标准的控制基线开始，然后增加或减少具体的控制措施，以便根据系统的需要进行规范；
3. 在选择了控制措施后，组织会进入第三步，实施(Implement) 所选择的控制措施；
4. 然后在第四步，组织进行控制评估(Assess)，以确定控制是否被正确实施，是否正确运行，以及是否符合安全要求；
5. 在这个评估完成后，组织进入第五步，授权(Authorize) 信息系统的操作；
6. 一旦系统被授权并运行，我们就进入评估的第六步，在这一步中，组织会持续监控(Monitor) 安全控制，以确保其持续有效，并对任何环境变化做出反应。如果这种监测发现了重大问题，那么这个循环可能会从第一步开始。

五、控制框架(Control frameworks)

建立一个全面的安全计划是一个相当大的挑战，幸运的是，组织中的安全专业人员在设计他们的安全计划时，不必从一张白纸开始，他们可以使用安全控制框架来帮助确保他们覆盖所有的基础，并建立控制，以保护组织免受许多可预见的风险。有许多不同的控制框架涉及信息安全。如下是几个最常见的框架：

1. 信息系统和技术控制目标(Control Objectives for Information Technology)，或称COBIT，是一个由 Information Systems Audit and Control Association开发的安全控制框架。这个框架经常被审计师使用，它非常注重把商业目标和信息安全的功能联系起来。COBIT是一份非常详细的文件。它涵盖了六个不同的原则，满足利益相关者的需求：
   
   启用一个整体的方法，创建一个动态的治理系统，将治理与管理分开，根据企业的需求定制治理系统，以及覆盖企业的端到端( Meeting stakeholder needs, Enabling a holistic approach, Creating a dynamic governance system, Separating governance from management, Tailoring the governance system to enterprise needs, and Covering the enterprise end to end.)。COBIT还包含实施指南，以帮助那些试图在其企业中实施该框架的组织。
2. 国际标准化组织(ISO)也发布了一系列涵盖安全和隐私问题的控制框架。其中第一个，ISO 27001，涵盖了信息安全管理系统。它提供了组织可能努力实现的一般化控制目标。ISO 27001是一个非常常用的标准，因为许多组织在其各种业务功能中都遵循ISO标准。
3. ISO 27002提供了更多的细节，不仅仅是控制目标，还描述了组织可能用来实现其目标的具体控制。
4. ISO 27701为管理隐私而非安全控制提供指导。
5. 最后，ISO 31000为风险管理计划提供指导。
6. NIST特别出版物800-53，或者更常见的是NIST 800-53。它包含了400多页关于为政府机构和其他组织建立安全计划的信息。如果我们快速看一下目录，可以知道这份出版物通过信息安全的基础知识，谈到了多层次的风险管理、安全控制结构、基线和指定、外部服务提供商的使用，以及如何评估信息系统的保证和可信度。然后，它进入了实施安全和隐私控制的过程，谈到了选择一个适当的安全控制基线，然后根据组织的具体需求定制该基线，为新开发和老旧系统创建叠加和记录控制选择过程。
   
7. NIST还发布了一个Cybersecurity Framework，或CSF，任何人都可以免费使用。该框架的目标是为理解、管理和描述网络安全风险提供一种共同语言。有了这种共同的语言，组织之间以及与外部合作伙伴（如审计师和政府机构）之间可以进行更有成效的对话。该框架还可以帮助组织确定和优先考虑他们可能采取的行动，以减少网络安全风险和管理任何剩余的风险。
   
   下面是对该框架的一个总结：
   它包括五个不同的功能，识别、保护、检测、响应和恢复(Identify, Protect, Detect, Respond, and Recover)。这些类别中的每一个都被划分为子类别（22个），然后该框架提供了关于这些子类别中的每一个的详细参考。虽然大多数组织不会逐字逐句地遵循它们，但这些框架确实为任何组织设计适当的控制措施提供了一个有用的工具。

六、风险可见性和报告(Risk visibility and reporting)

网络安全团队有各种各样的风险识别、评估和管理工具供他们使用。风险可见性和报告技术确保这些风险管理过程的结果被清楚地记录下来，并随着时间的推移进行跟踪。大多数组织用来维持风险的持续可见性的核心工具是风险登记册(Risk register)。风险登记册是一个集中的文件，跟踪组织所面临的每个风险的性质和状态的信息。风险登记册可以在整个组织范围内使用，也可以用来跟踪与单一项目或主题领域相关的风险。在某些情况下，风险登记册可被称为风险日志(Risk logs)。风险登记册因组织而异，但它们通常包含以下类型的信息。

1. 每个风险的描述；
2. 用于分类风险的方案；
3. 风险评估的结果，包括风险的概率和影响；
4. 通过乘以概率和影响分数计算的风险等级(Risk rating)；
5. 风险登记册还可以包括为管理风险而采取的行动，包括已经完成或正在进行的具体风险缓解步骤。

每个组织都应该在通用模板的基础上开发自己的登记册，但要确定他们组织所面临的具体风险。在开发风险登记册时，组织有许多信息来源，可以帮助在登记册中填入风险。这些信息包括：本组织进行的正式风险评估的结果、由内部和外部审计人员确定的审计结果、由信息技术或规划团队成员确定的风险，以及第三方的威胁情报。威胁情报在许多组织保持对其所面临的风险的可见性的努力中发挥着越来越重要的作用，通过共享威胁情报，组织可以通过向供应商购买威胁情报服务或加入威胁情报共享联盟来汇集他们的知识，帮助打击外部威胁。威胁情报共享工作为各组织提供了一种匿名的方式，可以就它们可能经历的攻击的性质和特点进行相互交流。威胁情报信息可用于监测一般的风险趋势，也可用于操作，例如，创建已知为攻击源的IP地址黑名单。

最后，需要注意的是，风险登记册是一份冗长的文件，往往为企业领导人提供太多的细节。当向高管传达风险管理概念时，风险专家经常使用风险矩阵或热图，如这里所示。这种方法可以快速总结风险，并使高管迅速关注组织所面临的最重要的风险。

七、数据安全角色

数据安全是一个复杂的问题，整个组织中许多不同的人在保护信息方面发挥着作用。如下围绕数据所有权和管理权的一些重要概念。

1. 数据控制者(Data controllers) 是决定处理个人信息的原因并指导处理该数据的方法的实体；

2. 数据处理者(Data Processors) 是代表数据控制者处理个人信息的服务提供者。例如，信用卡处理服务可能是一个零售商的数据处理器。零售商保留作为数据控制者的责任，但它作为数据处理者使用该服务。

在这些组织中，个人往往根据他们的责任担任不同的角色。我们通常认为这些角色适合于一个三层的模型：

1. 在最高级别，特定数据集的数据所有者(Data Owner) 是对该数据负有全面责任的高级官员。数据所有者围绕数据使用和数据安全制定政策和指导方针，并有权对数据集做出最终决定。数据所有者通常是负责与数据集最密切相关的任务领域的业务领导。例如，一个组织的人力资源副总裁可能是就业信息的数据所有者。
2. 数据监管者(Data Steward) 负责执行数据所有者制定的高层政策。例如，数据监管员可能会对谁可以访问一个数据集做出日常决定。
3. 数据保管者(Data custodian) 是实际存储和处理有关信息的个人。IT人员经常发现自己处于数据保管人的位置，因为他们的角色是系统所有者和管理员。

数据监管者确保适当的数据保护到位，包括加密、备份、访问控制和其他机制，满足数据所有者和监管者提出的要求。除了安全之外，数据所有者还有责任确保组织满足其隐私要求。这些要求可能来自法律、合同或道德方面的义务。例如，如果一个组织存储了员工的身份证号码，数据所有者应确保这些号码得到适当的保护，并且只用于合法的目的。

整理资料来源：
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601