1.10 理解并应用风险管理概念

鸣尐

视频链接:

• 主要内容有：
  
• 识别风险与漏洞
  
• 风险评估/分析 （定性、定量）
  
• 风险响应
  
• 对策选择与实施
  
• 适用的控制类型（如预防、检测、纠正）
  
• 控制评估（安全与隐私）
  
• 监控与测量
  
• 报告
  
• 持续提高（如风险成熟度模型）
  
• 风险框架
  

弱点、威胁、风险、暴露、对策

• 1)Vulnerability脆弱性：weakness，have unauthorized access to resources.
  
• 2)Threat威胁：threat agent，威胁因素，hacker、worm…
  
• 3)Risk风险：threat利用vulnerability造成危害的一种可能性。
  
• 4)Exposure暴露，揭露事实：instance实例，一次威胁因素造成loss的实例。
  
• 5)Countermeasure对策(safeguard保护)：降低潜在的风险risk。
  
• 脆弱性指的是缺少防护措施或防护措施存在能够被利用的缺陷。
  
• 漏洞是缺乏可利用的保障（换言之，它是一个弱点）。
  
• 威胁是某人或某物有意或无意地利用漏洞并造成资产损害的可能性。威胁可分为自然威胁、人为威胁和技术威胁。
  
• 减少漏洞和/或威胁可降低风险。脆弱性指的是缺少防护措施或防护措施存在能够被利用的缺陷。
  
• 举例：主机系统没有打上相关的系统补丁（vulnerability），有一个针对此漏洞最新的蠕虫病毒（threat agent），网络没有部署边界安全系统，蠕虫渗透网络引起了风险（risk），直接导致了主机的性能降低、死机。
  
• 这整个过程就是一次exposure暴露。
  
• 然后安装补丁进行更新（safeguard）。
  

风险

• 风险是威胁主体利用脆弱性的可能性以及相应的潜在损失。
  
• 威胁主体利用脆弱性的可能性（漏洞）以及相应的潜在损失，对资产造成损害。漏洞分析识别组织的宝贵资产中的弱点。。
  
• 资产评估确定资产的价值，威胁建模识别针对这些资产的威胁。
  
• 风险可以转移（转嫁风险transfer）、避免（规避，拒绝风险reject）、减少（缓解、降低风险reduce）、接受（接受风险accept）。
  
• 风险转移的一个示例是组织购买保险。
  
• 降低风险的方法包括改进安全程序和实施保障措施。
  
• 对策也叫防护措施或控制措施，能够缓解风险。
  
• 控制可以是管理控制性的、技术性的或物理性的，能够提供威慑性、预防性、检测性、红正性、恢复性或补偿性保护。
  
• 补偿控制是由于经济或业务功能性原因而采用的备选控制。
  

信息风险管理

• 信息风险管理 （Infomation Risk Management） 是一个过程：是识别风险、评估风险和将风险降低到可接受的水平，并实施正确的机制来保持该风险水平（识别风险级别，运用合适的机制来维持风险在此程度）的过程。
  
• 风险管理团队应包括组织内不同部门的人员，而不仅仅是技术人员。
  
• Risk Analysis Team 风险分析团队要有高层管理人员参加，而且有来自各个部门的成员组成。
  
• 因为需要与他们面对面沟通，了解他们的运作情况。
  
• 风险管理的一些重要因素：
  
• 1)管理层支持；
  
• 2)team成员由来自于不同的团队；
  
• 3)识别资产的价值；
  
• 4)识别威胁；
  
• 5)还需要关注潜在和延迟的损失；
  
• 6)定性或定量的方式来评估风险
  
• 定性评级以高、中或低表示，或以 1 到 5 或 1 到 10 的比例表示。数量结果以货币数额或者百分比表示。
  
• 对策（也称为安全措施）可降低风险。对策可以是应用程序、软件配置、硬件或过程。
  
• 措施是为了达到特定目标而应当执行的详细的、分步骤的任务。
  
• 便利化风险分析过程（FRAP）做一个基本的假设：一个狭窄的风险评估是最有效的方式，来确定在一个系统中、业务段，应用程序或进程的风险。
  

风险分析

• 在进行风险分析之前，必须完成项目规模调整，这意味着了解和记录项目的范围。
  
• 风险分析(Risk Analysis )4个主要目标
  
• 1)识别（确定）资产和资产的价值、并分配价值；
  
• 2)识别风险、威胁、（脆弱性）漏洞；
  
• 3)量化潜在风险对组织影响的可能性、以及业务影响可能性；
  
• 4)在风险影响、对策成本之间提供经济（预算）平衡
  
• 风险分析用于确保安全防护措施是划算的，并能适当和适时地对威胁作出反应。
  

风险分析的步骤 Step of a Risk analysis

• 1)给资产赋值
  
• 2)估计每项风险的潜在损失
  
• 3)进行威胁分析
  
• 4)计算每项风险的全部潜在损失ALE，EF*asset value = SLE，SLE*ARO=ALE
  
• 5)Reduce、transfer、accept the Risk、ruject
  
• 转移（转移风险transfer）、避免（规避，拒绝风险reject）、减少（缓解、降低风险reduce）、接受（接受风险accept）
  

风险分析的成果

• 1)资产赋值
  
• 2)理解威胁的特征和可能性
  
• 3)每种威胁发生的可能性
  
• 4)每种威胁在一年内发生对组织造成的潜在损失
  
• 5)建议安全防护
  

quantitative and qualitative  定量和定性

• 定量风险分析
  
• 尝试将货币值分配给分析中的各个组件。纯定量风险分析是不可能的，因为各组件、项目无法精确量化。
  
• 定量风险分析的最后一步是进行成本/效益分析，从而确定组织是否应该实施原计划。
  
• 在进行风险分析时捕获不确定性程度非常重要，因为它表明团队和管理层对结果数据（分析数据）的信心（信任）程度。
  
• 资产识别应包括有形资产（设施和硬件）和无形资产（组织数据和声誉）。
  
• 在确定信息价值时，必须考虑以下问题：获取和开发数据的成本;维护和保护数据的成本;数据对所有者、用户和对手的价值;如果数据丢失，更换成本;其他人愿意为数据支付的价格;失去机会;和数据的有用性。
  
• 自动（自动化）风险分析工具可减少分析中涉及的手动工作量。这些工具可用于估计未来预期损失，并计算不同安全措施的好处。
  
• 定量方法的缺点：>计算更加复杂；>没有可供利用的自动化工具，这个过程完全需要手动完成；>需要做大量基础性的工作，以收集与环境相关的详细信息；>没有相应的标准。
  
• 记住以下几个公式：
  
• ARO是年发生概率，10年发生一次，则ARO＝1*0.1
  
• SLE是发生一次造成的损失，如37500，那么ALE＝0.1*37500＝3750
  
• 单一期望损失（SLE）=资产价值*暴露因子（EF）
  
• 年度损失期望ALE=SLE*年发生比率（ARO）
  
• 单个损失预期 （SLE） 是特定威胁代理利用漏洞时可能损失的金额。其等于=每年频率 = 年亏损期望值（SLE = ARO = ALE）。
  
• 防护措施对于组织的价值.防护前ALE–执行防护后ALE–年度防护价值
  
• Residual Risk：
  
• Total Risk=threats * vulnerability * asset value
  
• Residual Risk=(threats * vulnerability * asset value) * control gap
  

定性风险分析

• 定性分析使用判断和直觉，而不是数字。
  
• 定性风险分析涉及具有必要经验（丰富经验）和（相关教育）教育背景的人，评估威胁情景，并根据个人经验对每个威胁的概率、潜在损失和严重程度进行评级。
  
• 在选择适当的保障（预防措施）以降低（减弱）某些特定风险时，必须评估成本、功能和有效性，并且需要执行成本/收益分析。
  
• 定性分析技术包括：判断、最佳实践、直觉和经验。
  
• 定性评估：Delphi, brainstorming, storyboarding, focus groups, surveys, questionnaires,checklists, one-on-one meetings, and interviews。
  
• 收集数据的定性分析技术示例有：Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访。
  
• Delphi技术是一种群体决策方法，此时每位成员都可以进行匿名沟通。让每个人都拿出自己真实的观点，不被人影响。
  
• 定性方法的缺点：>评估方法及结果相对主观；>无法为成本/效益分析建立货币价值；>使用主观衡量很难跟踪风险管理目标；>没有相应的标准。
  

失效模式和影响分析（FMEA）

• FMEA：一种通过结构化流程确定功能、标识（识别）功能失效（故障），并通过结构化过程评估失效（故障）原因和失效影响的方法。
  
• 我们既可以认为FMEA能够洞察未来并确定潜在的失效领域，也可以认为它能够发现脆弱性，并且在脆弱性转变为真正的障碍之前采取纠正措施。
  
• 使用FMEA保证风险管理的原因是：随着组织更细化地理解风险，风险管理的详细程度、使用的变量和复杂程度也持续增加。
  
• 随着人们的风险意识不断增强，这种确定潜在缺陷的系统方式正发挥着越来越大的作用。
  
• 失效模式和影响分析（Failure Modes and Effect Andysis， FMEA）是一种确定功能、标识功能失效并通过结构化过程评估失效原因和失效影响的方法。它常用于产品开发和运营环境中。其目标是标识最容易出故障的环节，之后或者修复故障或者实施控制以降低故障的影响目。
  
• FMEA方法使用失效模式（事物出故障或者失效的方式）和影响分析（故障或者失效所带来的影响）。将这种过程应用于某个长期失效，可以确定最有可能发生失效的地方，我们既可以认为FMEA能够洞察未来并确定潜在的失效领域，也可以认为它能够发现脆弱性， 并且在脆弱性转变为真正的障碍之前采取纠正措施。
  
• 按照下面特定的步骤，可以取得失效模式分析的最佳结果：
  
• 1）绘制一幅系统或控制的结构图。
  
• 2）设想一下，如果图中的每一个个方框失效，将会出现什么情况。
  
• 3）绘制一张表，将失效的影响和影响评估对应起米。
  
• 4）修改系统设计，对表送行调整，直到系统中不再存在无法接受的问题。
  
• 5）让几位工程师检查失效模式和影响分析。
  
• FMEA最初是为系统工程而开发的，目的是检查产品中潜在的失效以及涉及这些失效的过程。这种方式被证明是成功的，最近人们对其进行了修改，并将其用于评估风险管理优先级以及缓解己知的威胁脆弱性。
  
• 尽管FMEA作为一种调查方法在识别某个系统的主要失效模式时非常有用，但是它在查找多个系统或子系统中存在的复杂失效模式方面还有所欠缺。
  

故障树分析

• 事实证明，在确定更加复杂的环境和系统中可能发生的失效方面，故障树分析方法更为有用。
  
• 故障树分析是一种有用的方法，用于检测复杂环境和系统中可能发生的故障。
  
• 故障树分析过程可以概括如下：首先，以一种不希望产生的影响作为逻辑树的根部或顶部事件；然后，将可能造成这种影响的每一种情形作为一系列逻辑表达式添加到树中；最后，使用与失效可能性有关的具体数字来标记故障树。通常，使用计算机程序就能够计算出某个故障树的失放可能性。
  
• Risk delayed loss and/or damage：从被破坏到恢复到正常的损失。
  

为以防万一，若这些备选的风险评估方法还不够多，也可以考虑一下
CRAMM（Central Computing and Telecommunication Agency Risk Analysis and Management Method，中央计算和电信机构风险分析与管理方法）
该方法由英国创建，其自动化工具由西门子公司负责销售。该方法分为3个不同的阶段：定义目标、评估风险和标识对策。称其为独一无二的方法的确有失公允，因为它和其他任何风险方法的基本结构是一样的。它的独特之处在于它的每样东西（问卷、资产依赖建模、评估公式和合规报告）都是自动化工具格式。
这些方法有很多相互重叠的共同点，因为几乎每一个方法的具体目标都是标识对组织可能造成伤害的东西（脆弱性和威胁）和解决这些问题（降低风险）。使这些方法相互区别的是他们各自所具有的独特方法和关注点。如果得要在全组织范围内部署风险管理程序并把它集成到安全计划中，应该遵循ISO/IEC 27005或者OCTAVE方法。如果需要在评估过理中重点关注IT安全风险，则遵循NIST 800-30，如果预算有限，并且需要重点评估一个单独的系统或进程，则遵循FRAP（Facilitated Risk Analysis）。 如果想深入了解某一个具体系统内的安全缺陷是如何造成衍生效应的，你可以使用FMEA（Failure Modes and Effect Analysis，失效模式和影响分析）。如果需要了解所在公司的商业风险，则遵循AS/NZS4360方法。
现在，将过程总结如下：

• 1）制定风险管理政策。
  
• 2）组建风险管理团队。
  
• 3）标识公司待评估的资产。
  
• 4）计算每个资产的价值。
  
• 5）标识能够影响己确定资产的脆弱性和威胁。
  
• 6）选择最适合需要的风险评估方法。
  

风险保护的步骤

• 1)明确需要保护的资产及范围，花费的money
  
• 2)风险分析和评估（选择最合适的safeguard，功能；）
  
• 3)选择合适的措施和执行（评估safeguard的成本，并做比较；）
  

Policies（政策、策略）、standards（标准）、baselines（基线）、guidelines（指南、指引）、procedures（流程、程序）
策略policies是提高信息安全；支持的标准standards，如数据用高度加密AES；程序procedurces是一步一步怎么来进行；方针guidelines是指导，建议作哪些（要求审计，建议审计ID、口令、事件等信息）；baseline基线（clipping level）是最低级别的安全。安全策略提供基础，过程、标准、指导提供安全框架。策略是战略目标，过程、标准、指导等是战术目标。
Policies：
1)最高的战略目标，email policy，那些能看不能看。如何使用数据库，如何保护数据库等等。
2)The policy provides the foundation.The procedures, standards, and guidelines provide the security framework.plicy是基础，程序、标准、方针是框架。
3)三类：regulatory规章性的、advisory建议性的、informative提示性的（给信息）
standards：is mandatory、compulsory、enforce，强制
baselines：最低安全标准
guidelines：指导行动，建议具体作哪些，如审计哪些内容（登录ID、时间等）。
procedures：step by step，spell out（讲清楚）策略、标准等具体怎么做。

• Classification（分类，分级，分级体系，名词，非动词）
  
• Classify（动词，分级，分类）
  
• 威胁*脆弱性*资产价值=总风险。
  
• （威胁*脆弱性*资产价值）控制间隙=剩余风险。
  
• 风险分析有下列4个主要目标：确定资产及其价值，识别脆弱性和威胁，量化潜在威胁的可能性与业务影响，在威胁的影响和对策的成本之间达到预算的平衡。
  
• 失效模式和影响分析（FMEA）是一种确定功能、标识功能失效以及通过结构化过程评估失效原因和失效影响的方法。
  
• 故障树分析是一种有用的方法，用于检测复杂环境和系统中可能发生的故障。
  
• 定量风险分析会尝试为分析中的各个组件指派货币价值。
  
• 纯粹的定量风险分析是不可能的，因为定性项无法被精确量化。
  
• 在执行风险分析时，了解不确定性程度非常重要，因为它表明团队和管理层对于分析数据的信任程度。
  
• 自动化风险分析工具可以减少风险分析中的手动工作量。这些工具用于估计将来的预期损失，并计算各种不同安全措施的好处。
  
• 单一损失预期*年发生比率=年度损失预期（SLE*ARO=ALE）
  
• 定性风险分析使用判断和直觉而不是数字。
  
• 定性风险分析使富有经验的、接受过相关教育的人基于个人经验来评估威胁场景，并估计每种威胁的可能性、潜在损失和严重程度。
  
• 安全管理应该由顶而下进行（从高级管理层向下至普通职员）。
  

返回目录:

桂成林

为了三千积分！