什么是风险:
风险=威胁X漏洞X资产

企业风险评估和企业风险管理流程包括信息安全框架的核心。这些是建立安全策略的规则和准则的过程,同时将信息安全框架的目标转换为执行关键控件和机制的特定计划,以最大限度地减少威胁和漏洞。应评估技术基础设施的每个部分的风险概况。从该评估中,应在有效和有效地分配组织的时间和金钱,以实现最合适和最佳雇用的整体安全政策。执行这种风险评估的过程可能是非常复杂的,并且在决定如何解决各种IT资源的安全性时,应考虑行动(或不作为)的次要和其他影响。

具体而言,企业安全风险评估旨在适合以下情况,这可能是任何组织的特定:

  • 一种以成本效益的方式管理安全风险的方法
  • 用于实现和管理控制的过程框架,以确保满足组织的特定安全目标
  • 新信息安全管理进程的定义
  • 管理使用以确定信息安全管理活动的状态
  • 内部和外部审计员使用本组织采用的政策,指令和标准的遵守程度
  • 实现业务支持信息安全性
  • 提供有关信息安全的相关信息给客户

TRA方法

TRA流程和步骤
TRA过程的高级五个步骤包括:
  1. 请求启动 
  2. 制定评估范围,计划和计划 
  3. 进行评估
    • 查看安全计划,文档,控件
      • 确定业务需求和更改可能影响整体IT和安全方向的要求。
      • 审查现有安全政策,标准,指南和程序的充分性。
      • 评估应用于计算设备和其他网络组件的物理保护。
      • 对网络架构,协议和组件进行技术和程序审查和分析,以确保它们根据安全策略实施。
      • 查看和检查远程访问系统,服务器,防火墙和外部网络连接的配置,实现和使用,包括客户端Internet连接。
      • 查看逻辑访问和其他身份验证机制。
      • 审查当前的安全意识和员工在组织内的员工的承诺。阅读涉及供应商和承包商的服务或产品的协议。
    • 进行漏洞扫描
      • 分析资产,威胁和漏洞,包括其影响和可能性。
    • 执行威胁分析(NIST 800-30 P12)
      • 识别威胁来源 
      • 识别威胁事件 
      • 识别漏洞和利用它们所需的条件 
      • 确定这种攻击会成功的可能性 
      • 识别潜在的影响 
    • 识别风险 (NIST 800-30 P12)
      • 确定风险提出
  4. 风险缓解和建议
    • 制定实用的技术建议,以解决所确定的漏洞,并降低安全风险水平。
  5. 报告/结果和完成
    • 附录以下信息
      • 安全要求和目标
      • 系统或网络架构和基础架构,如网络图,示出了如何配置和互连资产
      • 可供公众使用的信息或从组织的网站访问
      • 物理资产,如硬件,包括数据中心,网络和通信组件和外围设备(例如,桌面,笔记本电脑,PDA)
      • 操作系统,如PC和服务器操作系统以及网络管理系统
      • 数据存储库,如数据库管理系统和文件
      • 所有应用程序的列表
      • 网络详细信息,例如支持的协议和网络服务
      • 使用中的安全系统,如访问控制机制,更改控制,防病毒,垃圾邮件控制和网络监控
      • 部署安全组件,例如防火墙和入侵检测系统
      • 过程,例如业务流程,计算机操作过程,网络操作过程和应用程序操作过程
      • 识别和认证机制
      • 政府法律法规与最低安全控制要求有关
      • 记录或非正式政策,程序和指南


TRA流程示例
================================================== ====================.
一个简单的例子
================================================== ====================.
基于NIST.
  1. 识别和文件威胁来源

对于对抗性威胁,您需要访问 潜在攻击者的能力,意图和目标。这是规模NIST的示例,用于量化威胁。注意评估分解为威胁级别的方式与随附的值。计算您的风险将是有限的。 

对于非对抗性威胁, 如果发生事件,您只需衡量潜在的影响。



2.确定威胁事件
从: //www.thesslstore.com/blog/cyber-risk-assessment/
示例NIST给出了五页,这只是强化您需要的全面。您无法准备威胁您未预料的威胁,因此此步骤绝对至关重要。以下是几乎每个组织面临的某种类型的威胁。 

  • 未经授权的访问 - 这可能是对侵犯和非对抗性的,可能发生在攻击,恶意软件或甚至员工错误中。 
  • 授权用户滥用信息 - 这通常是在未经批准的情况下更改,删除或使用时可能发生的内部威胁。  
  • 数据泄漏/意外曝光PII - 个人识别信息,称为欧盟的个人数据,随时被视为遭到破坏,删除或披露未经授权的一方。即使它是偶然的。 
  • 数据丢失 - 此ovetails与上一点,它发生在组织失去或不小心删除数据时发生的备份备份或复制差。 
  • 服务/生产力中断 - 这是一个非常不言自明的。

规模用于评估每个威胁的相关性。

3.识别漏洞和exloit所需的条件
以下是NIST用于确定与该威胁一致的漏洞的规模,然后是什么 - 如果在适当的情况下,以减轻这样的事件,则会因素。

4.确定这种攻击会成功的可能性

5.确定潜在的影响
创建一个两个列表并在一侧组织不同类型的影响(对运营,伤害资产等), 在列出影响可能发挥出来的不同方式。这是一个例子。

您可能也希望涵盖对资产的损害的类别(您甚至想要进一步分割并进入物理资产,数字资产等),对个人或数据主体的危害,对第三方组织造成​​对您的合作伙伴的危害如果你感觉爱国的NIST也有一个“伤害国家的伤害”。

以下是NIST提出用于测量影响的规模。

6.确定您的组织风险



您的风险最终将由事件可能性和潜在影响的汇集来决定。有许多方法来计算这一点,可以使用NIST提供的尺度,分配数字到似然和影响,然后计算它,或者您可以使用您的行业或监管机构支持的替代方法或监督的监管机构。你的组织。由于我们一直引用本文的NIST,因此让我们最后一次使用他们的例子。这是规模NIST建议政府实体量化风险水平: 







使用影响和可能性的值 NIST特刊800-30,这是完整的残余风险评级评估可能看起来像什么。
确定威胁
影响
可能性
价值
风险计算
未经授权的访问(恶意或意外)
高[100]
高的
[1.0]
100 * 1.0 = 100
严重
授权用户滥用信息
高[100]
中[.5]
100 * .5 = 50
升高
数据泄漏/无意曝光客户信息
高[100]
中[.5]
100 * .5 = 50
升高
失败的流程
高[100]
低的
[.1]
100 * .1 = 10
低(正常)
丢失数据
高[100]
低的
[.1]
100 * .1 = 10
低(正常)
干扰服务或生产力
高[100]
低的
[.1]
100 * .1 = 10
低(正常)

tra工具

网络扫描仪

  • 素质漏洞扫描仪
  • nessus漏洞扫描仪
  • nmap.
  • Acunetix Web漏洞扫描仪
  • Burp套件

NIST SP 800-37风险管理框架

参考:

经过 jonny.

发表评论