(一)、信息安全风险评估一些常见问题
随着信息安全工作实践的不断深入,信息安全风险评估也面临着不少问题。 当前信息安全风险评估面临的最大挑战,已经不再是通用的理论方法和技术规范,而是风险评估的实际效果。主要问题有:
(1)、大量的风险评估由于没有与信息系统的生命周期和安全建设联系起来,仅仅是为评估而评估,问题泛泛而谈,最终呈现出来的是一大堆孤立的风险列表,对系统的重要风险认识不足。
(2)许多安全风险评估结果不具备“可操作性”,风险和业务没有深入的结合,花了很多精力与时间写出的方案却是不可操作的。在风险评估后没有针对风险评估的结果采取对策,系统安全状况最终并未取得实质性的增强和改善。
安全已经到了打硬仗的时候,安全对抗“倒逼”风险评估必须解决实际问题。
(二)、风险评估服务的发展走向
风险评估服务后续的两个走向,一个是往“全”的方向走(更全面更细致),一个是往“专”的方向走(更专注、垂直化)。
(1)、全:系统全生命周期的风险评估。
(也可某种程度叫安全监理、SDL建设)
(2)、专:垂直化的安全评估
基本概念界定:关于风险评估和安全评估:
风险评估:一般指依据相关标准(GB20984),对资产、威胁、脆弱性等风险三要素进行评估,最后计算得出风险值。
安全评估:
安全评估对风险评估主要有两个方面的简化。1、对风险评估的三要素中的某个要素(比如脆弱性进行深入的评估);2、对目标系统的某方面进行评估,比如应用
层的漏洞、比如网络架构、比如数据安全、比如云计算中的虚拟化安全评估等。现在大量的项目(超过80%或90%以上)项目由于投入资源的有限,实质做的都
是安全评估。
(三)、走向一:垂直化的安全评估
简化垂直化的安全评估是风险评估后期发展的一个方向。目前见的比较多的“垂直化安全评估”主要有
3.1、了解对手,更关注威胁
一般的风险评估过程,对威胁评估都不够重视,大都是基于常识数据、业务系统特点以及安全事件触发的方法,威胁的整体评估效果不够深入,与业务关联不够。
通过威胁要素的识别,“威胁的来源”、“威胁的途径”、“威胁的场景”、“威胁的层次”、“威胁的可能性”,以要素为关键点,建立应用系统安全威胁模型,得出业务系统可能面临的安全威胁。从人的视角的威胁源主要有以下四类:
竞争对手、敌对组织都有可能攻击我们,这个好多用户是没有想到的。
Gartner2014年信息安全趋势也专门谈到了从以控制为中心的安全演进至以人为核心的安全。控制了人的权限、行为可以大大的降低风险。
借用nuke同学翻译的一张图,如下
3.2、业务流程仿真测试
为更有效发现业务流程层面的问题,在渗透测试过程中除了黑盒、白盒之外,采用模拟业务用户的工作流程的方法,分析应用系统中可能出现的非法途径可绕过认证等可能误操作和滥用等,也可以发现业务流产生、传输、处理、保存等过程中的安全隐患,验证业务流程的合理性。
3.3、业务流(数据流)安全评估
一般的风险评估会得出一大堆的风险列表,为了使管理员或系统维护人员更形象深入的理解风险、控制风险,在完成通用的系统评估基础工作之上,我们进一步综合
分析得出数据在系统组织内部的流动情况,如数据在何处产生、如何传输、如何处理、如何保存、如何共享和销毁的,各个业务系统间的关系如优先级别和安全等级
的,接口和共享处的设备是什么,接口使用的协议又是什么,数据在在业务系统内部的设备、应用组件中的流动情况(如服务器之间的数据交互、应用组件的数据交
互,具体到所使用的协议、端口号等),通
过对数据流的分析,发现数据流在产生、传输、存储、处理、输出等过程中所经过的各个环节所可能存在的安全隐患。这种安全隐患,可能是应用系统设计上的问
题,也可能是应用组件所在支撑设备的问题。将支撑、应用和操作管理中发现的问题抽象出来投影到业务数据流,得出其对业务系统的威胁,对已才有的安全措施和
应用系统中的安全设计进行评估,分析其能够降低的风险,得到残余风险,最后形成综合的评估报告和解决方案。
3.4、用户信息防泄密安全评估
近年来,个人信息被泄露和滥用事件大有蔓延之势。通过对用户信息产生、用户信息使用、用户信息储存和用户信息销毁等环节的流程分析,清晰对各系统用户信息安全泄露途径的梳理,找出用户信息的风险,并进一步采取措施对风险进行处置。
3.5针对新业务的各种安全评估
包括云计算安全评估、移动APP安全评估、工业控制系统安全评估、智慧城市安全评估等等。
(四)、走向二:全:全生命周期的风险评估(风险管理)
要彻底解决安全问题,需要在业务全生命周期都进行风险识别和处置,使安全风险控制措施100%覆盖所有业务活动,安全提前介入改变传统安全工作疲于被动处
置的低效率而高成本的状态。在系统的需求分析、设计与开发、交付与验收、运行维护、退服阶段都进行全面的风险评估。各个阶段的主要安全工作如下图。
我也简单说下我的见解,传统的风险评估方法确实已经逐渐不适用:
1.传统风险模型中的资产,虽然理论上包括非实物的数据、企业无形资产等,但是实际上对资产进行评估的CIA模型,是比较不适用于非实物资产的,并且在绝大多数企业用的粗糙模型中,CIA三个基本等权重考虑,这明显不靠谱;
2.威胁评估部分,一般从历史来考虑仅仅考虑发生的频率(最常见的操作方式是根据历史事件/事故,结合外部报告数据,国内更多的情况,完全是实施人员自己主观瞎编,没有任何依据),缺乏对态势的考虑,不即时、同时不是很面向未来;
3.弱点评估(或叫脆弱性评估),使用的方法和计算方式也十分落后,纯系统漏洞方面,早已经有了CVSS等评价方法;
4.这还仅是方法层面,还有问题更大的,整个传统的风险评估模型基本都建立在传统的系统设备都是自己的、并且是实体机的情况,在当前的IT环境中,BPaaS、SaaS、PaaS、IaaS广泛应用,公有云、混合云、私有云并存,资产在哪?资产是谁的?资产值多钱?传统方法太多不适用。
写完,收工。
NUKE你写得很不错。
我现在对于风险评估的理解是:
(1)融合多种安全标准、运用多种技术手段评估业务系统过程、管理流程、关键数据、IT基础设施等的安全风险;
(2)结合行业最佳安全实践、业务系统的特点形成安全评估侧重点;
(3)从业务过程与数据生命周期各关键环节的安全控制设计、有效性等展开风险评估;
(4)依据Cobit5.0框架,从企业的IT治理与管理高度以及整体风险管理的角度,评估信息安全风险与企业IT战略和业务安全的关系与影响。