從網(wǎng)絡(luò)安全的角度來看,,如今的組織正在一個高風(fēng)險的世界中運營,。這種情況下,,擁有風(fēng)險管理框架顯得至關(guān)重要,,因為風(fēng)險永遠(yuǎn)無法完全消除,;它只能得到有效管理,。企業(yè)評估和管理風(fēng)險的能力變得前所未有得重要,。
而選擇風(fēng)險評估框架時,,最關(guān)鍵的考慮因素就是確保它“迎合目的”并最適合預(yù)期結(jié)果,。此外,,選擇廣為人知且易于理解的框架同樣有好處,它能夠確??蚣艿氖褂酶右恢潞陀行?,并允許組織內(nèi)的個人使用一致的語言。
組織可以利用風(fēng)險評估框架來幫助指導(dǎo)安全和風(fēng)險管理人員,。以下是其中一些最突出的框架,,每個框架都旨在解決特定的風(fēng)險領(lǐng)域。
NIST風(fēng)險管理框架
美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的風(fēng)險管理框架(Risk Management Framework,,簡稱RMF)提供了一個全面,、可重復(fù)和可衡量的七步流程,組織可以用其管理信息安全和隱私風(fēng)險,。它還附帶一套NIST標(biāo)準(zhǔn)和指南,,以支持風(fēng)險管理計劃的實施,使其滿足聯(lián)邦信息安全現(xiàn)代化法案(FISMA)的合規(guī)要求。
據(jù)NIST稱,,RMF提供了一個將安全,、隱私和供應(yīng)鏈風(fēng)險管理活動集成到系統(tǒng)開發(fā)生命周期中的流程。它可以應(yīng)用于任何類型的系統(tǒng)或技術(shù),,包括物聯(lián)網(wǎng)(IoT)和控制系統(tǒng),,以及任何類型的企業(yè)組織——無論其規(guī)模或部門如何,。NIST RMF的七個步驟為:
準(zhǔn)備,,包括使組織準(zhǔn)備好管理安全和隱私風(fēng)險的必要活動;
分類,,包括分類系統(tǒng)和基于影響分析處理,、存儲和傳輸?shù)男畔ⅲ?/p>
選擇,即根據(jù)風(fēng)險評估選擇一組NIST SP 800-53控制來保護(hù)系統(tǒng),;
實施,,部署控制系統(tǒng)并記錄它們的部署方式;
評估,,確定控制系統(tǒng)是否到位,,是否按預(yù)期運行,并產(chǎn)生預(yù)期的結(jié)果,;
授權(quán),,高級管理人員做出基于風(fēng)險的決定來授權(quán)系統(tǒng)運行;
監(jiān)控,,包括持續(xù)監(jiān)控控制系統(tǒng)的實施和系統(tǒng)風(fēng)險,。
NIST RMF可以根據(jù)企業(yè)組織需求進(jìn)行定制,且經(jīng)常能夠得到評估和更新,,許多工具支持該標(biāo)準(zhǔn),。IT專業(yè)人員在部署NIST RMF時要明白,它不是一個自動化工具,,而是一個需要嚴(yán)格遵守紀(jì)律以正確建模風(fēng)險的文件化框架,,這一點至關(guān)重要。
目前,,NIST已經(jīng)出版了一些易于理解且適用于大多數(shù)組織的風(fēng)險相關(guān)出版物,。這些參考資料提供了一個整合安全、隱私和網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理活動的流程,,有助于控制選擇和政策制定,。
OCTAVE
運營關(guān)鍵威脅、資產(chǎn)和漏洞評估(OCTAVE)由卡內(nèi)基梅隆大學(xué)的計算機應(yīng)急小組(CERT)開發(fā),,是用于識別和管理信息安全風(fēng)險的框架,。它定義了一種綜合評估方法,,允許組織識別對其目標(biāo)很重要的信息資產(chǎn)、對這些資產(chǎn)的威脅以及可能使這些資產(chǎn)面臨威脅的漏洞,。
通過將信息資產(chǎn),、威脅和漏洞結(jié)合在一起,組織能夠全面了解哪些信息面臨風(fēng)險,。而有了這種理解,,他們就可以設(shè)計和部署策略來降低信息資產(chǎn)的整體風(fēng)險敞口。
目前,,有兩個版本的OCTAVE,。一個是OCTAVE-S,這是一種簡化方法,,專為具有扁平層次結(jié)構(gòu)的小型企業(yè)組織而設(shè)計,。另一個是OCTAVE Allegro,這是一個更全面的框架,,適用于大型或結(jié)構(gòu)復(fù)雜的企業(yè)組織,。
可以說,OCTAVE是一個精心設(shè)計的風(fēng)險評估框架,,因為它從物理,、技術(shù)和人力資源的角度來看待安全。它可以識別對任何組織而言都是關(guān)鍵任務(wù)的資產(chǎn),,并發(fā)現(xiàn)威脅和漏洞,。但是,部署起來可能非常復(fù)雜,,而且只能通過定性方法進(jìn)行量化,。
不過,這種框架的靈活性允許運營團(tuán)隊和IT團(tuán)隊一起協(xié)作來解決企業(yè)組織的安全需求,。
COBIT
來自ISACA(國際信息系統(tǒng)審計協(xié)會)的“信息和相關(guān)技術(shù)的控制目標(biāo)”(COBIT)是IT管理和治理的框架。它旨在以業(yè)務(wù)為中心,,并為IT管理定義了一組通用流程,。每個流程都融合了流程輸入和輸出、關(guān)鍵活動,、目標(biāo),、績效度量和基本成熟度模型等因素。
據(jù)ISACA稱,,最新版本的COBIT 2019提供了更多的實施資源,、實踐指導(dǎo)和見解,以及全面的培訓(xùn)機會,,其實施更加靈活,,使組織能夠通過框架定制他們的治理過程,。
COBIT是與IT管理流程和政策執(zhí)行相一致的高級框架。不過,,挑戰(zhàn)在于COBIT成本高昂,,并且需要具備很高的知識和技能才能實施。
該框架是解決企業(yè)組織信息和技術(shù)治理和管理的唯一模型,。雖然COBIT的主要目的不是專門針對風(fēng)險,,但它在整個框架中整合了多種風(fēng)險實踐,并引用了多個全球公認(rèn)的風(fēng)險框架,。
TARA
據(jù)非營利組織MITRE(從事包括網(wǎng)絡(luò)安全在內(nèi)的技術(shù)領(lǐng)域研究和開發(fā))稱,,威脅評估和補救分析(TARA)是一種工程方法,用于識別和評估網(wǎng)絡(luò)安全漏洞并部署對策來緩解它們,。
該框架是MITRE系統(tǒng)安全工程(SSE)實踐組合的一部分,。MITRE表示,“TARA評估方法可以被描述為聯(lián)合交易研究,,其中第一個交易是基于評估的風(fēng)險識別和排列攻擊向量,,第二個交易是基于評估的效用、成本識別和選擇對策,?!?/p>
該方法的獨特之處包括使用目錄存儲的緩解映射,為給定的攻擊向量范圍預(yù)先選擇可能的對策,,以及提供基于風(fēng)險容忍度的對策策略,。
TARA是一種在考慮緩解措施的同時確定關(guān)鍵風(fēng)險的實用方法,并且可以增強正式的風(fēng)險方法以包含有關(guān)攻擊者的重要信息,,這些信息可以改善風(fēng)險狀況,。
FAIR
信息風(fēng)險因素分析(FAIR)是對導(dǎo)致風(fēng)險的因素以及它們?nèi)绾蜗嗷ビ绊懙姆诸惙āT摽蚣苡?Nationwide Mutual Insurance前首席信息安全官Jack Jones開發(fā),,主要為數(shù)據(jù)丟失事件的頻率和幅度建立準(zhǔn)確的概率,。
FAIR不是執(zhí)行企業(yè)或個人風(fēng)險評估的方法。但它為組織提供了一種理解,、分析和衡量信息風(fēng)險的方法,。該框架的組成部分包括信息風(fēng)險分類法、信息風(fēng)險術(shù)語的標(biāo)準(zhǔn)化命名法,、建立數(shù)據(jù)收集標(biāo)準(zhǔn)的方法,、風(fēng)險因素的度量尺度、評估風(fēng)險的計算引擎以及分析復(fù)雜風(fēng)險情景的模型,。
FAIR是為信息安全和運營風(fēng)險提供可靠量化模型的少數(shù)方法之一,。這種務(wù)實的風(fēng)險框架為評估任何企業(yè)的風(fēng)險提供了堅實基礎(chǔ)。不過,,雖然FAIR提供了威脅,、漏洞和風(fēng)險的全面定義,,但它卻沒有很好的記錄,因此很難實施,。
與其他風(fēng)險框架不同的是,,F(xiàn)AIR的重點是將風(fēng)險量化為實際美元,而不是傳統(tǒng)的“高,、中,、低”評分。這一點也正在獲得高級領(lǐng)導(dǎo)者和董事會成員的關(guān)注,,通過有意義的方式更好地量化風(fēng)險,,從而實現(xiàn)更深思熟慮的業(yè)務(wù)討論。
