Security+ 學習筆記52 風險管理

一、風險處理方案

一旦我們完成了對組織的風險評估，就會留下一個需要我們注意的風險的優先次序清單。風險管理(Risk management)，或風險處理(Risk treatment)，是系統地分析對每個風險的潛在反應的過程，并實施戰略來适當地控制這些風險。無論我們管理的是什麼風險，都有四個基本選擇來處理這種情況。我們可以進行風險規避(Risk avoidance)，風險轉移(Risk transference)，風險緩解(Risk mitigation)，或風險接受(Risk acceptance)。

1. 當我們規避一個風險時，可能改變自己的組織的業務實踐，使其不再處于一個該風險可能影響的業務的位置。在上一個筆記中，我們對洪水給一個組織的資料中心帶來的風險進行了風險評估。如果我們選擇對該風險采取風險規避政策，我們可能會将資料中心搬遷到一個沒有洪水破壞風險的地方；
2. 轉移風險試圖将風險的影響從我們的組織轉移到另一個組織。最常見的風險轉移的例子是保險單。許多組織現在正在考慮購買網絡安全保險，以防止黑客或身份盜竊造成的經濟損失。其實，通過這種方式，不可能總是完全轉移風險。例如，我們可以購買保險來彌補安全漏洞造成的經濟損失，但沒有任何保險政策可以修複我們的企業在客戶眼中的聲譽；
3. 風險緩解是指采取目的在減少風險的可能性或影響的行動。例如，我們想減輕資料中心被淹的風險，可以會聘請防洪專家來安裝可以将水從我們的設施引開的系統；
4. 在幾乎所有的風險評估中，管理者發現自己面臨着一個非常長的風險清單，而沒有足夠的資源來避免、轉移或減輕所有的風險。出于商業原因，他們必須接受其中的一些風險。風險的接受隻能作為深思熟慮的分析的一部分，确定執行另一個風險管理行動的成本超過了進一步控制風險的好處。在我們的水災情景中，如果其他的風險管理方案都太昂貴了。我們可能會決定在我們目前的設施中繼續營運，接受洪水發生的後。

每個組織都必須為自己的技術和商業環境選擇這些風險管理政策的适當組合。影響一個組織的風險組合被稱為其風險狀況（Risk profile）。而組織則采取風險管理政策來應對該風險狀況中的風險。在實施任何控制措施之前，一個組織存在的初始風險水準是該組織的固有風險(Inerent Rist)。然後，采用控制措施來降低該風險。但是，當然不是每一種風險都能被完全消除。在固有風險被控制措施減少後，仍然存在的風險被稱為殘餘風險(Residual Risk)。另外，控制措施本身也可能引入一些新的風險。例如，如果我們安裝了一個防火牆作為風險管理控制，這可能會大大降低你的風險，但它也增加了一個新的風險，即防火牆本身可能失效。這種因增加控制而産生的新風險被稱為控制風險(Control Risk)。

現實情況是，組織将需要接受一些持續的風險，以便繼續營運。企業上司人必須決定他們選擇接受多大的風險。這是一個被稱為确定組織的風險偏好(Risk appetite) 的過程。風險管理的目标是確定剩餘風險和控制風險的組合低于組織的風險承受力。

二、對安全控制進行分類(Categorizing security controls)

安全專業人員将大部分時間花在設計、實施和管理安全控制上，作為應對我們在風險評估中發現的風險的對策。安全控制(Security controls) 是一個組織為解決安全風險而設定的程式和機制。這些措施可能會減少風險發生的可能性，并将風險發生時将其影響降至最低，或将控制措施落實到位以檢測發生的安全問題。安全控制是為了使我們的風險狀況與我們的風險偏好保持一緻。

安全專家們使用各種不同的類别來分組安全控制。如下兩種不同的方法：首先，我們将讨論按目的或類型(Purpose or Type)對控制措施進行分組：它們是否被設計用來預防、檢測、糾正、阻止或補救(Prevent, Detect, Correct, Deter, or Compensate) 安全問題；然後，我們将按照它們的作用機制( Mechanism of action)，即它們的工作方式來讨論它們。這就把它們分為技術、操作和管理控制(Technical, Operational, and Managerial controls)的類别。需要注意的是，這些類别并不互相排斥。在這些例子中，一個控制措施可以适用于不止一個類别和類型。

1. 預防性控制是指在從一開始就阻止安全問題發生的控制。阻止不需要的網絡流量的防火牆就是預防性控制的一個例子;
2. 檢測性控制可以識别需要進一步調查的潛在安全漏洞。搜尋網絡漏洞迹象的入侵檢測系統(IDS)就是檢測性控制的一個例子;
3. 糾正性控制對已經發生的安全問題進行補救。如果一個攻擊者闖入一個系統并抹去了關鍵資訊，從備份中恢複這些資訊就是糾正性控制的一個例子;

   

4. 威懾性(deterrent)控制目的是防止攻擊者試圖違反安全政策。兇惡的看門狗和有刺的鐵絲網就是相關的例子；
5. 實體控制是影響真實世界的安全控制。實體安全控制的例子包括栅欄、周邊照明、鎖、滅火系統和防盜報警器；
6. 安全控制的最後一種類型是補救性控制。補救性控制目的是在填補安全環境中的一個已知缺口。

   

我們對控制措施進行分類的第二種方式是根據其作用機制：

1. 技術控制正如其名稱的那樣，使用技術來實作安全目标。防火牆、入侵預防系統、加密、資料丢失預防和反惡意軟體都是技術安全控制的例子；
2. 操作控制包括我們為安全地管理技術而設定的程式、包括安全專業人員每天執行的許多任務。例如，使用者通路審查、日志監控、背景調查和進行安全意識教育訓練。要區分技術和操作控制之間的差別有時會有點困難，一個訣竅是記住操作控制是由個人進行的，而技術控制是由技術進行的。例如，防火牆執行規則是一種技術控制，而系統管理者審查防火牆的日志是一種操作控制；
3. 管理控制的重點是風險管理過程的機制。一個常見的管理控制是定期進行風險評估，以确定一個組織或特定資訊系統所面臨的威脅、漏洞和風險。其他管理控制措施包括定期進行安全規劃，并将安全考慮納入組織的變更管理、服務擷取和項目管理方法中。

三、持續的風險管理(Ongoing risk management)

實施安全控制僅僅是風險管理的開始。安全專業人員必須執行各種持續的活動，以確定風險保持适當的管理。這些活動包括監測和評估控制措施，測量控制的有效性，報告和持續改進(Monitoring and assessing controls, Measuring control effectiveness, reporting, and Continuous improvement)。

風險控制評估(Risk control assessments)代表了對一個組織所面臨的風險以及控制措施管理這些風險的能力的一個時間點分析。這些評估可以作為内部安全團隊的自我評估或作為顧問或審計師的外部評估來完成。風險環境經常變化，組織應定期審查這些風險評估，并定期進行控制評估，以測試其安全控制的正确功能和有效性。例如，大多數組織使用防火牆來阻止不需要的網絡流量。對防火牆的控制評估，可以使用網絡掃描工具來驗證它是否允許任何不需要的流量通過。組織還應該對其安全控制的有效性進行正常測量，并利用這些資訊為管理報告提供資訊。這些正常活動應包括技術控制審查和操作控制審查(Technical control reviews and Operational control reviews)。例如，一個組織可能會跟蹤被入侵的最終使用者賬戶的數量，以此來評估反釣魚控制的有效性。他們也可以吸引在面向公衆的系統中檢測到的漏洞數量，以此來評估作業系統和應用程式更新檔的有效性。最後，組織可以使用需要通知個人的資料洩露的數量來衡量其安全計劃的整體有效性。

四、風險管理架構(Risk management frameworks)

風險管理是一個複雜的話題，幸運的是組織不需要從頭開始設計自己的風險管理流程。風險管理架構為執行企業風險管理提供了成熟的、經過時間檢驗的技術。最廣泛使用的風險管理架構之一是由美國聯邦政府機構–國家标準與技術研究所開發的。該架構見于NIST特别出版物800-37。這份檔案有60多頁，包括了關于該架構的大量細節，這對任何參與風險管理的人來說都是一本好書。

該出版物可在NIST的網站上免費擷取。這張圖顯示了根據NIST的規定，管理風險所涉及的六個步驟。

在開始這個過程之前，組織應該收集兩個不同類别的資訊。第一類資訊涉及技術架構，它包括參考模型、技術細節、業務流程資訊和資訊系統的邊界。該過程的第二個輸入是組織的具體資訊，包括适用的法律、法規和政策、組織的戰略、其優先級、資源可用性和供應鍊資訊。而在收集了所有這些資訊後，組織進入風險管理架構的第一步。

1. 在這個步驟中，它對被評估的資訊系統以及由該系統存儲、處理和傳輸的資訊進行分類(Categorize)。這通常是通過影響評估來完成的；
2. 在第二步，組織選擇(Select) 應該用來管理資訊系統風險的安全控制。這是以第一步的系統分類為基礎的。組織可能會從一個标準的控制基線開始，然後增加或減少具體的控制措施，以便根據系統的需要進行規範；
3. 在選擇了控制措施後，組織會進入第三步，實施(Implement) 所選擇的控制措施；
4. 然後在第四步，組織進行控制評估(Assess)，以确定控制是否被正确實施，是否正确運作，以及是否符合安全要求；
5. 在這個評估完成後，組織進入第五步，授權(Authorize) 資訊系統的操作；
6. 一旦系統被授權并運作，我們就進入評估的第六步，在這一步中，組織會持續監控(Monitor) 安全控制，以確定其持續有效，并對任何環境變化做出反應。如果這種監測發現了重大問題，那麼這個循環可能會從第一步開始。

五、控制架構(Control frameworks)

建立一個全面的安全計劃是一個相當大的挑戰，幸運的是，組織中的安全專業人員在設計他們的安全計劃時，不必從一張白紙開始，他們可以使用安全控制架構來幫助確定他們覆寫所有的基礎，并建立控制，以保護組織免受許多可預見的風險。有許多不同的控制架構涉及資訊安全。如下是幾個最常見的架構：

1. 資訊系統和技術控制目标(Control Objectives for Information Technology)，或稱COBIT，是一個由 Information Systems Audit and Control Association開發的安全控制架構。這個架構經常被審計師使用，它非常注重把商業目标和資訊安全的功能聯系起來。COBIT是一份非常詳細的檔案。它涵蓋了六個不同的原則，滿足利益相關者的需求：

   

   啟用一個整體的方法，建立一個動态的治理系統，将治理與管理分開，根據企業的需求定制治理系統，以及覆寫企業的端到端( Meeting stakeholder needs, Enabling a holistic approach, Creating a dynamic governance system, Separating governance from management, Tailoring the governance system to enterprise needs, and Covering the enterprise end to end.)。COBIT還包含實施指南，以幫助那些試圖在其企業中實施該架構的組織。
2. 國際标準化組織(ISO)也釋出了一系列涵蓋安全和隐私問題的控制架構。其中第一個，ISO 27001，涵蓋了資訊安全管理系統。它提供了組織可能努力實作的一般化控制目标。ISO 27001是一個非常常用的标準，因為許多組織在其各種業務功能中都遵循ISO标準。
3. ISO 27002提供了更多的細節，不僅僅是控制目标，還描述了組織可能用來實作其目标的具體控制。
4. ISO 27701為管理隐私而非安全控制提供指導。
5. 最後，ISO 31000為風險管理計劃提供指導。
6. NIST特别出版物800-53，或者更常見的是NIST 800-53。它包含了400多頁關于為政府機構和其他組織建立安全計劃的資訊。如果我們快速看一下目錄，可以知道這份出版物通過資訊安全的基礎知識，談到了多層次的風險管理、安全控制結構、基線和指定、外部服務提供商的使用，以及如何評估資訊系統的保證和可信度。然後，它進入了實施安全和隐私控制的過程，談到了選擇一個适當的安全控制基線，然後根據組織的具體需求定制該基線，為新開發和老舊系統建立疊加和記錄控制選擇過程。

   

7. NIST還釋出了一個Cybersecurity Framework，或CSF，任何人都可以免費使用。該架構的目标是為了解、管理和描述網絡安全風險提供一種共同語言。有了這種共同的語言，組織之間以及與外部合作夥伴（如審計師和政府機構）之間可以進行更有成效的對話。該架構還可以幫助組織确定和優先考慮他們可能采取的行動，以減少網絡安全風險和管理任何剩餘的風險。

   

   下面是對該架構的一個總結：

   

   它包括五個不同的功能，識别、保護、檢測、響應和恢複(Identify, Protect, Detect, Respond, and Recover)。這些類别中的每一個都被劃分為子類别（22個），然後該架構提供了關于這些子類别中的每一個的詳細參考。雖然大多數組織不會逐字逐句地遵循它們，但這些架構确實為任何組織設計适當的控制措施提供了一個有用的工具。

六、風險可見性和報告(Risk visibility and reporting)

網絡安全團隊有各種各樣的風險識别、評估和管理工具供他們使用。風險可見性和報告技術確定這些風險管理過程的結果被清楚地記錄下來，并随着時間的推移進行跟蹤。大多數組織用來維持風險的持續可見性的核心工具是風險登記冊(Risk register)。風險登記冊是一個集中的檔案，跟蹤組織所面臨的每個風險的性質和狀态的資訊。風險登記冊可以在整個組織範圍内使用，也可以用來跟蹤與單一項目或主題領域相關的風險。在某些情況下，風險登記冊可被稱為風險日志(Risk logs)。風險登記冊因組織而異，但它們通常包含以下類型的資訊。

1. 每個風險的描述；
2. 用于分類風險的方案；
3. 風險評估的結果，包括風險的機率和影響；
4. 通過乘以機率和影響分數計算的風險等級(Risk rating)；
5. 風險登記冊還可以包括為管理風險而采取的行動，包括已經完成或正在進行的具體風險緩解步驟。

每個組織都應該在通用模闆的基礎上開發自己的登記冊，但要确定他們組織所面臨的具體風險。在開發風險登記冊時，組織有許多資訊來源，可以幫助在登記冊中填入風險。這些資訊包括：本組織進行的正式風險評估的結果、由内部和外部審計人員确定的審計結果、由資訊技術或規劃團隊成員确定的風險，以及第三方的威脅情報。威脅情報在許多組織保持對其所面臨的風險的可見性的努力中發揮着越來越重要的作用，通過共享威脅情報，組織可以通過向供應商購買威脅情報服務或加入威脅情報共享聯盟來彙集他們的知識，幫助打擊外部威脅。威脅情報共享工作為各組織提供了一種匿名的方式，可以就它們可能經曆的攻擊的性質和特點進行互相交流。威脅情報資訊可用于監測一般的風險趨勢，也可用于操作，例如，建立已知為攻擊源的IP位址黑名單。

最後，需要注意的是，風險登記冊是一份冗長的檔案，往往為企業上司人提供太多的細節。當向高管傳達風險管理概念時，風險專家經常使用風險矩陣或熱圖，如這裡所示。這種方法可以快速總結風險，并使高管迅速關注組織所面臨的最重要的風險。

七、資料安全角色

資料安全是一個複雜的問題，整個組織中許多不同的人在保護資訊方面發揮着作用。如下圍繞資料所有權和管理權的一些重要概念。

1. 資料控制者(Data controllers) 是決定處理個人資訊的原因并指導處理該資料的方法的實體；
2. 資料處理者(Data Processors) 是代表資料控制者處理個人資訊的服務提供者。例如，信用卡處理服務可能是一個零售商的資料處理器。零售商保留作為資料控制者的責任，但它作為資料處理者使用該服務。

在這些組織中，個人往往根據他們的責任擔任不同的角色。我們通常認為這些角色适合于一個三層的模型：

1. 在最進階别，特定資料集的資料所有者(Data Owner) 是對該資料負有全面責任的進階官員。資料所有者圍繞資料使用和資料安全制定政策和指導方針，并有權對資料集做出最終決定。資料所有者通常是負責與資料集最密切相關的任務領域的業務上司。例如，一個組織的人力資源副總裁可能是就業資訊的資料所有者。
2. 資料監管者(Data Steward) 負責執行資料所有者制定的高層政策。例如，資料監管員可能會對誰可以通路一個資料集做出日常決定。
3. 資料保管者(Data custodian) 是實際存儲和處理有關資訊的個人。IT人員經常發現自己處于資料保管人的位置，因為他們的角色是系統所有者和管理者。

資料監管者確定适當的資料保護到位，包括加密、備份、通路控制和其他機制，滿足資料所有者和監管者提出的要求。除了安全之外，資料所有者還有責任確定組織滿足其隐私要求。這些要求可能來自法律、合同或道德方面的義務。例如，如果一個組織存儲了員工的身份證号碼，資料所有者應確定這些号碼得到适當的保護，并且隻用于合法的目的。

整理資料來源：

https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601