Security+ 學習筆記51 風險分析

一、風險評估(Risk assessment)

在網絡安全領域，風險是必然的。網絡安全專業人員有很多工作要做。解決這些風險中的每一個都需要時間和金錢。是以，網絡安全專業人員需要對這些風險進行優先排序，以便将這些寶貴的資源用在能産生最大安全效果的地方。這就是風險評估發揮作用的地方。風險評估是根據風險發生的可能性和對組織的預期影響，對組織面臨的風險進行識别和分流的過程。 首先，我們需要一種大家都承認的說法。在日常生活中，人們經常交替使用Threat, Risk, and Vulnerability這些術語，但這實際上是三個不同的概念。

1. 威脅(Threat) 是一些危及我們的資訊和系統安全的外部力量。Threat可能是自然發生的，如飓風和野火，或人為的，如黑客和恐怖主義。threat vector是攻擊者用來接近目标的方法。這可能是一個黑客工具包，社會工程，或實體入侵。
2. 漏洞(Vulnerability) 是我們的安全控制中的弱點，威脅者可能利用這些弱點來破壞你的資訊或系統的保密性、完整性或可用性。漏洞可能包括缺失的更新檔，混亂的防火牆規則，或其他安全錯誤配置。我們可以控制存在于環境中的漏洞，作為安全專家，我們需要花了很多時間去尋找和補救漏洞。
3. 當我們的環境同時包含一個 Vulnerability和一個可能利用該 Vulnerability的相應Threat時，風險(Risk) 就會發生。例如，如果我們最近沒有更新防病毒簽名(Antivirus signatures)，而黑客在網際網路上釋出了一種新的病毒，我們就面臨着一種風險。我們有漏洞，因為缺少一個安全控制，而且有一個威脅，即新病毒。如果威脅或漏洞因素都缺失，就不會有風險。例如，如果我們把備份存儲存放在防火箱裡，就不會有任何建築火災的風險，因為我們的存儲容器不容易起火。

   

在風險評估過程的下一階段，按兩個因素對這些風險進行排序，即它們的可能性(Likelihood)和影響(Impact)。

1. 風險的可能性是它實際發生的機率。例如，在四川和江蘇都有地震的風險。然而，當我們看資料時，可以會發現地震發生的機率在四川要高得多；
2. 風險的影響是指如果風險出現，将會發生的損害的程度。例如，地震可能會對一個資料中心造成毀滅性的破壞，而暴雨可能根本不會造成任何破壞。

當我們進行風險評估時，我們有兩類不同的技術可以用來評估風險的可能性和影響，即定性技術和定量技術(qualitative techniques and quantitative techniques)。定性技術使用主觀判斷來評估風險，定量技術使用客觀的數字評級來評估可能性和影響。下面是一個定性風險評估圖的例子。當考慮一個具體的風險時，評估者首先将可能性評為低、中或高，然後對影響做同樣的評估。然後，圖表對整體風險進行分類。例如，一個高機率、高影響的風險将被歸類為高風險，而一個中等機率、低影響的風險的總體評級為低。

二、量化的風險評估(Quantitative risk assessment)

當我們能夠收集關于我們的資産和風險的量化資料時，我們就可以利用這些資訊對風險做出有資料依據的決定。使用數字資料來協助風險決策的過程被稱為量化風險管理(Quantitative risk management)。執行定量風險評估的安全專業人員每次都是針對單一的風險資産配對進行評估。例如，他們可能會根據一個資料中心被洪水淹沒的風險進行評估。當他們進行評估時，必須首先确定幾個變量的值。

1. 其中第一個是資産價值(Asset value)，或AV，也就是該資産的估計價值。确定資産價值的風險評估員有幾種選擇。原始成本(Original cost) 技術隻是看一下資産購買的發票，并使用這些購買價格來确定資産價值。這是最容易執行的技術，因為它隻需要檢視這些發票。然而，如果資産價格在購買後發生變化，實際更換資産的成本可能會大大增加或減少。折舊成本(Depreciated cost) 技術是一種更好的方法。這種方法從資産的原始成本開始，然後随着資産的老化而降低其價值。折舊技術使用對資産使用壽命的估計，然後逐漸減少資産的價值，直到在其預計的使用壽命結束時達到零。替換成本(Replacement cost) 技術在風險管理人中最受歡迎，因為它産生的結果最接近于一個組織将産生的實際成本。它通過檢視目前供應商的價格來确定在目前市場上更換資産的成本，然後用這個成本作為資産的價值。
2. 我們必須考慮的第二個變量，是暴露系數(Exposure factor)或EF。暴露系數是基于風險評估中所考慮的具體風險，它估計了如果該風險實作，資産将被損壞的百分比。例如，如果我們預計洪水可能會損壞我們資料中心的50%，我們就會把洪水的暴露系數設為50%。
3. 下一個變量是單一損失期望值(Single loss expectancy)，或稱SLE。這是我們預期會發生的實際損失，如果風險發生一次。我們通過将資産價值乘以風險系數來計算SLE。

   

   是以，如果我們有一個價值2000萬美元的資料中心，而我們預計洪水會對設施造成50%的損害，則可以通過将這兩個數字相乘來計算我們的SLE，發現一次洪水會造成1000萬美元的損害。這就是風險的影響。
4. 風險評估也必須考慮風險的可能性。這就是年化發生率(Annualized rate of occurrence)或ARO發揮作用的地方。ARO是指每年我們預計一個風險發生的次數。例如我們可以去政府部門檢視資料，以确定在我們的資料中心附近有1%的年度洪水風險。這就等于說，我們預計每年會有0.01次洪水發生。是以我們的ARO是0.01。
5. 現在，我們的風險分析需要将這些可能性和影響值都納入其中。我們通過計算年化預期損失(Annualized loss expectancy)或ALE來做到這一點。ALE是我們預計每年從該風險資産配對中損失的金額，它是衡量整體風險的一個好方式。我們通過将單一預期損失和年化發生率相乘來計算ALE。

   

   在我們資料中心的洪水風險中，SLE是1000萬美元，ARO是0.01。将這些相乘，我們得到的年化預期損失為10萬美元。我們預計每年因洪水對我們資料中心的風險而損失10萬美元。這個成本不會每年都發生。在現實中，每次洪水發生時，我們會有1000萬美元的損失。但我們隻期望每100年發生一次，是以平均下來每年10萬美元。

定量技術還幫助我們評估在發生故障時迅速恢複其服務群組件的能力。我們通過檢視幾個與時間相關的值來做到這一點。具體使用的數值取決于一項資産是可修複的還是不可修複的，也就是說，我們是否可以修複它，或者它是否需要被替換。

1. 對于不可修複的資産，那些我們無法修複的資産，我們最重要的名額是平均故障時間(Mean time to failure)，即MTTF。這是我們預計在資産失效之前會經過的時間。當使用平均值時，重要的是要記住平均值的含義。該類型的資産有一半會在MTTF之前失效，有一半會比MTTF持續更長的時間。平均值對于規劃來說是很有用的，但不應該完全依賴它們。
2. 如果我們的資産是可修複的，我們看兩個不同的值。第一個是平均故障間隔時間(Mean time between failures)或MBTF。我們對可修複資産追蹤的第二個數值是平均修複時間(Mean time to repair)或MTTR。這是一項資産每次出現故障時，需要停用維修的時間。當我們把MTTR和MTBF值放在一起看時，我們可以很好地了解一個IT元件的預期停機時間。

三、風險類型(Risk types)

當我們準備參加Security+考試時，還應該熟悉CompTIA在考試目标中使用的一些不同的風險分類方法。這種特定的說法是Security+考試中所特有的。首先，CompTIA将風險分為内部和外部風險兩類。

1. 内部風險(Internal risks) 是那些來自組織内部的風險。例如，如果我們處理支票的方式為會計部門的員工創造了欺詐的機會，那麼這就是一個内部風險的例子。我們通常可以通過增加内部控制措施來解決内部風險。在會計的例子中，對支票的簽發增加兩個人的控制可能會減少欺詐的風險；
2. 外部風險(External risks) 是指那些威脅來自于組織之外的風險。例如，攻擊者針對我們的組織進行網絡釣魚攻擊的風險是一種外部風險。我們無法阻止攻擊者進行攻擊，但可以建立内部控制，減少攻擊成功的可能性；
3. 多方風險(Multi-party risks) 是由許多不同的組織共享的。例如，如果一個軟體即服務(SaaS)提供商被破壞，這就是一個多方風險，因為它對該服務提供商的所有客戶構成了風險。
4. 老舊系統(Legacy systems) 也給組織帶來了一種風險。我們通常很難保證老舊系統的安全，特别是那些不再受制造商支援的系統。任何使用老舊系統的組織都應該考慮用現代的解決方案來取代它們，或者仔細設計一套可以減輕老舊系統風險的安全控制措施。
5. 在資訊時代，許多企業提供的價值在于其知識産權(Intellectual property) 。如果攻擊者能夠改變、破壞或竊取這些資訊，就會對企業造成重大損失。企業應該盡最大努力去保護他們在軟體方面的知識産權投資，包括對組織進行審計，并對那些違反許可協定的人處以巨額罰款。使用軟體許可監控軟體來管理我們的合規工作是一個好方法。

四、資訊分類(Information classification)

組織使用資訊分類來幫助使用者了解圍繞處理不同類型資料的安全要求。資料分類政策描述了一個組織中使用的資訊的安全級别，以及将資訊配置設定到特定分類級别的過程。一個組織使用的不同安全類别或分類決定了對機密資訊的适當存儲、處理和通路要求。

安全分類的依據是資訊的敏感性(Sensitivity) 和該資訊對企業的重要性(Criticality)。分類方案各不相同，但基本上都試圖将資訊分為高、中、低三個敏感級别，并區分公共和私人資訊。例如，軍隊使用熟悉的最高機密、機密、保密、非機密方案(Top Secret, Secret, Confidential, Unclassified scheme) 來保護政府資料。另一方面，一個企業可以使用更通用的術語來實作同樣的目标，如高度敏感、敏感、内部和公共(Highly Sensitive, Sensitive, Internal, and Public)。

擁有敏感個人資訊的組織不僅應該考慮如果他們失去對這些資料的控制會對他們的組織産生的影響，還應該考慮對他們的客戶産生的影響。為此，他們應特别注意保護個人身份資訊(identifiable information)，即PII、财務資訊（包括信用卡和銀行賬戶号碼）和健康資訊。

資料分類極為重要，因為它被用作其他資料安全決策的基礎。例如，一家公司可能要求使用強大的加密技術來保護敏感和高度敏感的資訊。當一個組織對資訊進行分類時，它還應該包括對敏感資訊應用一緻标記(label)。使用标準的标記這種做法可以確定使用者能夠一緻地識别敏感資訊，并對其進行适當的處理。

最後，每個組織都應該對敏感資料采取安全處理(Securely dispose) 的相關技術。這應該包括在硬碟、閃存驅動器和其他存儲媒體被扔掉、回收或以其他方式丢棄之前用來擦除它們的安全擦除技術，以及粉碎和其他紙質記錄的檔案銷毀技術。資訊分類經常被用來幫助指導關于計算的決定，包括在場所和雲中的計算。企業可以決定禁止使用雲資源來處理某些分類級别的資訊，或者要求使用專門的安全控制措施，如對處理高度機密資訊的系統進行磁盤卷加密。

整理資料來源：

https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601