一、风险评估(Risk assessment)

在网络安全领域,风险是必然的。网络安全专业人员有很多工作要做。解决这些风险中的每一个都需要时间和金钱。因此,网络安全专业人员需要对这些风险进行优先排序,以便将这些宝贵的资源用在能产生最大安全效果的地方。这就是风险评估发挥作用的地方。风险评估是根据风险发生的可能性和对组织的预期影响,对组织面临的风险进行识别和分流的过程。 首先,我们需要一种大家都承认的说法。在日常生活中,人们经常交替使用Threat, Risk, and Vulnerability这些术语,但这实际上是三个不同的概念。

  1. 威胁(Threat) 是一些危及我们的信息和系统安全的外部力量。Threat可能是自然发生的,如飓风和野火,或人为的,如黑客和恐怖主义。threat vector是攻击者用来接近目标的方法。这可能是一个黑客工具包,社会工程,或物理入侵。
  2. 漏洞(Vulnerability) 是我们的安全控制中的弱点,威胁者可能利用这些弱点来破坏你的信息或系统的保密性、完整性或可用性。漏洞可能包括缺失的补丁,混乱的防火墙规则,或其他安全错误配置。我们可以控制存在于环境中的漏洞,作为安全专家,我们需要花了很多时间去寻找和补救漏洞。
  3. 当我们的环境同时包含一个 Vulnerability和一个可能利用该 Vulnerability的相应Threat时,风险(Risk) 就会发生。例如,如果我们最近没有更新防病毒签名(Antivirus signatures),而黑客在互联网上发布了一种新的病毒,我们就面临着一种风险。我们有漏洞,因为缺少一个安全控制,而且有一个威胁,即新病毒。如果威胁或漏洞因素都缺失,就不会有风险。例如,如果我们把备份存储存放在防火箱里,就不会有任何建筑火灾的风险,因为我们的存储容器不容易起火。

在风险评估过程的下一阶段,按两个因素对这些风险进行排序,即它们的可能性(Likelihood)和影响(Impact)。

  1. 风险的可能性是它实际发生的概率。例如,在四川和江苏都有地震的风险。然而,当我们看数据时,可以会发现地震发生的概率在四川要高得多;
  2. 风险的影响是指如果风险出现,将会发生的损害的程度。例如,地震可能会对一个数据中心造成毁灭性的破坏,而暴雨可能根本不会造成任何破坏。

当我们进行风险评估时,我们有两类不同的技术可以用来评估风险的可能性和影响,即定性技术定量技术(qualitative techniques and quantitative techniques)。定性技术使用主观判断来评估风险,定量技术使用客观的数字评级来评估可能性和影响。下面是一个定性风险评估图的例子。当考虑一个具体的风险时,评估者首先将可能性评为低、中或高,然后对影响做同样的评估。然后,图表对整体风险进行分类。例如,一个高概率、高影响的风险将被归类为高风险,而一个中等概率、低影响的风险的总体评级为低。

二、量化的风险评估(Quantitative risk assessment)

当我们能够收集关于我们的资产和风险的量化数据时,我们就可以利用这些信息对风险做出有数据依据的决定。使用数字数据来协助风险决策的过程被称为量化风险管理(Quantitative risk management)。执行定量风险评估的安全专业人员每次都是针对单一的风险资产配对进行评估。例如,他们可能会根据一个数据中心被洪水淹没的风险进行评估。当他们进行评估时,必须首先确定几个变量的值。

  1. 其中第一个是资产价值(Asset value),或AV,也就是该资产的估计价值。确定资产价值的风险评估员有几种选择。原始成本(Original cost) 技术只是看一下资产购买的发票,并使用这些购买价格来确定资产价值。这是最容易执行的技术,因为它只需要查看这些发票。然而,如果资产价格在购买后发生变化,实际更换资产的成本可能会大大增加或减少。折旧成本(Depreciated cost) 技术是一种更好的方法。这种方法从资产的原始成本开始,然后随着资产的老化而降低其价值。折旧技术使用对资产使用寿命的估计,然后逐渐减少资产的价值,直到在其预计的使用寿命结束时达到零。替换成本(Replacement cost) 技术在风险管理人中最受欢迎,因为它产生的结果最接近于一个组织将产生的实际成本。它通过查看当前供应商的价格来确定在当前市场上更换资产的成本,然后用这个成本作为资产的价值。
  2. 我们必须考虑的第二个变量,是暴露系数(Exposure factor)或EF。暴露系数是基于风险评估中所考虑的具体风险,它估计了如果该风险实现,资产将被损坏的百分比。例如,如果我们预计洪水可能会损坏我们数据中心的50%,我们就会把洪水的暴露系数设为50%。
  3. 下一个变量是单一损失期望值(Single loss expectancy),或称SLE。这是我们预期会发生的实际损失,如果风险发生一次。我们通过将资产价值乘以风险系数来计算SLE。
    因此,如果我们有一个价值2000万美元的数据中心,而我们预计洪水会对设施造成50%的损害,则可以通过将这两个数字相乘来计算我们的SLE,发现一次洪水会造成1000万美元的损害。这就是风险的影响。
  4. 风险评估也必须考虑风险的可能性。这就是年化发生率(Annualized rate of occurrence)或ARO发挥作用的地方。ARO是指每年我们预计一个风险发生的次数。例如我们可以去政府部门查看数据,以确定在我们的数据中心附近有1%的年度洪水风险。这就等于说,我们预计每年会有0.01次洪水发生。所以我们的ARO是0.01。
  5. 现在,我们的风险分析需要将这些可能性和影响值都纳入其中。我们通过计算年化预期损失(Annualized loss expectancy)或ALE来做到这一点。ALE是我们预计每年从该风险资产配对中损失的金额,它是衡量整体风险的一个好方式。我们通过将单一预期损失和年化发生率相乘来计算ALE。

    在我们数据中心的洪水风险中,SLE是1000万美元,ARO是0.01。将这些相乘,我们得到的年化预期损失为10万美元。我们预计每年因洪水对我们数据中心的风险而损失10万美元。这个成本不会每年都发生。在现实中,每次洪水发生时,我们会有1000万美元的损失。但我们只期望每100年发生一次,所以平均下来每年10万美元。

定量技术还帮助我们评估在发生故障时迅速恢复其服务和组件的能力。我们通过查看几个与时间相关的值来做到这一点。具体使用的数值取决于一项资产是可修复的还是不可修复的,也就是说,我们是否可以修复它,或者它是否需要被替换。

  1. 对于不可修复的资产,那些我们无法修复的资产,我们最重要的指标是平均故障时间(Mean time to failure),即MTTF。这是我们预计在资产失效之前会经过的时间。当使用平均值时,重要的是要记住平均值的含义。该类型的资产有一半会在MTTF之前失效,有一半会比MTTF持续更长的时间。平均值对于规划来说是很有用的,但不应该完全依赖它们。
  2. 如果我们的资产是可修复的,我们看两个不同的值。第一个是平均故障间隔时间(Mean time between failures)或MBTF。我们对可修复资产追踪的第二个数值是平均修复时间(Mean time to repair)或MTTR。这是一项资产每次出现故障时,需要停用维修的时间。当我们把MTTR和MTBF值放在一起看时,我们可以很好地了解一个IT组件的预期停机时间。

三、风险类型(Risk types)


当我们准备参加Security+考试时,还应该熟悉CompTIA在考试目标中使用的一些不同的风险分类方法。这种特定的说法是Security+考试中所特有的。首先,CompTIA将风险分为内部和外部风险两类。

  1. 内部风险(Internal risks) 是那些来自组织内部的风险。例如,如果我们处理支票的方式为会计部门的员工创造了欺诈的机会,那么这就是一个内部风险的例子。我们通常可以通过增加内部控制措施来解决内部风险。在会计的例子中,对支票的签发增加两个人的控制可能会减少欺诈的风险;
  2. 外部风险(External risks) 是指那些威胁来自于组织之外的风险。例如,攻击者针对我们的组织进行网络钓鱼攻击的风险是一种外部风险。我们无法阻止攻击者进行攻击,但可以建立内部控制,减少攻击成功的可能性;
  3. 多方风险(Multi-party risks) 是由许多不同的组织共享的。例如,如果一个软件即服务(SaaS)提供商被破坏,这就是一个多方风险,因为它对该服务提供商的所有客户构成了风险。
  4. 老旧系统(Legacy systems) 也给组织带来了一种风险。我们通常很难保证老旧系统的安全,特别是那些不再受制造商支持的系统。任何使用老旧系统的组织都应该考虑用现代的解决方案来取代它们,或者仔细设计一套可以减轻老旧系统风险的安全控制措施。
  5. 在信息时代,许多企业提供的价值在于其知识产权(Intellectual property) 。如果攻击者能够改变、破坏或窃取这些信息,就会对企业造成重大损失。企业应该尽最大努力去保护他们在软件方面的知识产权投资,包括对组织进行审计,并对那些违反许可协议的人处以巨额罚款。使用软件许可监控软件来管理我们的合规工作是一个好方法。

四、信息分类(Information classification)

组织使用信息分类来帮助用户了解围绕处理不同类型数据的安全要求。数据分类政策描述了一个组织中使用的信息的安全级别,以及将信息分配到特定分类级别的过程。一个组织使用的不同安全类别或分类决定了对机密信息的适当存储、处理和访问要求。

安全分类的依据是信息的敏感性(Sensitivity) 和该信息对企业的重要性(Criticality)。分类方案各不相同,但基本上都试图将信息分为高、中、低三个敏感级别,并区分公共和私人信息。例如,军队使用熟悉的最高机密、机密、保密、非机密方案(Top Secret, Secret, Confidential, Unclassified scheme) 来保护政府数据。另一方面,一个企业可以使用更通用的术语来实现同样的目标,如高度敏感、敏感、内部和公共(Highly Sensitive, Sensitive, Internal, and Public)

拥有敏感个人信息的组织不仅应该考虑如果他们失去对这些数据的控制会对他们的组织产生的影响,还应该考虑对他们的客户产生的影响。为此,他们应特别注意保护个人身份信息(identifiable information),即PII、财务信息(包括信用卡和银行账户号码)和健康信息。

数据分类极为重要,因为它被用作其他数据安全决策的基础。例如,一家公司可能要求使用强大的加密技术来保护敏感和高度敏感的信息。当一个组织对信息进行分类时,它还应该包括对敏感信息应用一致标记(label)。使用标准的标记这种做法可以确保用户能够一致地识别敏感信息,并对其进行适当的处理。

最后,每个组织都应该对敏感数据采取安全处理(Securely dispose) 的相关技术。这应该包括在硬盘、闪存驱动器和其他存储介质被扔掉、回收或以其他方式丢弃之前用来擦除它们的安全擦除技术,以及粉碎和其他纸质记录的文件销毁技术。信息分类经常被用来帮助指导关于计算的决定,包括在场所和云中的计算。企业可以决定禁止使用云资源来处理某些分类级别的信息,或者要求使用专门的安全控制措施,如对处理高度机密信息的系统进行磁盘卷加密。

整理资料来源:
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601

Security+ 学习笔记51 风险分析相关推荐

  1. Java学习笔记5-1——多线程

    目录 前言 核心概念 线程创建 继承Thread类 实现Runnable接口 上述两个方法小结 实现Callable接口 并发问题简介 静态代理模式 线程状态 线程停止(stop) 线程休眠(slee ...

  2. 学习笔记 51单片机通用软件延时方法

    对于STC51单片机来说,延时函数,想必都不陌生.而用的最多的延时基本都是通过软件方法实现的,但由于STC51不同系列的芯片所采用的指令集不同,各指令执行所用机器周期不同.例如STC12Cx的一个振荡 ...

  3. Flash/Flex学习笔记(51):3维旋转与透视变换(PerspectiveProjection)

    Flash/Flex学习笔记(49):3D基础 里已经介绍了3D透视的基本原理,不过如果每次都要利用象该文中那样写一堆代码,估计很多人不喜欢,事实上AS3的DisplayObject类已经内置了z坐标 ...

  4. [学习笔记]51单片机

    关于51单片机入门,前提是先学一下电路,不然有的的地方不太容易理解 之前在知乎上看见一位dalao总结的单片机学习分四个层次: 第一个层次:完成单片机开发板的学习,理解单片机的工作,能够看懂单片机的程 ...

  5. Linux下汇编语言学习笔记51 ---

    这是17年暑假学习Linux汇编语言的笔记记录,参考书目为清华大学出版社 Jeff Duntemann著 梁晓辉译<汇编语言基于Linux环境>的书,喜欢看原版书的同学可以看<Ass ...

  6. spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录

    目录 5.2 自定义 Provider 身份认证 5.2.1 编码思路和疑问 5.2.2 创建用户信息配置类 PhonePasswordAuthenticationToken 5.2.2 修改自定义的 ...

  7. 学习笔记(51):Python实战编程-ListBox

    立即学习:https://edu.csdn.net/course/play/19711/343113?utm_source=blogtoedu listbox 知识点: 1)创建listbox: se ...

  8. 单片机学习笔记————51单片机实现带数码管显示的象棋比赛专用计时器

    一.使用proteus绘制简单的电路图,用于后续仿真 二.编写程序 /***************************************************************** ...

  9. Security+ 学习笔记44 网络攻击

    一.拒绝服务攻击(Denial of service attacks) CIA三要素描述了信息安全的三个目标,即保密性.完整性和可用性.攻击者使用的大多数攻击技术都集中在破坏数据的保密性或完整性上. ...

  10. 单片机学习笔记————51单片机实现数码管中的倒计时程序

    一.使用proteus绘制简单的电路图,用于后续仿真 二.编写程序 /***************************************************************** ...

最新文章

  1. LeetCode OJ:Pascal's TriangleII(帕斯卡三角II)
  2. 【Linux】一步一步学Linux——crontab命令(132)
  3. 使用反射把用户控件(ASCX)传至网页(ASPX)
  4. 深入分析AbstractQueuedSynchronizer独占锁的实现原理:ReentranLock
  5. 【NOIP2012模拟10.20】友好数对
  6. 覃超:从湘西到Facebook,硅谷只是技术人生的一小站
  7. pingfangsc字体_2020-iOS GUI-字体规范
  8. uniapp滑动切换tab标签_Web前端,Tab切换,缓存,页面处理的几种方式
  9. c++循环执行一个函数_javascript的五种循环,作为程序员,要根据场景和性能作出选择
  10. html5 box布局,使用Flexbox打造响应式网页网格布局
  11. python语言的三种数字类型_Python语言中的类型之数字类型--Python(10)
  12. 系统学习NLP(十三)--词向量(word2vec原理)
  13. TF2—tf.keras.layers.BatchNormalization
  14. Facebook KeyHash生成方法
  15. codeblocks同一工程下建立多个源文件
  16. 小白也能搞通UDP通信(88E1111 RGMII 接口)
  17. DC Administration Services 宣布ISDA裁决委员会2020年申请流程
  18. 胶囊网络用于推荐系统问题(MIND,CARP)
  19. Linux应用基础——串口应用编程
  20. 【无标题】sap-ecc6.0 ides 安装过程记录

热门文章

  1. 心有所鼠,鼠年快乐~
  2. python—符号 | ^的使用
  3. 基于机器学习的源代码分类
  4. 人工智能数学基础之线性代数(持续更新)
  5. IDEA报Unable to save settings: Failed to save settings. Please restart IntelliJ IDEA
  6. Harbor 2.1发布,工程师的发际线有救了!
  7. CIA网攻中国11年,内网防护刻不容缓!
  8. PHP5应用实例详解
  9. 末日帝国——Agile公司的困境 (4)
  10. 「14」支持向量机——我话说完,谁支持?谁反对?