总字符数: 2.22K
代码: 无, 文本: 1.51K
预计阅读时间: 7 分钟
分析组织的风险
- 分析组织的风险
- 分析风险造成的业务影响
风险管理
确定风险,分析风险,制定应对风险的响应策略,并缓解其带来的未来影响的过程
- 帮助防止或减小安全事件的影响
- 四个阶段
- 评估
- 分析
- 响应
- 缓解
风险分析的组成
- 确定威胁可能会利用的漏洞
- 确定损害发生的可能性
- 确定潜在损害的影响范围
风险分析的阶段
风险分析:用于评估可能对组织造成造成影响的风险损害的过程
- 资产确定
- 漏洞确定
- 威胁评估
- 可能性量化
- 影响分析
- 应对措施的确定
威胁类型的分类
- 自然
- 与天气或其余自然活动造成的其他不可控事件有关
- 人为
- 由个人或集体的人为活动造成的其余事件.可能的有意或无意引起的
- 系统
- 与网络,服务,应用程序或设备中发现的任何缺陷或漏洞有关
风险分析的方式
- 定性
- 使用描述和文字来衡量风险的程度和影响,如高中低
- 通常基于场景
- 可能较为主观并且难以测试
依据人的经验,主观划分,没有明确的定义
- 定量
- 仅基于数值
更加客观,更加科学
- 将风险数据与历史记录,经验,行业最佳实践,统计理论和测试进行对比
但是计算起来比较难,更复杂一些
- 仅基于数值
- 半定量
以上两种方法的结合体
- 使用描述和数值
- 尝试在定量和定性风险之间找到中间地带
风险计算(评估可接受范围)
- SLE:单一不良事件带来的预期财产损失
- ALE:一项风险对组织造成的总体年度损失
- ARO:特定损失预计每年发生的次数
- ALE=SLE*ARO
- 风险计算计算的结果同时取决于损失带来的成本和缓解措施带来的成本
- 漏洞表能帮助记录风险计算因素
处理风险的方式
- 接受
- 承认并接受风险及带来的后果
- 接受并不代表让系统完全地暴露在漏洞之下
- 接受意识涉及到的风险不能完全避免,或是缓解或避免的成本过高
- 转移
- 将风险的责任分配给其他机构,或第三方如:保险公司
- 避免
- 通过消除风险的来源彻底消除风险
- 降低风险
- 采取行动保护免受可能的威胁
- 当潜在风险存在重大影响时进行实施
- 主动防御(IDS)或警示措施(备份处于风险中的数据)
风险缓解和控制类型
- 技术控制(Technical control)
- 应用软硬件装置监控和防止计算机系统于服务中的威胁和攻击
- 管理控制(Management control)
- 应用相应流程监控组织安全策略的服从情况
- 操作控制(Operational control)
又称物理控制
- 用于保护日常业务操作,功能和活动所有方面的安全措施
- 损失/损害控制(Loss/damage control)
- 用户保护关键资产不受侵害的安全措施
变更管理
一种批准并执行变更的系统性方法,以便确保信息技术服务达到最佳的安全性,稳定性和可用性
一般会优先在测试环境测试一遍,一旦变更就可能会引入新的风险,不变更就不会引入新的风险
如果变更失败,先斩后奏,先恢复业务并撰写恢复步骤
- 硬件,软件基础设施和文档记录中的变更可能会有损组织安全性的水平
- 量化培训,支持,维护和实施的成本
- 分析每次变更的益处和复杂性
- 分析
- 变更的需求
- 变更的类型
- 组织文化
- 计划
- 变更角色
- 变更职责
- 解决阻力
- 实施
- 管理过渡阶段
- 确定采用变更
- 执行项目之后的审核
- 分析
- 新的服务数据包为生产服务器修复了几个安全漏洞
- 服务器托管了一个自定义应用程序,该应用必须要保持可用
- 变更管理策略要求对所有服务器数据包进行正式批准
- 新的服务包在进行部署之前,必须在实验服务器中进行测试
- 测试结果显示,该服务器数据包会使自定义应用程序出现崩溃
- 在服务包被部署到生产服务器之前,改自定义应用程序必须进行修正和重新测试
分析风险的准则
- 清晰地定义组织对安全性的期望
- 确定需要进行保护的资产,并确定它们的价值
- 寻找可能存在的漏洞,如果这些漏洞被利用,可能对组织产生的副作用
- 确定资产的潜在威胁
- 确定威胁利用漏洞的可能性
- 确定威胁的影响
- 确定最适合的风险分析方式
- 确定可能的应对措施
- 清晰地记录所有发现和所做决策
许可协议
本文由 kill3r 原创,采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。
分享文章
