1 .为什么风险管理很重要
2 .风险无法消除
3 .不同的管理技术将如何定义“风险”
4 .管理不可定义的事物
5 .不确定性是风险的重要组成部分
6 .合规≠风险管理
7 .关于网络风险的一个词(或两个、三个或更多)
了解支撑 NCSC 网络安全风险管理指南的核心概念。
本节重点介绍风险管理的基础知识。在这里,我们不会讨论标准或政策,甚至不会讨论与网络安全直接相关的任何内容。相反,我们将介绍一些风险管理的基本原则,无论您是在研究疾病爆发、股票市场的涨跌还是网络攻击的风险,这些原则都与您相关。
风险管理的存在是为了帮助我们以深思熟虑、负责任和道德的方式制定未来计划。这要求风险管理者探索组织、项目、计划或服务中可能出现的正确或错误,并认识到当我们试图改善前景时,我们永远无法完全了解未来。风险管理是分析我们的选择及其未来后果,并以易于理解、可用的形式呈现该信息,以改进决策。
风险管理的出发点是承认风险不能简单地消除。必须认识到风险,然后以某种方式进行管理;通常是为了避免、接受、治疗或转移风险。
风险管理通常需要分析风险的人员和 根据该分析做出决策的人员之间建立关系。这两个群体之间的沟通必须清晰、易懂且有用。如果决策者无法解释他们所看到的分析,那么进行风险分析就毫无意义。
正如我们稍后将更详细讨论的,风险可以通过不同的方式定义。例如,BS ISO/IEC 27005:2022 将风险定义为“不确定性对目标的影响”。然而,有一系列不同的技术可用于分析风险。
因此, “风险”一词的确切含义将根据您对给定问题应用的技术而变化。因此,重要的是不要拘泥于一个严格的定义,因为您可能会不必要地忽视那些与该定义不一致的技术。
一些网络风险管理技术将风险定义为威胁、脆弱性和影响的组合。其他人则根据要实现或避免的高级结果来定义风险。您可能需要能够同时使用两者,因此不要不必要地限制自己。
去任何一个风险管理会议,你都会听到以下抱怨:
我们对风险没有明确的定义。我们究竟如何管理我们尚未定义的东西?
这是一个公平的观点。如果我们不能就定义达成一致,我们如何才能真正了解其他人在谈论“风险”时的含义?
我们认为缺乏一致同意的定义是良好风险管理的重要驱动力。事实上,组织不一定确切地知道每个人如何定义“风险”,这迫使我们互相解释我们的意思。它让我们提出问题并挑战假设。这是风险管理的根本力量;它提供了一种谈论未来、我们关心的结果以及如何努力实现这些结果的方式。
当然,对于各个组织来说,定义风险的含义可能是值得的(例如,为了其供应链的利益)。毕竟,风险通常是从组织的角度进行分析的,因此明智的做法是制定一个代表该组织工作的任何人都同意的本地定义。
风险管理的目的是使我们能够根据对未来事件和结果的分析做出最佳决策。未来是可以预测的,但要在我们分析的不确定性所限定的范围内。
风险是我们所做一切的一部分。你不仅要“承担”你意识到的风险,而且还要“冒”你一直没有意识到的风险。这引入了关于风险的重要一点;由于这种不确定性,不可能了解和理解任何个人、组织或网络在任何时候运行的所有风险。你总是会面临你不知道的风险。
有一些过于大胆的标准和框架声称,如果您勤奋而全面地遵循一组特定的程序,您将“了解所有风险”。这是一个错误且危险的想法。相反,您应该以现实主义和实用主义的态度来进行风险管理。网络安全漏洞可能而且确实发生在任何人身上,即使是最勤奋的人也是如此。
风险管理的目的不是追求完美安全的系统和无风险业务的不可实现的目标。相反,它是为了确保您已经考虑到什么地方可能会出错,并且这种想法影响了您组织的决策。
不要宿命论;您仍然可以保护自己免受许多网络攻击,但如果确实出现问题,并不总是有人应该受到指责,或者您的风险经理错过了某些事情。
“改善结果”并不总是进行风险管理的主要驱动力。通常,组织出于“合规”原因进行风险管理练习,其中可能包括:
来自外部压力的义务(例如监管要求)
客户的需求
法律约束
当出于这些原因而采取行动时,风险管理就有可能成为一项勾选框练习。这可能导致组织相信他们已经管理了风险,而实际上他们只是遵守了可能产生(尽管是无意的)负面后果的流程。
它们可能重叠,但遵守通用安全标准可以与非常薄弱的安全实践共存并掩盖。
出于合规原因执行的风险管理有时被描述为“防御性风险管理”。以这种方式进行的风险管理可能会导致过度关注保护组织的声誉(或保护组织免遭起诉、罚款或遭受类似的外部制裁)。防御性风险管理是指在发生不好的事情时能够证明您没有疏忽。重点是证明某件事已经完成。
这不一定是坏事。在许多行业中,合规性要求是不可避免的。但是,如果您正在进行防御性风险管理,请确保:
员工了解网络风险管理目标将是满足外部需求(而不是解决特定的安全目标)
您了解为合规而应用的风险管理技术的局限性
您采用进一步的技术来解决合规性的限制(本指南中介绍的某些技术类别可以帮助您做到这一点)
以合规为中心的团队的目标可能会与组织的更广泛目标不一致。当这种分离发生时,以合规为中心的团队可能会对组织其他部门的工作产生不切实际的看法,从而导致糟糕的决策。NCSC 在此建议各组织明确、诚实地说明为何进行网络风险管理。如果这是出于合规原因,请制定一个计划,说明您建议如何防止上述某些行为。
这听起来可能有悖常理,但管理“合规性”固有的风险与管理任何其他风险一样重要。
本节我们将阐述一些有关网络安全风险的非常基本的概念,并揭露一些在网络社区中具有一定吸引力的神话,这些神话可能会导致一些意想不到的结果。本节代表 NCSC 对网络风险的看法,但正如引言中所讨论的,还有其他处理风险的方法。如果您认为这些方法和定义更适合您的业务,您可以自由使用它们。
风险有多种定义。NCSC 是 GCHQ 的一部分,也是一个政府机构,因此我们应该首先查看财政部橙皮书,它是这样定义风险的:
风险是不确定性对目标的影响。风险通常用原因、潜在事件及其后果来表示:
原因是单独或组合起来有可能引起风险的因素;
事件是一组情况的发生或变化,可以是预期但未发生的事情,也可以是预期之外但确实发生的事情。事件可能有多种原因和后果,并可能影响多个目标;
事件发生时的后果——后果是影响目标的事件的结果,可以是确定的或不确定的,可以对目标产生积极或消极的直接或间接影响,可以定性或定量地表达,并且可以通过级联和累积的方式升级影响。
当然,本指南的 HMG 读者应该熟悉橙皮书以及其中规定的原则和概念,因为网络风险必须始终在更广泛的业务风险背景下进行设置。
然而,NCSC 也喜欢使用《牛津英语词典》中的更简单的定义:
(暴露于)损失、伤害或其他不利或受欢迎的情况的可能性;涉及这种可能性的机会或情况。
剑桥高级学习词典的 精髓是:
发生不好的事情的可能性。
在 NCSC 中,我们倾向于采用后一种网络风险定义。也就是说,我们绝对担心发生不好的事情的可能性。
但我们也关注橙皮书的定义,因为如果我们要评估、分析和解决网络风险,就需要定义和理解这些要素。然而,我们用来分解网络风险的词语与橙皮书对风险的定义有很大不同,我们接下来会讨论这个问题。
这里的关键要点是,对于网络风险,NCSC 担心发生不良事件的可能性。
NCSC 对网络风险的组成部分进行了如下描述和思考:
威胁是可能导致不良事件发生的个人或组织。这些人通常被称为威胁行为者;而 危险 是可能导致不好的事情发生的事件(通常但不总是自然事件)。关键区别在于, 威胁 会导致不好的事情发生,而 危害 是发生并造成伤害的事件。
应从四个组成部分考虑 威胁:能力、意图、动机和机会。意图和动机经常互换,但这是不正确的,因为它们是两个不同的东西,并且每一个都与如何评估威胁有关。
能力
能力是威胁行为者可能使用的技能、技术和资源,从能力极强的威胁行为者(拥有高端技能和技术以及可支配的大量资源)到能力低下的威胁行为者(他们试图使用互联网上免费提供的网络工具。在评估能力时应考虑限制因素,因为一些威胁行为者的行动不受其行为的相称性、道德或法律约束,而其他威胁行为者将在明确定义的法律、道德和相称性限制内运作(这意味着他们不一定会根据目标发挥其全部能力)。
意图
这就是威胁行为者想要实现的目标。这可能包括从简单的信息盗窃到对网络物理系统(例如铸铁厂)造成实际的物理损坏,以及介于两者之间的任何点。
动机
这就是威胁行为者发动网络攻击的动机。低端威胁参与者可能会看到他们可以在没有任何造成伤害意图的情况下进入 IT 系统多远。而网络犯罪分子只想赚钱,可能不关心他们的目标受害者是谁,也不关心他们的行为可能产生的更广泛影响。然后是国家威胁行为者,他们可能希望获得或否认战略优势,或通过他们的行动发表地缘政治声明。
机会
这是威胁行为者进行网络攻击的机会。此机会通常由关系提供,并访问威胁行为者对技术系统或服务的访问权。例如,在组织中担任系统管理员的人比在组织中工作且无权访问系统的清洁工有更大的机会攻击该组织。漏洞也可以为威胁提供机会;例如,配置错误的基于云的存储系统可能为攻击者提供读取、更改和/或删除存储在其中的信息的机会。
可能性
发生不好的事情的可能性或机会。评估可能性的方法有很多,这些方法将在风险管理指导组合的其他部分中讨论。
这是系统中可能被威胁者利用或可能受到危险影响的任何弱点。这些漏洞不一定是技术性的(例如软件、硬件和固件)。它们也可能是程序、物理和环境安全以及人员安全方面的弱点。
安全控制是为减轻已识别风险而采取的技术和非技术措施。它们大致分为四类:程序控制、物理控制、人员控制和技术控制(有时称为 P 3 T)。大多数安全缓解方法将包括所有四种类型的控制的组合。这些是处理风险的方法。
程序安全
程序安全是提供安全控制,旨在通过政策、程序、流程或指南来减轻或处理已识别的风险。
物理安全
物理安全是指提供控制措施,旨在通过对建筑物、设施、IT 设备、人员等资产进行物理保护来减轻或处理已识别的风险。
人员安全
人员安全是为减轻或处理网络系统授权用户的风险而采取的措施。这些措施可能包括审查、培训和威胁意识活动。
技术保障
技术安全是网络系统内置的措施,旨在减轻或处理已识别的风险。例如,这些控制可能包括防火墙、安全配置、访问控制、反恶意软件以及软件更新和修补。本质上,这些是设计到网络系统中的控制措施,旨在解决网络安全风险。
商业冲击
这就是对业务的影响,是我们试图避免的“不好的事情发生”。传统上,这以信息以及机密性、完整性和可用性的属性为中心。这有时称为 C/I/A 三元组。虽然在考虑信息安全影响时这仍然是一个有用的定义,但我们需要记住,网络安全不仅仅是信息的安全。“发生不好的事情”可能是网络系统变得无法使用、不可靠或不安全,或者是导致金钱损失、合同损失、声誉损失甚至业务失败的网络事件。
注意:将业务影响的定义仅限于信息和机密性、完整性和可用性的属性是一种限制方法。值得注意的是,NCSC 的指南旨在用于所有网络系统(包括运营技术或在线服务),而不仅仅是那些主要关注信息风险的系统。
风险偏好
风险偏好是我们定义与业务或运营机会相关的风险红线的方式。例如,这可能包括组织、项目、运营或系统所有者绝对不愿意接受风险的内容,例如履行其保护个人信息的法律/监管义务或继续工厂运营。这些风险红线必须以易于理解和理解的方式传达给需要与之合作的人员。有关风险偏好的更多信息(包括如何定义和传达风险偏好),请访问 您饿了吗?关于风险偏好的博客由两部分组成。
风险评估
虽然没有适用于所有组织的“一刀切”的风险评估方法,但大多数正式和非正式的风险评估方法都涵盖相同的基础。FAIR 研究所的 Jack Jones 在《风险分析与风险评估:有什么区别?》中对风险评估所涵盖的领域进行了高度概括。 (fairinstitute.org),他列出了典型风险评估流程将包括的内容:
识别导致风险的问题(威胁/危害、可能性、脆弱性)
分析风险带来的潜在业务影响
确定处理、转移、避免或接受所出现风险的选项
确定哪些选项最适合您的业务
向企业内的决策者传达结果和建议
联系客服