實戰反饋:五大IT風險評估框架
從網絡安全的角度來看,如今的組織正在一個高風險的世界中運營。這種情況下,擁有風險管理框架顯得至關重要,因為風險永遠無法完全消除;它只能得到有效管理。企業評估和管理風險的能力變得前所未有得重要。
而選擇風險評估框架時,最關鍵的考慮因素就是確保它“迎合目的”并最適合預期結果。此外,選擇廣為人知且易于理解的框架同樣有好處,它能夠確保框架的使用更加一致和有效,并允許組織內的個人使用一致的語言。
組織可以利用風險評估框架來幫助指導安全和風險管理人員。以下是其中一些最突出的框架,每個框架都旨在解決特定的風險領域。
NIST風險管理框架
美國國家標準與技術研究院(NIST)的風險管理框架(Risk Management Framework,簡稱RMF)提供了一個全面、可重復和可衡量的七步流程,組織可以用其管理信息安全和隱私風險。它還附帶一套NIST標準和指南,以支持風險管理計劃的實施,使其滿足聯邦信息安全現代化法案(FISMA)的合規要求。
據NIST稱,RMF提供了一個將安全、隱私和供應鏈風險管理活動集成到系統開發生命周期中的流程。它可以應用于任何類型的系統或技術,包括物聯網(IoT)和控制系統,以及任何類型的企業組織——無論其規模或部門如何。NIST RMF的七個步驟為:
- 準備,包括使組織準備好管理安全和隱私風險的必要活動;
- 分類,包括分類系統和基于影響分析處理、存儲和傳輸的信息;
- 選擇,即根據風險評估選擇一組NIST SP 800-53控制來保護系統;
- 實施,部署控制系統并記錄它們的部署方式;
- 評估,確定控制系統是否到位,是否按預期運行,并產生預期的結果;
- 授權,高級管理人員做出基于風險的決定來授權系統運行;
- 監控,包括持續監控控制系統的實施和系統風險。
NIST RMF可以根據企業組織需求進行定制,且經常能夠得到評估和更新,許多工具支持該標準。IT專業人員在部署NIST RMF時要明白,它不是一個自動化工具,而是一個需要嚴格遵守紀律以正確建模風險的文件化框架,這一點至關重要。
目前,NIST已經出版了一些易于理解且適用于大多數組織的風險相關出版物。這些參考資料提供了一個整合安全、隱私和網絡供應鏈風險管理活動的流程,有助于控制選擇和政策制定。
OCTAVE
運營關鍵威脅、資產和漏洞評估(OCTAVE)由卡內基梅隆大學的計算機應急小組(CERT)開發,是用于識別和管理信息安全風險的框架。它定義了一種綜合評估方法,允許組織識別對其目標很重要的信息資產、對這些資產的威脅以及可能使這些資產面臨威脅的漏洞。
通過將信息資產、威脅和漏洞結合在一起,組織能夠全面了解哪些信息面臨風險。而有了這種理解,他們就可以設計和部署策略來降低信息資產的整體風險敞口。
目前,有兩個版本的OCTAVE。一個是OCTAVE-S,這是一種簡化方法,專為具有扁平層次結構的小型企業組織而設計。另一個是OCTAVE Allegro,這是一個更全面的框架,適用于大型或結構復雜的企業組織。
可以說,OCTAVE是一個精心設計的風險評估框架,因為它從物理、技術和人力資源的角度來看待安全。它可以識別對任何組織而言都是關鍵任務的資產,并發現威脅和漏洞。但是,部署起來可能非常復雜,而且只能通過定性方法進行量化。
不過,這種框架的靈活性允許運營團隊和IT團隊一起協作來解決企業組織的安全需求。
COBIT
來自ISACA(國際信息系統審計協會)的“信息和相關技術的控制目標”(COBIT)是IT管理和治理的框架。它旨在以業務為中心,并為IT管理定義了一組通用流程。每個流程都融合了流程輸入和輸出、關鍵活動、目標、績效度量和基本成熟度模型等因素。
據ISACA稱,最新版本的COBIT 2019提供了更多的實施資源、實踐指導和見解,以及全面的培訓機會,其實施更加靈活,使組織能夠通過框架定制他們的治理過程。
COBIT是與IT管理流程和政策執行相一致的高級框架。不過,挑戰在于COBIT成本高昂,并且需要具備很高的知識和技能才能實施。
該框架是解決企業組織信息和技術治理和管理的唯一模型。雖然COBIT的主要目的不是專門針對風險,但它在整個框架中整合了多種風險實踐,并引用了多個全球公認的風險框架。
TARA
據非營利組織MITRE(從事包括網絡安全在內的技術領域研究和開發)稱,威脅評估和補救分析(TARA)是一種工程方法,用于識別和評估網絡安全漏洞并部署對策來緩解它們。
該框架是MITRE系統安全工程(SSE)實踐組合的一部分。MITRE表示,“TARA評估方法可以被描述為聯合交易研究,其中第一個交易是基于評估的風險識別和排列攻擊向量,第二個交易是基于評估的效用、成本識別和選擇對策。”
該方法的獨特之處包括使用目錄存儲的緩解映射,為給定的攻擊向量范圍預先選擇可能的對策,以及提供基于風險容忍度的對策策略。
TARA是一種在考慮緩解措施的同時確定關鍵風險的實用方法,并且可以增強正式的風險方法以包含有關攻擊者的重要信息,這些信息可以改善風險狀況。
FAIR
信息風險因素分析(FAIR)是對導致風險的因素以及它們如何相互影響的分類法。該框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones開發,主要為數據丟失事件的頻率和幅度建立準確的概率。
FAIR不是執行企業或個人風險評估的方法。但它為組織提供了一種理解、分析和衡量信息風險的方法。該框架的組成部分包括信息風險分類法、信息風險術語的標準化命名法、建立數據收集標準的方法、風險因素的度量尺度、評估風險的計算引擎以及分析復雜風險情景的模型。
FAIR是為信息安全和運營風險提供可靠量化模型的少數方法之一。這種務實的風險框架為評估任何企業的風險提供了堅實基礎。不過,雖然FAIR提供了威脅、漏洞和風險的全面定義,但它卻沒有很好的記錄,因此很難實施。
與其他風險框架不同的是,FAIR的重點是將風險量化為實際美元,而不是傳統的“高、中、低”評分。這一點也正在獲得高級領導者和董事會成員的關注,通過有意義的方式更好地量化風險,從而實現更深思熟慮的業務討論。
本文翻譯自:https://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html
