介紹

本節面向剛接觸網絡安全風險管理或想要獲得風險管理基本分步方法指導的讀者。以下步驟提供了一組通用的介紹性步驟，可用于幫助您更好地了解所面臨的網絡安全風險，告知您對這些風險的風險管理響應并確定其優先級。

健康警告#1

這里介紹的步驟并非取自任何單一的方法、標準、方法或技術。下面提供的步驟本質上是介紹性的，并不能單獨提供在大型復雜環境中有效管理網絡風險所需的風險管理見解；它們僅適合用作剛剛開始網絡安全風險管理之旅的組織的起點。出于所有這些原因以及更多原因，這些步驟不應被視為 NCSC 批準的網絡安全風險管理方法。

步驟 1 – 建立風險管理的背景

在第一步中，應該考慮可能影響和指導您做出的網絡安全風險管理決策和選擇的因素。這些事情可能包括您組織的業務優先級和目標，應該保護這些事情免受誰或什么的影響（例如，是否需要在官方信息的威脅模型背景下保護系統和服務，或者我們的服務或出于某種原因對網絡犯罪分子或國家行為者有吸引力的系統）、適用于組織的任何法律和監管義務，以及組織為完成其需要做的事情將或不會跨越的網絡安全風險紅線。這種背景應該以幫助人們理解如何管理網絡安全風險的方式表達，至少應通過以下方式來管理：表達對絕對需要保護的內容和原因的自上而下的觀點，并提供有關組織愿意容忍的風險類型和原因以及不愿意容忍的風險的聲明。這些信息將幫助負責制定風險管理決策的人員有效、自信地工作。

步驟2  – 定義風險評估范圍

在開始任何風險評估活動之前，定義評估范圍非常重要。評估范圍應定義正在評估的現有系統或正在構建的新系統的邊界，并且范圍應明確定義其中包含的所有資產。在表達評估范圍時，創建模型圖可能會很有用。這對于傳達和描述范圍有很大幫助。

除了表達評估的邊界之外，對于系統范圍的任何模型來說，描述以下內容也很有用：

• 范圍內的內部以及外部與其他系統、服務或組織的任何互連
• 組織可以對其內的資產和系統施加控制的邊界，以及不能控制的邊界
• 評估范圍內的系統以某種方式依賴的任何外部系統、服務或組織

下面顯示了一個示例范圍圖，其中風險評估的范圍是員工對基于云的應用程序的訪問。這清楚地顯示了范圍內的關鍵系統組件、參與者、連接以及明確超出范圍的內容。

圖片

步驟 3  – 了解資產并評估影響

這一步是為了讓了解關心的事物以及應該保護的事物。為了幫助實現這一點，可以建立一個資產登記冊，其中可能包括（例如）對成功實現業務目標至關重要的設備、系統、服務、軟件、信息和/或流程。此步驟的一個重要部分是識別并記錄組織內每項資產（或資產組）的所有權。這很重要，因為資產所有者是幫助了解與其資產相關的影響的關鍵，他們對資產發生的情況、資產的使用方式以及影響資產的風險應如何管理負責。

現在已經有了資產或您關心的事情的列表，現在應該評估如果這些資產以某種方式受到損害將會產生什么影響。妥協可能包括某人讀取、更改或刪除不該讀取的信息或數據，某人干擾系統或服務的工作方式，以及由于某些故障或原因而完全喪失使用系統、服務或信息的能力。網絡安全攻擊。您應該以對您有意義的方式表達資產影響，以便可以在所有業務資產的背景下理解這些資產的重要性。我們建議您建立風險登記冊，以幫助您記錄您的資產、確定資產的負責人并記錄資產對您的業務的價值。

資產登記冊可能類似于下表，其中清楚地標識了資產及其所有權以及影響評估和評級。需要注意清楚地記錄用于評估影響的任何標簽背后的含義。例如，高影響可能意味著完全喪失實現組織目標的能力，而低影響可能意味著對組織的運營造成不便或輕微干擾。

表 1：資產登記示例

步驟 4 - 評估威脅

這一步是要理解兩件事，

1. 誰或什么可能對您的組織及其目標構成威脅。
2. 他們可能會如何攻擊或以其他方式損害您關心的事物。

為了實現此步驟的第一個目標，您應該尋找威脅信息的權威來源，這些信息可以幫助了解誰可能試圖對組織造成傷害以及原因。此威脅信息可能來自 NCSC 或 NPSA 等國家當局、供應商和/或行業團體，或者基于有關誰攻擊了您或您的部門等組織的歷史知識。如果您不確定如何以一致且可重復的方式描述和傳達有關您的威脅和威脅信息的信息，那么來自 Oasis Open 組織的 STIX v2.1提供了有用的詞匯表。

健康警告#2

保護系統和服務免受每個潛在威脅參與者的影響是不切實際的、不具有成本效益的，或者在大多數情況下甚至是不可能的。因此，重要的是將對威脅的分析和評估與步驟 1 中建立的上下文聯系起來，以便清楚地了解您到底想保護您的系統和服務免受誰的侵害以及原因。例如，如果您的組織決定需要根據官方信息的威脅模型來保護系統或服務那么您可能會認為黑客活動分子、記者、黑客、罪犯和犯罪團伙等威脅行為者是相關的且在范圍內，但您可能會認為國家行為者超出了范圍，因為您的組織已做出基于風險的決定，不尋求保證您的系統或服務受到保護，免受它們的侵害。在不同的情況下，您正在處理的系統或服務可能支持在線銷售商品或支付金錢，這意味著組織可能適合將資源充足的在線犯罪團伙視為犯罪團伙的高門檻。需要保護系統或服務免受威脅。 

下一步是了解威脅可能如何攻擊，以及它們可能針對組織和試圖保護的事物使用的策略和技術。威脅建模等技術以及使用助記符（如STRIDE、網絡殺傷鏈、攻擊樹的開發和威脅信息的公開知識庫（如MITRE ATT&CK））對于建立這種理解非常有幫助，并為進一步評估提供信息。網絡安全風險。

如果不確定如何記錄威脅分析或無法對一種威脅與另一種威脅進行評級，那么可以考慮使用簡單的 3x3 矩陣，其中威脅能力、動機和威脅本身按照簡單的從低到高的等級進行評分。

表 2：威脅分析示例

健康警告 #3

應該意識到，雖然矩陣易于使用，但如果使用不當，可能會導致錯誤和風險傳達錯誤。如果您要使用如上所示的矩陣，請確保仔細傳達量表和所使用的任何標簽的含義。

步驟 5 – 評估弱點

人員、流程、地點和技術中可能存在漏洞，威脅行為者可能會利用這些漏洞來實現其目的和目標。有多種技術和資源可以幫助您評估漏洞：

• 可以使用良好的指導（例如NCSC 的安全系統管理指南、安全設計原則或云安全指南）來幫助您思考使用的系統和服務中可能存在漏洞的位置
• 可以構建攻擊樹來幫助您了解威脅行為者為實現其目標而需要采取的步驟
• 可以利用公開披露的技術漏洞的目錄或數據庫（例如 MITRE 的常見漏洞枚舉 [CVE] 數據庫）來幫助您了解影響您使用的技術的已知漏洞
• 可以使用威脅信息的知識庫（例如 MITRE ATT&CK）來幫助您更多地了解作為現實世界和已知攻擊的一部分而被利用的漏洞
• 可以根據漏洞被利用的難易程度、漏洞在您的組織及其系統中的傳播范圍以及威脅行為者知道或假設您存在影響您的系統的漏洞的難易程度來評估漏洞和服務

如果不確定如何記錄漏洞分析或無法對一個漏洞與另一個漏洞進行評級，那么您可以考慮使用簡單的 3x3 矩陣，其中威脅暴露度、可利用性和漏洞本身按照簡單的從低到高進行評分規模。

表 3：漏洞分析示例

步驟 6 – 估計可能性

以某種方式結合對威脅和漏洞的分析，以評估特定威脅利用特定策略或技術來利用漏洞來實現其目的和目標的可能性，從而對發生。

可能性是對某事發生的可能性的估計，可能性可以用一個尺度來描述，其中 0 表示某事沒有發生的可能性，1 表示某事將會發生，各種確定性/不確定性狀態作為其間的尺度間隔。可能性也可以表示為某事發生的百分比概率，0% 表示沒有機會，100% 表示某事會發生。這些等級可以使用標簽來表示，例如低、中和高。

在考慮可能性時，您應該尋找有關這些威脅、漏洞和攻擊對與您類似的其他組織或部門產生什么影響的信息。例如，如果您的競爭對手或與您合作的合作伙伴組織正在遭受類似的攻擊，那么可以肯定地說您也可能會受到攻擊。

估計可能性的另一種方法是將其視為威脅動機和能力、漏洞利用的容易程度以及您暴露于該漏洞的程度的某種產物。在這種情況下記錄和分析可能性的一個簡單方法是使用如下所示的矩陣，其中威脅和漏洞評級以及可能性進行評分并以簡單的從低到高的等級表示。

表 4：似然分析示例

無論決定估計、分析和描述可能性，都應該記住，風險管理是一種應對不確定性的練習。這意味著我們需要注意，不要通過對風險的任何組成部分（即威脅、脆弱性、影響和可能性）進行估計、評估或評級，給決策者帶來錯誤的確定性。這可以通過幫助決策者了解用于分析、評估和評級風險組成部分（例如可能性）的方法、流程和信息，并以有意義的方式傳達風險來實現。這將在下一步中更詳細地討論。

步驟 7 – 評估網絡安全風險

網絡安全風險是與技術系統和服務的使用相關的未來事件，可能對某人、系統、企業或組織產生某種形式的影響。與其他業務領域（例如金融領域）的風險管理相比，在網絡安全領域，我們認為這一未來事件與我們對技術的使用有關。危害可能包括與信息資產的機密性、完整性和可用性相關的傳統影響，但組織和企業不應將他們的思維僅限于這些信息資產質量。損害可能包括系統或服務的正確運行、其可用性、企業的良好聲譽、組織未能履行其法律、監管或合同責任或財務影響。

如前所述，為了提高對網絡安全風險及其實現方式的理解和評估，可能會發現進行一些威脅建模或構建一些攻擊樹很有幫助。詳細介紹技術漏洞和攻擊的公開信息源（例如常見漏洞枚舉列表和ATT&CK 知識庫）（均由 MITRE 公司提供）也可能有助于了解可能出現問題的情況以及如何出現問題。

為了達到風險的定性水平，我們可以以某種方式將您對可能性的估計（包括威脅和脆弱性）與您對影響的評估結合起來，以得出風險。確保以有意義的方式傳達您的風險，并傳達與風險評估相關的不確定性。

如果沒有足夠的信心根據考慮的威脅、漏洞和影響信息自由地編寫風險聲明，或者您不知道如何將它們組合起來形成風險評級，那么可以考慮使用簡單的矩陣例如下面的可能性評估和影響評估相結合得出風險評級。然后，該風險評級可用于幫助您向決策者傳達已識別風險的重要性，或優先考慮一種風險。

表 5：風險聲明示例

溝通并記錄風險

確保使用風險聲明以有意義的方式傳達風險，使決策者能夠了解所涉及的時間范圍和不確定性。

在向決策者描述風險時，向他們傳達分析的確定性或不確定性非常重要。如果不這樣做，就會向決策者傳達這樣的信息：您完全確定您所描述的風險將會發生。例如，承認不確定性的風險聲明可能如下所示：

“在未來 12 至 24 個月內，我們中的人很有可能成為網絡犯罪團伙使用勒索軟件攻擊的目標（10% 左右）。如果勒索軟件攻擊成功，它可能會導致我們完全無法訪問 IT 和 OT 系統，從而使我們在一段時間內無法與客戶和合作伙伴溝通，無法制造我們的產品或提供我們的服務，直到恢復對我們的系統和信息的訪問為止，我們每天的成本約為 1-200 萬英鎊。”

從這個聲明中你可以看出，我們對可能性、時間尺度和影響的評估存在不確定性。

步驟 8 – 確定風險優先級并提出風險管理行動建議

在此步驟中，應該審查在前面的步驟中提出的整套風險，并確定風險管理的優先級。作為分析師并作為此過程的一部分，需要向業務部門推薦可以最有效地管理所識別的風險的方法。例如，可以建議企業：

• 使用某種技術或非技術網絡安全控制來處理風險
• 通過改變或停止導致風險存在的活動來避免風險
• 通過將處理其財務影響的責任轉移給第三方（例如通過保險）來轉移風險，并指出通過網絡保險轉移風險僅處理已實現的風險的財務影響；風險的其他方面和影響，例如聲譽、法律或監管影響，需要以其他方式進行管理
• 接受風險并且不采取任何行動，同時接受如果風險按照您的分析描述的那樣實現，他們將不得不處理風險的后果

此步驟還提供了一個有用的機會來消除或組合重復的風險，并識別風險之間的聯系和關系。例如，成功的拒絕服務風險可能依賴于最初意識到的網絡釣魚或惡意軟件風險。請參閱下表，該表說明了如何呈現風險優先級列表。

表 6：優先風險示例

步驟 9 – 制定風險處理計劃

如果您建議使用技術或非技術控制措施來處理網絡安全風險，則有必要記錄和描述這些控制措施，并盡可能提供有關如何/應該實施這些控制措施的指導和信息。在考慮您可能尋求應用的控制措施時，考慮使用提供良好控制基準的標準或方案可能會很有用。例如，國際標準組織 (ISO)或NCSC 的 Cyber Essentials 計劃提供的內容。無論您選擇應用什么控制或控制基線，都應注意確保明智且按比例地應用它們，以避免出現不必要的控制或更糟的情況，即控制不能有效地幫助管理風險。雖然真正的風險治療計劃將包括有關擬議治療及其實施方式的更多細節，但基本治療計劃可能如下所示：

表 7：風險處理計劃示例

步驟 10 – 制定保障計劃

保證是一種提供信心的方法，讓我們相信我們關心的事物受到保護，并且安全控制以您期望的方式單獨和協同工作，以確保系統的安全。應不斷從您用于處理網絡安全風險的控制措施（無論是程序、物理、人員還是技術）中尋求保證。因此，通過有效利用保障活動來獲得對風險處理的信心對于管理網絡風險至關重要。要完成此步驟，您需要考慮如何獲得并維持所提議的安全控制的保證。可以尋求保證：

• 安全控制結合起來保護我們關心的業務成果、系統或服務的方式。例如通過設計審查、架構審查、安全測試等。
• 控件的設計方式
• 實施控制的方式
• 控件的使用方式
• 通過控制測試
• 在使用和管理您的系統和服務的人員中
• 在您工作的地方以及容納您的系統和服務的地方
• 在您的業務流程以及您使用的技術系統和服務中

您應該確保您已經考慮了對所建議的所有控制措施的保障，保障計劃可能如下表所示。

表 8：保險計劃示例

步驟 11 – 持續迭代和改進

重要的是：應將風險評估和管理視為一個持續的過程。如果不這樣做，就意味著將很快無法調整系統、服務和安全性來應對新技術和新出現的威脅。這意味著應該定期重新審視網絡安全風險評估和控制措施，并在出現重大變化時立即重新審視。可能促使審查的變化可能包括威脅的變化，或者系統或服務使用方式的重大變化。

后記：風險評估以及風險管理是一個世界性話題，各國在網絡安全領域都會出臺很多有關的文件或資料，我們在一條線索上去學時垂直性的學習和了解，我們在不同線索上學習，是橫向對比不同國家如何管理，一方面找到共通性，另一方面找到個異性。整理這些東西，是我個人學習的一個過程，不是讓大家生搬硬套，而是給大家多一種思路和理解，參考借鑒。