信息安全风险评估除了定性评估、半定量评估、基于业务线LOB评估外,还包括合规基线评估、基于流程的安全评估、基于应用生命周期评估等等,这些都是在基本的风险评估的基础上,按评估目的进行了局部必要的改变,其评估的核心方法并没有改变,在此就不再一一进行介绍。
前面六篇文章将信息安全风险评估大体上进行了一个梳理,在《沧海桑田,看风险评估在这十五年间的变化与演进》中我也曾对风险评估发展过程进行过阐述,今天来对风险评估做一个总结和展望,将这个话题做个结尾。
一、风险评估由专业性向普及性转变
从职能及技能发展来看,最初风险评估必须由专业安服团队实施,实施人员需要具备必要的知识、方法与技能,可以说风险评估是具有比较高专业性的一项工作,一般人员甚至是部分安全从业者是无法胜任的。
经过这十几年的发展,随着标准的普及与实践方法的推广,了解、熟悉、掌握安全评估的人越来越多,风险评估的思想与理念已经深入人心,风险评估方法也被越来越多的人掌握与运用。
而从信息安全与风险管理的发展来看,风险评估已经变成了非常基础的必要功能,融入信息安全与风险管理的方方面面。就像电视剧「士兵突击」中的钢七连一样,它的职能并没有消失,只是不再需要单独存在,变成了一种基础必备的素质,融入进每个战斗单元。
二、风险评估方法由复杂向简化转变
通过风险要素模型可以看出,风险的构成必须包含资产、威胁和弱点,三个要素缺一都无法构成风险。而产生威胁和弱点的源头,就是资产具有价值,所以早期的风险评估方法都强调先收集资产,再评估资产所面临的威胁和弱点,然后进行风险的计算与评价。
在早期狭义的信息安全范畴中,基于资产风险评估方法是没有问题的,但就像在《信息安全内涵与外延》中提到的那样,信息安全的边界越来越模糊,除了资产直接面临着很多的威胁和弱点外,其它领域(业务、IT)出现隐患或问题时,资产作为受害者也面临着风险。
简单来讲,资产是风险源头的情况,采用基于资产的风险评估可以,资产不是风险源头只是受害者时,采用基于资产的风险评估并不合适。这也是为什么除了基于资产风险评估外,还有定性安全评估、基于流程安全评估等评估方法存在的原因。
当前风险评估的方法与形式并不是重点,因为如何评估出来的风险并不重要,能够抓住风险并以最成本有效的方式解决掉风险才是根本,正所谓不管黑猫白猫,抓到耗子才是好猫。
二、风险评估由周期任务向安全运营转变风险评估一直以来都是由专职人员使用专业的工具来实施,既然是人工实施就需要周期性的执行,而执行的周期因每个单位具体情况的不同而各有不同,有的单位按周、按月执行,有的单位按季度甚至每年进行评估。
既然是人工周期性执行,风险处置的及时性就会收到影响,两次风险评估间隔期间就是风险暴露时间,在强调「主动安全防御」的今天,这显然是跟不上形势的。
如何解决这个问题呢?答案是通过安全平台将风险评估进行实时、在线处置,将周期性任务转向持续安全运营。安全平台建设的方向分为风险基础分析、风险动态监测、安全事件响应三个方面:
风险基础分析简单说就是把弱点评估从线下搬到线上,通过资产管理平台建立保护对象信息库,包括IP、域名、端口、系统类型等,形成在线风险分析的基础范围。建立漏洞平台汇聚通用漏洞、特定漏洞、基线配置不当等情报信息,并通过漏洞情报与特定资产自动化匹配,实现资产弱点的在线分析与实时告警。
风险动态监测简单说就是把威胁评估从线下搬到线上,通过安全事件管理平台(SIEM)形成安全威胁在线分析,利用告警合并、关联分析、机器学习海量的威胁事件去重并降低误报率,再辅助在线威胁情报、资产信息进一步丰富威胁事件描述,实现资产威胁的在线分析与实时告警。
安全事件响应简单说就是实现资产弱点、威胁的自动化、半自动化、或人工流程化的处置,不管是哪种处置的方式首先需要解决的就是提高告警准确率(至少80%以上),并将基于时间的告警排序变化为基于风险的告警排序(先发生的不见得优先处置),只有做到这两点所谓的安全处置脚本、安全自动化编排才有实现的可能(仅仅是可能)。
总结:风险评估的平台化、运营化无疑是未来的趋势,目前看来基于资产、弱点的风险基础分析误报率低、安全分析成本小,但目前资产、弱点要素打通比较难,需要相当一段时间的积累;而基于威胁要素的风险动态监测目前产品、解决方案比较多,但似乎还无法摆脱误报高、安全分析投入大的困局;安全事件响应的效果取决于风险基础分析与动态监测的成熟度,目前仍然处于疯炒概念的阶段,短期内不会有实质性的进展。