Security+ 2. 风险分析

2. 风险分析

• • 2.1 风险管理(Risk management)
  • • 2.1.1 风险分析阶段
    • 2.2.2 风险分析方式
    • 2.2.3 风险计算
    • 2.2.4 风险响应措施
  • 2.3 风险缓解的控制类型
  • • 2.3.1 变更管理
    • 2.3.2 分析风险的准则
  • 2.4 分析风险的业务影响
  • • 2.4.1 业务影响分析(business impact analysis/BIA)
  • 2.4.2 风险对组织造成的影响
  • 2.4.3 灾难时间

风险指威胁利用漏洞引起某种损害的可能性

2.1 风险管理(Risk management)

评估 <---> 分析 <---> 响应 <---> 缓解
确定并评估系统中存在的风险
分析风险对系统产生的潜在影响
规划如何响应风险的策略
缓解风险对未来安全造成的不良影响

2.1.1 风险分析阶段

1. 资产确定：确定需要保护的资产并确定资产的价值
2. 漏洞确定：确定漏洞
3. 威胁评估：确定可能会利用确定的漏洞的威胁
4. 可能性量化：量化威胁利用漏洞的可能性概率
5. 影响分析：评估潜在威胁可能造成的影响
6. 应对措施的确定：确定并开发应对措施消除或降低风险

2.2.2 风险分析方式

1. 定性：通过描述和文字的方式衡量风险的数量和影响力；缺点是比较主观和不可测试的方法论。
2. 定量：完全根据数值来进行分析。缺点是在风险难以被量化的情况下，会显得力不从心。
3. 半定量：尝试在前两种风险分析中找到一个平衡。

2.2.3 风险计算

单一损失预期(single loss expectancy/SLE)
年度损失预期(annual loss expectancy/ALE)
年发生率(annual rate of occurrence/ARO)
ALE = SLE * ARO

2.2.4 风险响应措施

1. 接受：承认并接受风险及其带来的后果。
2. 转移：将风险的责任分配给其他机构或第三方，如保险公司。
3. 避免：消除风险的来源彻底消除风险。
4. 缓解：防御可能的攻击并在潜在风险产生重大影响是实施。

2.3 风险缓解的控制类型

1. 技术控制(Teachnical control)：应用软硬件装置监控和防止计算机与服务中的威胁和攻击
2. 管理控制(Management control)：应用相应流程监控组织安全策略的服从情况
3. 操作控制(Operational control)：用于保护日常业务操作
4. 损失控制(Loss control)：也称损害控制(damage control)，用于保护关键资产不受侵害的安全措施

2.3.1 变更管理

分析	计划	实施
变更需求	变更角色	管理过渡阶段
变更类型	变更职责	确定采用变更
组织文化	解决阻力	执行变更后审核

2.3.2 分析风险的准则

1. 清晰定义组织对安全性的期望
2. 确定需要保护的资产，并确定他们的价值
3. 寻找可能存在的漏洞
4. 确定潜在威胁
5. 确定威胁利用漏洞的可能性或概率
6. 确定潜在威胁的影响
7. 确定适合组织的风险分析方式，在定量和半定量风险分析的方式中，为每种威胁计算SLE和ARO，然后计算ALE
8. 确定可能的应对措施，确保这些措施有成本效益并能按预期执行
9. 清晰记录分析过程中的所有发现和所做决策

2.4 分析风险的业务影响

2.4.1 业务影响分析(business impact analysis/BIA)

• 是一种系统性活动，用于确定组织风险及其对持续的，任务关键型的业务与流程产生的影响。包含以下内容：

1. 关键流程的优先级
2. 可承受停机时间的预估
3. 财物损失的影响
4. 需要恢复的资源
5. 效率降低的可能性

2.4.2 风险对组织造成的影响

1. 名誉：人为风险和系统风险可能会损害组织名誉
2. 隐私评估：

隐私影响评估(Privacy impact assessment/PIA): 确定并分析程序或系统生命周期中针对隐私的风险，其中声明了哪些个人可识别信息(personally identifiable information/PII)会被收集，并解释其维护，保护以及共享方式。
隐私阈值评估(Privacy threshold assessment/PTA): 用于确定什么时候需要PIA的文档，通常包括描述系统的信息，收集或使用了哪些PII，以及PII的来源。

3. SORN(system of records notice记录系统通知)：记录系统是指使用个人姓名或身份识别号码，符号，或其他识别方式的任何信息集。

2.4.3 灾难时间

• MTD(Maximum Tolerable Downtime，最大可承受停机时间) * 或MTPD(Maximum Tolerable Period Disruption，最大中断时间)*
• RTO(Recovery Time Objective，恢复时间目标)：使基础设施和系统恢复运行的时间
• RPO (Recovery Point Objective，恢复点目标)：最大可容忍的数据丢失量，用时间来衡量

WRT(Work Recovery Time，工作恢复时间)：恢复数据、测试流程以及使所有事情“活”过来可以进行生产的时间
MTD = RTO +WRT

• MTTF (Mean Time To Failure，平均无故障时间)，指系统无故障运行的平均时间，取所有从系统开始正常运行到发生故障之间的时间段的平均值。
• MTTR (Mean Time To Repair，平均修复时间)，指系统从发生故障到维修结束之间的时间段的平均值。
• MTBF (Mean Time Between Failure，平均失效间隔)，指系统两次故障发生时间之间的时间段的平均值。
• MTBF= MTTF+ MTTR