风险评估(以下简称风评)本质是一种预防手段和前置工作。
一、概念
从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
二、流程架构图
三、流程解析
①评估准备
重点是资产的收集和梳理,这也是整个风评工作的重中之重,明确好整个架构中有多少IP、对应哪些系统(这是最基本的,部分可能要求提供搭载的服务以及操作系统、系统具体用途、系统属性等),做好资产收集就完成很多进度了。(什么组件团队编写方案的可以说不关你事,甲方爸爸和你领导之间的问题。)
②风险识别&风险分析
杂合度比较高的两个流程,之所以放在一起讲是两个部分的工作息息相关,放在一起更连贯。流程上来说首先对综合对资产先进行一个“识别”,我其实更倾向于用判断这个词,分析所需要的材料就包括历来的脆弱性材料(包括安全告警等历史记录等),也会有参考等保材料、攻防演练资料等一切能参考的资料进行,因为这个部分实际上光看概念很模糊,什么叫“脆弱性识别主要从技术和管理两个方面进行”?还有后边一大串,我不想光找着概念说,那就对大家没什么益处了,从我自己实际工作经历来看,这一部分基本是以证明材料为基准,包括什么到现场去看机房的走线、架构部署都是材料的部分,还有就是我上面提到的历史材料等等,符合规则即可,识别和分析的一部分工作基本可以说是走个过场的形式。
分析的重中之重来了,因为风评也好,等保也好密评也好,这类测评性质的工作实际难点不是在技术上(要证和资质,懂的都懂),风险分析也包括了渗透测试、漏洞扫描的材料,这也是和安服仔们息息相关的工作,但这里的渗透不以目的为驱动了,不是为了打洞而打洞,一般来说很“机械化”,什么意思呢,没有什么剑走偏锋和什么出其不意的技术手段了,尤其是庞大的系统数量为前提的情况下,基本把渗透的流程和手段定死了,过一遍没有漏洞就没有了。当然也有特殊情况,up之前碰见的公司也有拿别的公司的渗透材料来填充的情况,也属于正常,整个工作闭环就好。
③风险评价
计算权重、出分数,没啥好说的,一般不是安服仔做,做的话也会给出计算公式。
④评估报告
把上面那一大坨,按照规定的格式,规定的话术放进报告里,up当年写了脚本批量写的嘿嘿。
四、风险评估的必要性
可能是up出来工作不算久,老是保持好奇,喜欢问为什么,那为什么要做风评呢?在总结一番后我的结论是:风评是给企业本身一个预防和梳理自身资产的一个工作支撑,客观来看企业发展过程中资产梳理、资产风险是会随时间维度变化的,且大部分企业本身对网络安全建设的意识较为模糊,说白了,我知道网络安全很重要,但是我不知道怎么做。风评的两个重要工作,资产和分析过程恰恰为这部分空白填了一个坑,企业在风险评估过程中及时建立资产梳理的机制、及时对披露漏洞进行修复,预防风险的发生。
五、风险评估与等级保护
从上面来看风评和等保好像差不多啊,也可以这么说,毕竟是有部分重合的地方。等保是基于一个大要求下,对系统进行评级,关注的重点是是否满足要求,风评是关注企业自身是否存在风险,只能说侧重点不一样。
原创:一己之见安全团队