資安風險管理
管理資訊風險是資訊安全的基本功之一,由於我們在資安治理的文章說過風險是不可能降到沒有的狀況。我們能做的就是將風險降低到組織可以接受的程度(風險承受度)以便成達成組織的業務目標/目的。
在資訊風險管理中有甚麼工作需要做的呢?
1.使用這一項風險管理工具達成組織的業務所需及發展相關的資訊安全方案。
2.決定用哪種方式來確認排名及回應各種的風險,這種決定的方式是能夠正確的對應到組織的業務目標。
3.評估適合及有效的針對資訊安全的控制措施。
4.有效的回報/回應相關的資訊安全風險。
另外在進行風險管理時組織的高層對於任何風險上的變動也需要被通知,更重要的是組織高層及相關利害關係人也需要了解支持。
甚麼是風險?
簡單的說就是一個事件會發生的可能性以及它發生後所產生的後果。這個可能發生的不好的事件意味著這件事本身有可能有它威脅存在,它的威脅來自於對外所暴露出的漏洞的大小(也就是事件的曝險程度,可以理解成受攻擊的廣度)。若這件事沒有漏洞或這個漏洞完全沒有可能對外哪也就沒有威脅,沒有威脅也就沒有風險也就不需要應對了,但可惜的是在一般世界(包含商業世界)有活動就會有風險存在,-而風險的曝險程度的大小取決與我們的控制手段。
資安風險
面對資安風險第一件事我們需要做的事對組織的數位資產/資料進行分類,而分類的標準來自於該資產/資料/資訊的商業價值,如此才能進行有效的風險管理。所以商業價值愈高若可能遭受的衝擊性越大哪麼所面對的風險就越大。
哪甚麼又是商業價值呢?其實就是組織業務各項活動中的"Criticality"與”Sensitivity",這兩個是指組織的資產無法運作或資訊/資料外洩所造成的傷害。所以必須給予必要的保護措施來降低發生的可能性或傷害。所以我們需要對資安風險進行鑑定(identification)/分析(analysis)/評價(evaluation)步驟及它們可能帶來的衝擊,進而給予各項對應方式(acceptance/avoidance/mitigation/transfer)。這些對應方式也需要經常性的被驗證是否有效,另外組織內外部的變動也可能造成我們對應此風險的方式例如從 mitigation 到transfer (雲端平台就是一個很好的例子)。
風險管理概觀(overview)
風險管理是一種流程,是為了達成組織的業務機會最大化並把這個機會的漏洞與損失達到最小在這兩者中取得平衡。
而風險管理的基本就是廣泛的風險評估(assessment),但在做這個之前你必須非常了解組織的業務流程/活動/邏輯,並在於這個基礎之上才有可能針對其業務面對的資訊資源與可能的業務衝擊開始分析。
風險管理經常需要搭配營運衝擊分析(BIA- Business Impact analysis)。這中間有兩個要素,組織的數位資訊資產清單及風險分析(Risk Analysis),而這也是我們在發展組織的資安治理中的基本要素更是資安策略中不可或缺的。風險管理必須要能夠根據組織的資安治理要求來規劃,從另一個角度來說風險管理在風險的曝險程度跟相對應的控制措施的實行代價以及實行正確的控制措施與對策這些的中間找到最佳平衡點。
哪麼甚麼是控制措施?
控制就是風險管理框架中根據組織的政策/標準/程序/組織/作法與組織的架構的合理手段/方法來達成組織的業務目標並且能排除不好的事件。在三個層面上做到這些控制,分別是人員(People)/程序(Process)/技術(Technology)。
甚麼又是對策呢?
可能包含任何的程序,這個程序中針對特定的威脅達到想要的控制目標。這個程序大可能修改組織架構,小可能是技術上的變更。因為對策可大可小通常會從財務面及組織面來考量,這時就非常需要組織高層的支持。
剛剛之前提到風險評估(assessment),需要評估是因為剛剛說的組織遭遇的威脅,而風險評估會有三個階段
Risk identification
Risk analysis
Risk evaluation
在Identification階段 —
我們會設定一些風險場景與可能的後果來決定整個威脅的landscape及漏洞評估(包含實體面/邏輯面)。
在Analysis階段 — -
使用幾種技術的方式來確認風險並實行BIA營運衝擊分析來確認可能的衝擊。
在Evaluation階段 —
這一階段決定定義出來的風險要用哪種方式應對,通常是接受它或減低它。
接下來就是風險的回應/對應。
下一步就是針對風險的回應,有風險管理概念的人都知道。面對風險我們通常都有四種選擇分別是 acceptable/mitigation/transfer/avoidance.
設計與實現組織的風險管理通常會受到組織的一些因素影響如:
1.文化(對風險的態度是消極還是積極)。
2.任務與目標。
3.承受損失的容忍度。
4.產品與服務。
5.管理與維運流程。
6.環境的考量,現有環境狀況及法規法令的要求。
有效風險管理的結果
說白一點就是消除/降低不好的事發生,並在不好的事發生時能將業務衝擊降至組織可接受的程度,這樣組織的運作就會有效跟賺錢。如同我們在資安治理中提到的,好的資安治理中ㄧ定包含有效的風險管理。有效的風險管理就是使用正確的方法去達到降低風險到可接受的程度以及減少業務上的衝擊,並能包含以下資訊:
1.了解組織在業務流程上所面對的威脅/漏洞/及風險的輪廓(profile)。
2.了解組織在業務流程上的風險曝險程度與發生後的可能後果。
3.基於可能的後果有風險管理上的排序。
4.對於風險管理後殘存的風險是可以接受其結果的。
5.風險管理中所用到的資源是正確與具成本效益的,最重要的是這些都要能夠被量測。
風險管理策略
風險管理策略就是一種計畫,一種可以完成風險管理需要達到的目標。這個目標就是組織可以接受的風險程度,而可接受的風險程度意指組織的業務被中斷的程度。
這種可接受的風險程度是管理上的決定,通常基於以下的因素:
1.組織能承受的損失。
2.組織的風險承受度。
3.為了達到可接受風險的代價。
4.risk-benefit ratio(險益比)。
而資安風險策略必須跟組織其他的風險管理一起看,這是為了避免組織面對各式各項的風險有保護組織的落差或是有重工的現象。意思是資安風險策略必須要跟其他風險策略無縫接軌。
風險意識
為了讓風險管理變成是組織文化的一環,與業務流程相關人員與組織高層溝通風險的重要與讓他們有個意識是非常重要的,因為資訊安全中"人"才是最重要的。我們需要制定風險與資安意識計畫,這個計畫中包含了風險溝通與資訊安全,定期測試組織人員的資安意識,組織人員對於風險跟資訊安全議題的回報管道。為什麼要組織人員要有資安意識呢?因為他們是在業務流程/活動的第一線人員,透過強而有力的資安意識他們能夠觀察到業務活動中產生的風險或不正常的行為/活動。透過第一線人員的觀察與回報我們能夠盡早得知可能發生的攻擊及早建立相對應的控制措施或對策,雖然沒辦法完全迴避或消除威脅,但起碼可以做到以下:
1.風險可以徹底地被理解。
2.資安風險議題可以盡早被確認。
3.組織有足夠的時間回應。
組織人員的資安意識的訓練應該是要跟他們業務相關的,他們本身自己的工作就已經很忙了。這一類的資安意識訓練要得當要恰如其分,不然這類的訓練將適得其反。另外為了讓資安風險意識能被正確地傳達一個清楚的風險溝通計畫將有助於幫助訊息能正確清楚地傳達(可以參考 Cobit 5-Risk communication Plan)。
有效的風險管理
基本上一個好的風險管理除了有相對應的控制措施再來就是要對這些措施做合規檢查,這些針對資訊安全的合規檢查需要不斷的被監控/測試。
制定風險管理方案
有六個項目我們需要制定:
1.方案的整體脈絡與目的。
2.範圍與章程。
3. 組織之間的權利關係與回報關係。(誰應該被通知到甚麼事跟誰能下決定)
4.組織的資產的鑑定與分類並且確認擁有者。
5.管理的目標。
6.使用的方法。
7.實施團隊。
風險管理的實施
訂出風險管理流程
通常會有以下這些流程:
1.設定範圍與界限 — 通常需要考量到組織的內外部因素。
2.辨認數位資產與評鑑 — 主要是數位資產的價值與該資產在風險與營運衝擊發生的後果。
3.實行風險評估 — 文中之前提到的,對風險進行identification/analysis/evaluation.
Identifying — 辨認可見的風險/漏洞/曝險程度。
Analyzing — 風險程度的大小與可能的營運衝擊。
Evaluating — 在組織的規則下可接受的風險程度。4.決定風險的回應方式(acceptable/mitigation/transfer/avoidance)。
5.接受風險控制後的殘存風險。
6.與組織的高層與相關的利害關係人溝通風險 — 最主要是關於組織現在面對的風險有沒有甚麼異動是有關於相關人員的,必須能清楚的告知目前狀況以便能讓組織高層與相關人員做出決定。
總結上面幾點這時我們應該能繪出一個風險回應流程圖(可參考COBIT 5 Risk Response workflow),再來由於風險是不斷變動的,風險不斷重複的評估也是必要的,我們也需要一種正式的流程來不斷重複的評估。可參考下圖
訂出風險管理框架
市面上有很多種風險管理框架讓我們選擇,但最重要的是選擇符合適合組織的,我們有類似以下選擇
COBIT 5
ISO 31000:2009 Risk Management
NIST 800–39 Managing Information Security Risk
ISO 27005:2011 Information technology
雖然有很多選擇但基本上一定包含有以下的元素:
1.Policy
2.Planning and Resourcing — 這裡面主要有組織架構以及相關人員在資安相關議題的權利義務(R&R必須要被確定),以及這些人員可以動用到的資源。
3.實施方案
4.Management review — 定期的檢視組織的風險管理系統是否能持續的穩定與有效滿足風險管理方案,相關的紀錄也需要被保留。
5.Risk management process — 這裡分為兩種層次,戰術層次與戰略層次。組織必須根據本身訂好的規則來決定風險對應的優先順序與相對應的資源以符合組織的業務目標/風險承受度/合規檢查等。
6.Risk management documentation — 有關風險管理的活動全都需要留有紀錄。
定義外部環境因素
外部環境因素大約有下列幾種需要被考量
1.本地市場/組織對外的業務/競爭對手/金融與政治環境
2.法律與法規
3.社會與文化的情況
4.外部的厲害關係人
定義內部環境因素
1.組織主要的業務驅動力
2.組織的SWOT(strengths/weaknesses/opportunity/threats)
3.內部利害關係人
4.組織的文化與架構
5.組織業務流程中的相關資產
風險評估與分析方法
可參考下圖流程
風險評估通常需要與BIA一同進行或者是資產分類流程來決定資產的Criticialy與Sensitivity,並在確認正確與具成本效益的控制措施的基礎上。
Risk identification主要是訂出風險情境來決定組織的風險範圍到底在哪裡。
Risk analysis 是針對資產的威脅與漏洞來決定風險。
Risk valuation是根據Risk analysis之後再與組織的規則比對,這邊的規則是指可接受的承受/衝擊/可能性來決定對應的方式。
風險評估(Risk assessment)
風險評估就是如上圖不斷循環的流程。
資訊資產的辨認與估價
Risk assessment第一步就是列出組織內所有資訊資產的清單並且對它們進行估值。它的價值是取決於商業上的價值(根據Criticialy與Seneitivity),但由於數位資產的樣態很多有時它的價值可能不只取決於內部評估也可能會受到外部因素的影響。基本上大概會有以下幾種類型
1.資訊或流程的擁有權
2.組織的相關財務紀錄
3.合併或併購計畫
4.市場策略計畫
5.商業秘密
6.專利權
7.PII — 個人識別資訊
資訊資產評估策略
前面提到組織的資訊樣態很多,有時很沒有辦法能很精準的估值。通常比較有效的做法會使用情境損失表格來評估各種狀況可能的損失,這時候根據這表格我們的評估就能夠再精準一些(如下圖)
資訊資產評估(assessment)的方法論
通常我們會使用定性(qualitative)或定量(quantitative)的方式來評估資訊資產價值。由於剛剛說到資訊資產的多樣性若我們有足夠多的資料(可能是歷史性的或其他來源)我們可能會定量的方式分析,但若資料不夠多也可能會用定性分析的方式。定性定量的分析法有興趣的讀者可以在網路上找尋相關資料。不過有時候定性的方式表示也容易讓資訊接受者了解訊息,但現今這兩種方式通常會混合再一起使用稱作半定量(semiquantitative analysis)。可參考底下範例圖
風險評估(assessment)與管理的方法
1.資訊風險因素分析(FAIR — Factor Analysis of information Risk)
我們也可以使用這種方式來做風險分析,FAIR會有以下四種特性
有分類的/有量測的方法/是可以計算的/有模擬的模型
2.NIST 風險分析法
可參考下圖
3.ISO 27005(有興趣的讀者可以自行尋找資料)
4.PRA(Probabilistic Risk Assessment)
這是由NASA開發出來的方法,主要問三個問題
第一個: What can go wrong?
第二個: How likely is it?
第三個: What are the consequences?
特別提一下兩種風險種類, Aggregate 與 cascading
Aggregate risk 是指由很多小的漏洞(vulnerabilities)匯總出來一個特定的風險,並且這個風險會造成很大的衝擊。另外一種可能是很多數量的威脅可以同時影響小量且輕微的漏洞。
Cascading Risk 這是指當一個風險發生後會帶起另一個風險發生甚至會再帶出下一個。如果是特別在IT系統的話這在Google 所提出的SRE(網站可靠化工程的書中第22章-"Address Cascading failure"會著墨很多)
接下來我們開始個別看風險評估的三個階段的Identification / Analysis / Evaluation
Identification of Risk
這個流程主要是會發生的威脅的型態與特性,所謂會發生就是"真的可能"會發生的威脅,而這取決與兩個因素:
1.它們真的存在或者是被預期接近發生的。
2.以及它們可以受到某種形式的控制。
以上這些都需要一群專家或相關流程業務相關人員一起腦力激盪出來的,不然就是what-if情境。關於what-if 情境的範例可以參考 COBIT 5的風險情境方法。這個階段我們會有一些產出分別是,完整個資訊資產清單/廣泛的威脅來源,漏洞,曝險程度等清單。
通常來說風險會跟以下這幾種特性相關:
1.它的來源 — 有各式各項的來源,可能是內部也可能是外部。例如人員教育訓練沒做好就是一種風險。
2.一種確定的活動/事件或事故(就是威脅) — 例如未經授權的讀取某些資料。
3.會產生後果/結果或衝擊 — 例如系統掛掉了或團隊重要的人請假沒來沒人可以做他的工作。
4.某種特定的理由會讓它發生 — 例如系統設計本身的錯誤/程式有bug
5.有保護機制也有控制措施,也會嚗露出來 (這些可以評估效果) — 例如有access control/偵測系統/政策/教育訓練等。
6.發生的時間與地點 — 例如機房發生火災。
每種風險都有它發生的情境,有效的情境分析是基於真實相關的可能發生的風險事件上。
我們再來看一下"威脅(threats)",一般我們會把威脅分成內部/外部/有意的/無意的這幾類。
內部威脅:
內部無意的大多是沒有做好教育訓練或具資安意識,有意的就比較嚴重一點。這時我們大都是用一些方式的降低這種情況的發生,例如對業務活動中的need to know/least privilege 或SoD等方式。
外部威脅:
可能是合作夥伴/廠商/外部環境等。近年比較重的應該是APT(Advanced Persistent Threat),關於APT NIST 800–39有如下的定義。
An adversary that possesses sophisticated levels of expertise and significant resources which allow it to create opportunities to achieve its objectives by using multiple attack vectors (e.g., cyber, physical, and deception). These objectives typically include establishing and extending footholds within the information technology infrastructure of the targeted organizations for purposes of exfiltrating information, undermining or impeding critical aspects of a mission, program, or organization; or positioning itself to carry out these objectives in the future. The advanced persistent threat: (i) pursues its objectives repeatedly over an extended period of time; (ii) adapts to defenders’ efforts to resist it; and (iii) is determined to maintain the level of interaction needed to execute its objectives
基本上這跟Cyber Kill chain的原理是一樣的。在Risk Identification的最後我們會產出風險登記表,這裡面包含了threats/vulnerabilities/exposure/assets/asset owner/risk owner,最後每一個風險都會有風險登記表並匯總成Risk Profile. 相關範例可參考 COBIT 5 for Risk中的Risk Profile.
Analysis of Risk
第二階段是確認每種風險程度以及它的特性與了解它可能帶來的衝擊,必須決定用那些有效的控制手段,這些控制手段可能是既有的或者是需要修改的。大都會有如下程序
1. 再次徹底檢查風險資源(威脅與漏洞)
2. 分析風險所帶來好的(相關的控制措施)與不好的(impact)的後果
3.評估現有的控制措施,這些措施往往可以最大程度的降低不好的風險或是提高好的結果。
風險程度估算通常會來自歷史性的統計資料或是風險的impact/likelihood(資訊資產評估(assessment)的方法論段落),impact/likehood的估算資料來源通常有以下幾種:
1.過去的經驗/資料/紀錄。
2.可靠的方法/一些國際標準。
3.來自一些第三方的市場調查。
4.經過實驗的並且產生原型
5.經濟/工程方面的模型
6.專家的建議
而風險分析的使用的技術通常有以下幾種
1.與不同領域的專家討論
2.使用現有的模型與模擬
3.使用統計學概念
在分析階段一定會使用到定性與定量分析之前已經提過這裡就不再贅述。
在定量分析經常會有幾個計算方式會被用到:
SLE — single loss expectancy : asset value x EF(exposure factor)
這個公式是指每單次的損失是資產價值乘與 曝險因子。 EF是指發生的可能性。例如有 50 %可能性(這個特定的威脅發生的可能)。
ARO — annualized rate of occurrence ,這個威脅每年發生的可能性例如每10年才會發生一次就是 10%可能性。
最後根據上面這一些我們就會有 ALE(annual loss expectancy) = SLE X ARO
其他還有很多分析法
Bayesian analysis / Bow tie analysis / Delphi method / Even tree analysis / Fault tree analysis / Monte-Carlo analysis等。
Evaluation of Risk
這個階段最主要是根據分析完成後的風險來"決定"要對應的方式以及優先順序,之前提到風險分析不可能是百分百所以有時需要容許一些誤差。這些風險根據組織的風險可接受度或規則如果底於標準哪麼這些風險就接受,風險對應的方式有這四種(acceptance/avoidance/mitigation/transfer)我們之前有提到。如果高於可接受的程度通常我們會使用mitigation 或transfer,比較少有avoidance,因為這代表該項的業務流程或活動是被拒絕不做的。
mitigation就是我們之前提到各種的控制手段來降低風險。另外transfer風險的轉嫁通常是比較具成本效益的方法,不過也得視狀況transfer本身也可能帶來威脅或漏洞以及管理上的困難。會使用transder選項通常是發生的可能性低但衝擊很高,例如資訊機房整個掛掉的可能性很低但營運衝擊很高。現今雲端運算平台就是最佳案例,但有一好沒有兩好雲端運算其本身也帶來許多的不確定性與威脅性。
在風險管理上我們必須哪入許多的資料與觀點,例如組織目標/範圍/目標等等,否著我們將根據錯誤的資料引領組織做出錯誤的決定。每一種定出來的風險我們也需要有一個負責人並建立問責制,這個通常由組織的高層來決定。風險負責人要決定該風險要使用哪種對應方式(acceptance/avoidance/mitigation/transfer),並基於他/她的種種根據內外部因素的考量下決定,之後還需要負責監控該回應方式是持續有效的。
Residual Risk(殘餘風險)
我們先前有提到只要有活動就有風險,而風險則不可能完全被消除。所以經過風險對對應方式(acceptance/avoidance/mitigation/transfer)之後就會有殘餘風險,而這些殘餘風險大都會低於1.)組織可接受的程度或是2.)低於風險變動程度還有3.)符合組織的security baselines。若無法符合以上三點,哪麼組織勢必需要再做一次風險對應。
資訊資產的分類
先前我們提及資訊資產分類是風險評估的第一步,是基於該資產的Criticality與Sensitivity,。哪甚麼是Critically與Sensitivity呢?
Criticality — 組織在損失該資產時會造成甚麼樣的衝擊。
Sensitivity — 是基於該資產(資料)未經授權的外洩而造成可能的傷害。
由這兩個特性決定該資產價值並給予相對應跟適當(合理的代價)的保護。資產分類的第一步則是我們要有完整的組織的資產清單(包括它的確且位置及地點),確認該資產的所有者/使用者/保管人。分類的層級需要清楚跟簡單明瞭,這樣組織內的所有人員才能快速的意識到他/她該對這資料做怎麼樣的處理,分類的好處就是對該資產給予適當的保護不會過猶不及。在資產分類這邊我們需要通常問自己(或相關團隊)幾個問題:
1. 我們需要分成幾級的分類?
2.有沒有正式的程序可以做分類?
3.分類的資訊如何在資產上被確認?
4.資產如何被標記/處理/轉移?
5.機密資料如何被儲存與歸檔?
6.資訊資產的生命週期是甚麼?
7.誰有accessright?
8.誰有權決定給予權限?程序是什麼?
等等這一些。
如何決定Criticality以及事件的衝擊
這邊我們一樣需要使用BIA的技巧,根據組織的架構層層分解。
Corporate →Business Unit → Critical Function → Components.根據分解出來的每一個Component來分析可能有的風險。
衝擊評估與分析
這一部分我們持續使用BIS來看組織的 business continuity 及災難復原,通常一定是使用最糟糕的狀況來評估。並且從資訊安全的三要點(C.I.A)來評估:
Loss of integrity — 系統與資料的完整性,沒有受到不正確或未經授權的修改/變動等等。
Loss of availability — 重要的IT系統或服務流程無法提供給第一線使用者或客戶。
Loss of confidentiality — 資料未經授權的外洩。
維運風險管理
這是指因為不正確或有問題的人員/流程/系統或者是外部因素而造成的損失,通常這一類的風險會有"事故管理"來處理此類風險將營運的中斷減至最小到組織能夠執行最小的業務能量。通常會有以下因素需要考量:
1. RTO(Recovery time objective) — 指組織從啟動BCP後到恢復最小的服務能量的總時間。時間要求越短組織所需要付出的代價與資源越多。
2.RPO(Recovery point objective) — 指組織在災難時可以忍受多少的資料損失(無法回復的),在某些省錢的IT技術下資料可以是零流失的但是通常都會組織要求的RTO所以可能是有一好沒倆好。
3. SDO(Service delivery objective) — 指組織要求的最小服務能量,例如平時每小時可以處理100件訂單。但災難發生時只能每小時60件。
4. MTO(maximum tolerable outage) — 只災難發生後到完全回復平時的業務的處理能量的時間。
以上就是簡單的資安風險管理的介紹。
