Förenkla riskhantering

de flesta moderna IT-säkerhetsavdelningar använder riskhantering för att hitta en balans mellan att realisera möjligheter och minimera potentiella förluster. Riskhantering är mer än bara en teknik; Det är processen att identifiera, kvantifiera och prioritera de risker organisationer står inför.

en risk behöver inte vara en mardröm eller en showstopper för innovation — det är något som kan hanteras.

en vanlig formel för Risk

en vanlig formel som används för att beskriva risk är: Risk = Hot x sårbarhet x konsekvens. Detta bör inte tas bokstavligen som en matematisk formel, utan snarare en modell för att visa ett koncept.

för en komplett matematisk formel bör det finnas några vanliga, neutrala måttenheter för att definiera ett hot, sårbarhet eller konsekvens. Tyvärr finns det inte idag. Det finns några vanliga enheter, såsom CVS för att beskriva en sårbarhet, för delar av formeln, men dessa är beroende av miljön eller subjektiva för dem som använder formeln.

å andra sidan, om du kan ta bort en del av formeln, till exempel hot-eller sårbarhetsdelen, och sedan ersätta den med nära noll, blir det resulterande riskvärdet också reducerat till praktiskt taget ingenting.

mätning av risk Sannolikhet

den första delen av formeln för risk, Hot X sårbarhet, kan också ses som Sannolikhet. Denna sannolikhet är ett grovt mått som beskriver chansen att en viss sårbarhet kommer att upptäckas och användas av en hotaktör.

även om du kan begränsa vissa faktorer är hotskådespelaren i de flesta fall utom din kontroll. Bedömningen av hotskådespelaren beror på ett antal värden, inklusive:

  • angriparens skicklighetsnivå;
  • skådespelarens motiv;
  • möjligheten — om angriparen har den kunskap och åtkomst som krävs; och
  • kapaciteten hos motståndaren du står inför, inklusive hans eller hennes ekonomiska resurser.

det finns olika metoder genom vilka en angripare kan upptäcka en sårbarhet, såsom rekognosering, skanning och informationsutlämnande. Sannolikheten för att en sårbarhet upptäcks och utnyttjas beskrivs av följande:

  • enkel upptäckt-finns det en tjänst eller applikationsbanner som indikerar att applikationen är sårbar?
  • the ease of exploitation — kan det göras med automatiserade, lättanvända skriptverktyg eller kräver det en serie händelser som är svåra att uppnå?
  • medvetenhet – är det en känd sårbarhet?
  • Detection-är det lätt att identifiera försöken att utnyttja sårbarheten, och är det troligt att organisationen vidtar motåtgärder för att blockera dessa försök?

vid utvärdering av sårbarheter bör du inte begränsa dig till systemsårbarheter. Var noga med att överväga den mänskliga faktorn — att köra en miljö utan systemsårbarheter men med en användarbas som kan köra e-postbilagor utan begränsning bör också räknas som en sårbarhet.

bedömning av effekterna av en sårbarhet

den sista delen av formeln beskriver konsekvenserna, eller effekten, av en framgångsrik attack av en hotaktör. Det definieras av två huvudfaktorer:

  • den tekniska effekten, beskriven av konfidentialitet, integritet, tillgänglighet och ansvarsskyldighet för data; och
  • affärseffekten, beskriven av business impact analysis, som står för ekonomisk skada, bristande efterlevnad till följd av brott och juridiska eller integritetsrelaterade konsekvenser.

kombinationen av sannolikheten och effekten beskriver riskens svårighetsgrad.

Du kan begränsa konsekvenserna och därmed svårighetsgraden av ett intrång genom att införa säkerhetspolicyer, processer och procedurer. Detta kommer inte att förhindra ett brott, men det kan i hög grad begränsa effekterna av intrång som äger rum.

Förbered, logga, övervaka, upptäcka och svara

nu när du kan kvantifiera vad du står inför, hur integrerar du motåtgärder i din säkerhetsmiljö så att du bättre kan hantera dessa risker? Du kan följa dessa fyra steg som en grundläggande färdplan:

  • var beredd.
    • se till att din personal är välutbildad.
    • Utför regelbundna övningar.
    • öka medvetenheten för att öka kunskapsnivån för din personal och valkrets.
    • skapa gränser mellan viktiga affärssegment.
  • logga och övervaka viktiga händelser från alla dina resurser.
    • vet vilka tillgångar som finns i ditt nätverk.
    • definiera de olika loggkällorna.
    • centralisera loggarna, se till att de är i ett enhetligt format och pålitligt.
    • korrelera händelser.
  • upptäcka avvikelser och potentiella säkerhetsincidenter.
    • skilja mellan normalt och onormalt beteende.
    • använd hotinformation.
    • arbeta tillsammans med ditt verksamhetsteam för att förstå vad som händer.
  • svara på dessa incidenter.
    • mildra, utrota och återhämta sig från incidenter.
    • använd lärdomarna för att förbättra din säkerhetsställning.

Hothantering

en del av formeln är hotaktören. Vi har redan beskrivit att den här delen är utanför din kontroll, men du borde fortfarande vara medveten om vilka typer av hot du står inför. Genom att använda olika hotkällor kan du skaffa dig kunskap om de verktyg, tekniker och metoder som används av hotaktörer. Du kan också lära dig om hot mot spelare i din bransch och ställa in dina försvarsmekanismer i enlighet därmed.

det finns många bra källor till hotinformation, men lita inte bara på en enda leverantör. Hotintelligensdata är mer värdefulla när de berikas av den gemensamma erfarenheten, observationerna och forskningen i ett stort samhälle.

delning är viktigt, så se till att din säkerhetspersonal blir involverad i olika delningsgrupper och vet hur man interagerar med deras national computer security incident response team (CSIRT) och säkerhetsforskare.

Patch och sårbarhetshantering

om du tar bort sårbarheten från ekvationen blir det svårare för en angripare att få fotfäste i din organisation. Att minska risken för att en sårbarhet går obemärkt minimerar risken.

hur uppnår du detta? Det finns olika tillvägagångssätt, men det består i grunden av att ha aktuell tillgångsinformation, genomföra patch-och sårbarhetshantering och upprätta policyer och processer för att hantera dem. Förstå att detta inte är en one-shot-operation utan något som måste integreras som en kontinuerlig process i din IT-hantering.

Incident Response Plans

om angripare trots alla nödvändiga skyddsåtgärder fortfarande kan få tillgång till din miljö bör du starta din incident response plan. Se till att du har konfigurerat funktioner för att upptäcka intrång och logga källor för att genomföra utredningen. Detektion är mer än att bara titta på onormala händelser. Kombinera de olika händelserna tillsammans och jaga efter anomalier med mänsklig och hotintelligens.

din incident response plan kommer att hjälpa dig att innehålla händelsen, utrota åtgärder angriparen och återhämta sig. Det är viktigt att ta reda på lärdomar efter varje incident för att begränsa chanserna för ett upprepat brott.

hitta en balans med riskhantering

termerna hot, sårbarhet och risk missförstås ofta. Medan de alla representerar mycket olika aspekter av risk, förhåller de sig till varandra på nyanserade sätt och hjälper säkerhetsanalytiker att hitta rätt balans mellan att ta tillvara möjligheter och hålla kritiska system och data säkra.

Lämna ett svar

Din e-postadress kommer inte publiceras.