不確定世界中的理性安全決策工具
在當今充滿不確定性的數位世界中,面對未知的漏洞和無窮無盡的潛在攻擊途徑,網路安全風險評估已成為制定有效安全策略的唯一理性工具。無論是為了遵循國際標準(如ISO/IEC 27001、IEC 62443)還是滿足日益嚴苛的法規要求(如歐盟的NIS 2指令和網路彈性法案),風險評估的中心地位無可取代。然而,並非所有的風險評估都能兌現其承諾。優質的風險評估能夠為組織提供堅實的決策基礎,精確指出哪些安全措施至關重要,哪些是資源過度投入。本報告旨在深入探討構成一個「優質」網路安全風險評估的五個核心要素,從根本上指導組織將風險評估從形式上的合規文件,轉變為指導實際安全工程實踐的指南針。
風險評估的必要性與法規基礎
無論是 ISO/IEC 27001、IEC 62443 或 NIST 網路安全框架,所有安全標準都要求進行風險評估。歐盟所有安全法規也都要求進行風險評估,無論是針對營運商(NIS 2 指令)還是製造商(網路彈性法案)。
原因顯而易見:世界充滿不確定性,存在著尚未被發現的漏洞,以及無數的潛在攻擊途徑。在如此多的不確定因素下,風險評估是唯一能夠為產品製定必要網路安全措施並做出明智決策的方法。
如果組織要實踐「安全工程(Security Engineering)」的字面意義,即進行理性、基於事實、系統化的安全決策,那麼風險評估就是最佳的,甚至是唯一的理性工具。透過風險評估,企業可以評估現有安全措施的有效性,從而決定哪些措施具有重要性,哪些是過度的投入,以及系統何時才被認定為足夠安全。
本文旨在引導您了解良好風險評估的五個要素—它們為何重要、需要注意哪些方面以及需要哪些專業知識。我們將針對每個要素提供一個簡單的範例。
優質網路安全風險評估的五大核心要素
所有優秀的網路安全風險評估都應包含以下五個要素:
- 「現實世界」的影響,即網路系統之外的一切——包括對這些影響的嚴重程度的評估。
- 對被評估的網路或網路物理系統的架構和功能有充分的了解。
- 威脅模型,包括對其可能性和影響的評估。
- 網路安全要求,包括明確的理由。
- 針對不同目標群體撰寫的報告,清晰、合乎邏輯地解釋與各群體相關的所有決策。
如果你對風險評估結果不太滿意,不要過於糾結於方法,任何方法都有可能取得好的結果。你可以利用你已有的資源,把這五個核心要素當作清單,逐一改進。
要素一:「現實世界」影響的錨定與量化
走出虛擬空間的風險定義
風險評估的核心目的,是為組織的任務關鍵型流程服務。然而,許多風險評估卻被困在網路空間中,僅關注「伺服器停機」或「數據洩露」等網路系統內部的後果。優質的風險評估必須走出數位世界,連結到組織賴以生存的現實世界(Real-world)影響。這些影響可能是工廠停產造成的巨額財務損失、關鍵基礎設施中斷導致的社會服務癱瘓、或如OT環境中設備失控造成的人身傷害或環境破壞。
關鍵考量與實踐:
作為決策的指引: 「現實世界」影響是整個風險評估的指導星。時間資源有限,從最具破壞性的潛在影響開始著手,能確保後續步驟(如攻擊建模)集中於最關鍵的環節。
高層決策者的參與: 在影響的優先順序排序上,必須納入決策者或高階主管(C-level)的意見。專業部門傾向於將所有事情都視為「嚴峻」,但高層的參與能更清晰地界定組織的實際優先順序,確保資源被有效率地集中在他們認為最關鍵的影響上。
功能安全專家輸入: 在OT環境中,功能安全專家對於現實世界的影響(例如,起重機側翻、反應爐超溫)有深入的經驗和詳細的評估流程。將他們納入討論,可以為網路安全風險評估提供寶貴的、以安全為導向的輸入。
範例(以鬥輪挖掘機為例): 在露天褐煤礦中,真正毀滅性的一天不是電腦死機,而是挖掘機翻覆。優質的風險評估必須直接將「挖掘機翻覆」定為現實影響,並評估其嚴重程度,從而指導後續的安全要求。僅僅基於漏洞資訊和配置進行的評估,無法提供這種業務風險的視角。
要素二:系統架構與功能理解的基石
從資產清單到功能概覽的轉變
系統理解是將風險評估從合規文件轉變為決策基礎的關鍵。如果缺乏對被評估的網路或網路物理系統的架構和功能有充分的了解,則無法進行有效的攻擊建模,進而也無法識別最重要的安全要求。
關鍵考量與實踐:
區分資產清單與系統理解: 資產清單(Asset Inventory)雖有其價值,但本身不足以作為風險評估的唯一基礎。系統理解的目標是獲得全景視角,並理解系統之間的互動與數據流,特別是跨越IT和OT邊界的互動。
繪製架構圖: 網路安全本質上是關於互動和數據流。與其使用冗長的文字描述,不如透過繪製簡化且高效的網路安全圖表來表達系統架構。好的圖表能夠快速向所有相關者傳達核心資訊,儘管這可能需要管理員和工程師調整習慣(他們通常習慣於高度詳細的A0圖紙)。
以功能為導向: 功能(或軟體用語中的「用例」)是捆綁網路安全相關資訊進行評估的有效方式。一個功能回答了四個問題:「誰(Who)」、「用什麼(With What)」、「做什麼(Does What)」以及「目的(Purpose)」。例如,在OT環境中,「對PLC進行編程」就是一個功能。功能是連接抽象的業務流程(對風險評估而言過於抽象)和單一資產(對風險評估而言過於詳細)之間的橋樑。
包含人為因素: 網路安全風險評估必須將人及其與技術系統的互動納入系統理解,因為人既是潛在的攻擊媒介(Attack Vector),也是重要的防禦措施(Countermeasure)。
要素三:威脅模型與攻擊路徑的精準描繪
從哲學思辨到實用決策
威脅模型(或攻擊情景)並非為了探討複雜駭客攻擊的哲學問題,而是作為一個必要的墊腳石,將思考從「系統」和「現實影響」過渡到「有意義的安全要求」。一個優質的攻擊情景必須足夠具體(Specific),使得識別避免或緩解該情景所需的安全要求成為一個邏輯推論。
關鍵考量與實踐:
從影響逆向推導(Work Backwards): 最有效的方法是從最具影響力的「現實世界」影響開始,反問攻擊者如何能夠導致這種後果。這比漫無邊際地思考所有可能的攻擊方式更有效率。只需找到那些影響極大或可能性極高的情景,而無需涵蓋所有理論上的威脅。
與系統保持一致: 情景的具體性意味著它必須緊密貼合系統。將攻擊情景直接建模在網路安全圖表上,是確保其與系統架構一致性的最安全方法,因為攻擊的影響最終會體現在系統元件上,而對策也將作用於此。
攻擊路徑(Attack Paths)而非攻擊樹(Attack Trees): 雖然攻擊樹是建模所有理論上可能路徑的好方法,但它們往往導致思維分散,並使決策依據複雜化。為了精確定義要求,評估應著重於單一攻擊路徑的可能性和影響,而不是計算複雜的一整棵樹的機率集合。
簡化風險評估: 關於風險評估的方法(定量或定性、影響等級劃分)不應過度複雜化。風險評估的價值在於幫助優先排序攻擊情景和相應的對策,細節上的數字差異通常不會改變最終的安全決策。常用的方法論如STRIDE、DREAD、PASTA或MITRE ATT&CK框架,都是達成目標的工具,關鍵在於應用得當。
要素四:網路安全要求與決策理由的透明化
確定正確的安全決策
風險評估的最終目的就是識別出正確的安全要求。一個安全決策本質上就是對於一項或多項安全要求的取捨。這個要素要求組織為每個安全要求提供明確的理由(Rationale)。
關鍵考量與實踐:
透明度是根本: 安全決策沒有絕對的對錯,只有透明度高低之分。透明度意味著:
系統關聯性: 清楚說明該要求與哪些網路或非網路系統相關。
情景關聯性: 清楚說明該要求預防或緩解了哪個具體的攻擊情景,以及這樣做的原因。
影響關聯性: 清楚說明該要求所保護的現實世界影響是什麼。
最簡單的方法,是將安全要求直接添加到網路安全圖表上,形成從「影響」到「要求」的清晰鏈條。
明確決策驅動因素: 在理想世界中,所有安全決策都基於風險。但在現實世界中,安全要求有三個合法的驅動因素,必須明確揭示:
風險(Risk): 該要求是為了降低經評估確認的高風險。
合規性(Compliance): 該要求是為了遵循特定的標準、法律或內部規定(如NIS 2或IEC 62443)。
功能限制(Functional Restriction): 該要求未能實施,是因為系統的功能限制或不相容性使其無法實施。
與法規的連結: 如果組織需要遵循多個法規或標準(如IEC 62443和NIST CSF),更好的做法是自行制定核心的安全要求,然後將這些核心要求與所有相關的標準法規條文進行映射。這樣,當新的法律出現或舊標準修訂時,只需修改映射關係,而無需調整與風險和系統元件鏈接的基本要求。
要素五:針對不同目標群體撰寫的報告溝通策略
清晰、邏輯與針對性的溝通
優質的風險評估報告必須具備針對不同讀者的溝通策略。風險評估的結果必須清晰、合乎邏輯地解釋與各群體相關的所有決策。單一的報告無法滿足所有人的需求。
關鍵考量與實踐:
風險評估作為理性安全決策的指南針
網路安全風險評估的五大要素是一個強大的清單,旨在將評估工作導向為組織的理性決策工具,而非耗時的「職業治療」。成功的風險評估超越了單純的技術細節或合規性要求;它將網路空間的威脅與現實世界的業務後果緊密連結,並透過透明的、以功能為基礎的系統理解,生成具有明確理由的安全要求。透過聚焦於現實影響、繪製清晰的架構圖、逆向推導攻擊路徑,以及對不同群體進行定制化溝通,組織可以確保其安全資源被最高效地分配,從而在不斷變化的威脅環境中,做出最明智、最穩固的安全決策。
資料來源:https://industrialcyber.co/expert/the-5-elements-of-a-good-cybersecurity-risk-assessment/