人员安全和风险管理
时间:2023年3月8日 星期三
作者:小王
一、人员安全策略和程序
人类通常被认为是任何安全解决方案中最薄弱的因素。
1.工作描述和职责
招聘之前要对雇佣什么样的人达成共识,因此设置工作描述和工作职责,用以确定人员需要做什么工作、应该分配什么样的权限、要达到什么样的预期要求等等。
2.候选人筛选和招聘
招聘过程对人的筛选,主要包括以下内容:工作履历、教育背景、访谈同事、犯罪记录、药物测试、性格评估、社交媒体,老外不关注身体健康(体检)!
3.入职:雇佣协议和策略
入职后首先签署雇佣协议,根据岗位不同可能会涉及签署保密协议(NDA)和竞业协议(NCA)。其次,需要对员工进行培训,包括组织文化、策略、流程、技能等;根据员工岗位分配系统访问权限。
所有文件类(协议、合同)都叫软控制,技术层面叫硬控制。
4.员工监督
在员工的整个雇佣期内,经理应定期审查或审核每位员工的工作描述、工作任务、特权和责任,确定其是否仍能满足岗位要求。
• 特权蠕变(privilege creep):随着员工工作涉及的内容越来越多,可能获得了超过其岗位规定的权限。
• 强制休假(mandatory vacations):要求员工离开岗位1~2周,由其他员工顶替前者工作,用于发现滥用、欺诈或疏忽。
• 合谋(collusion):采用职责分离、强制休假、工作轮换和交叉培训等原则,因被发现的风险较高,可降低员工愿意合作实施非法或滥用计划的可能性。
• 用户和实体行为分析(UEBA):通过对用户和实体的分析,有助于改进人员管理计划。
5.离职、转岗、终止过程
员工离职时,需要注意以下内容:
• 在员工收到终止通知的同时或之前禁用员工的用户帐户,不直接删除为了审计目的。
• 离职面谈强调NDA和NCA的责任。
• 确保员工归还公司资产,包括但不限于钥匙、门禁卡、手机、电脑等。
• 安排安保人员陪同员工在工作区回收个人物品。
• 通知所有人员该员工已离职。
6.供应商、顾问和承包商协议和控制
当多个实体或组织参与一个项目时,就会存在多方风险(multiparty risk)。可通过服务水平协议(SLA)确保供应商的产品或服务水平达到预期,如果达不到会涉及赔偿,从而确保服务质量。供应商、顾问和承包商有时被描述为外包(outsourcing)。组织还可以通过供应商管理系统(VMS)提高外包管理的效率。
7.合规策略要求
人员安全管理也需要满足法律法规的要求,如PCI DSS信用卡。
8.隐私策略要求
人员安全管理也需要满足隐私策略的要求,如GDPR(《通用数据保护条例》)。
二、理解和应用风险管理
比较重要
风险管理是指识别可能损坏或披露资产的因素,根据资产价值和对策成本评估这些因素,并实施降低或减少风险的成本效益解决方案的详细过程。风险管理主要目标是将风险降至可接受的水平(风险无法被完全消除),主要涉及两个元素风险评估(分析风险)和风险响应(制定措施)。
1.风险要素
威胁(攻击者)→漏洞→泄露→风险→控制→资产→威胁
一句话:来自外部攻击者的威胁,利用漏洞(即脆弱性),暴露了风险,通过保护措施保护资产。
2.资产评估
识别组织内所有资产,评估资产的有形(如服务器采购价格,包含软、硬件)和无形价值(如服务器上的业务数据、专利),为风险分析的全面性提供保障,并为成本效益分析提供支持。
3.识别威胁和脆弱性
识别资产可能面临的所有可识别威胁,团队成员涵盖组织的部门越多,识别的威胁就越全面。参考威胁建模过程。
4.风险评估
定性+定量混合评估
风险评估的目标是识别风险,并按关键程度对其进行排序。
1)定性风险分析
很多情况下价值无法被量化,如组织的声誉、数据的价值,所以只能拍脑袋决定,资产价值、风险级别等内容使用级别来标识,如高中低、0~10、百分制等。定性风险分析的技术有:
头脑风暴、故事板、焦点小组、调查、问卷调查、面谈、场景化、Delphi技术。
2)定量风险分析
(可能有计算题)
定量风险分析的主要过程:
• 盘点资产、分配价值(AV)
• 将资产与威胁进行配对(资产威胁配对)
• 计算每个资产威胁配对的暴露因子(EF),即特定威胁一次破坏资产遭受损失的百分比
• 计算每个资产威胁配对的单一损失期望(SLE),即特定威胁一次破坏资产损失的钱(SLE=AV*EF)
• 计算每个威胁的年化发生率(ARO)。即资产一年内面临的特定威胁发生的概率,可以大于100%,即发生多次,需参考历史发生概率
• 计算每个资产威胁配对的年化损失期望(ALE),即特定威胁一年内破坏资产损失的钱(ALE=SLE*ARO)
• 为每个资产威胁配对制定可能的对策,并计算年化防护成本(ACS)、ARO、EF和ALE的变化
• 对每种对策进行成本效益评估(cost/benefit evaluation),选择对每种威胁最合适的响应措施,即ALE_per-ALE_post-ACS,结果为正则防护措施有价值,结果为负则防护措施无价值。
5.风险响应
1)影响风险响应的因素
• 风险偏好(risk appetite)是一个组织在所有资产中愿意承担的总风险。(个人理解为主观性)
• 风险能力(risk capacity)是一个组织能够承担的风险水平。(客观总量)
• 风险目标(risk target)是特定资产威胁配对的首选风险水平。
• 风险容忍度(risk tolerance)是指一个组织能够接受的每个资产威胁配对的风险量或风险水平。(能抗三拳)
• 风险限额(risk limit)是指在采取进一步的风险管理措施之前,可容忍的高于风险目标的最大风险水平。(五拳不干了,即底线)
2)风险应对措施
必考
• 风险缓解(Risk Mitigation):组织部署了一个OA系统在互联网上供员工使用,那么就会面临来自互联网攻击的风险。为了降低被攻击的风险,部署一个防火墙用以防护OA,这是风险缓解。
• 风险转移(Risk Assignment):考虑到OA被攻击后恢复的成本,选择购买商业保险,损失将由保险公司承担,这是风险转移。
• 风险接受(Risk Acceptance):老板觉得防护OA被攻击成本投入太大,没有超过OA给组织带来的价值,不采取防护措施,这是风险接受。(记录、领导签字)
• 风险拒绝(Risk Rejection):老板觉得自己运气爆表,不会被黑客盯上,因此不觉得OA有任何风险,这是风险拒绝。(拒绝承认风险-消极)
• 风险威慑(Risk Deterrence):老板不给钱做安全,管理员为了威慑黑客,给OA配置一个访问页告警“我们的OA已经部署各类防护措施,并与网安系统联网,请不要进行网络非法活动!”,这是风险威慑。(可能有反效果)
• 风险规避((Risk Avoidance):老板觉得OA既然会被攻击,那么我们就不用了,于是OA系统下线,黑客没目标可以攻击,这是风险规避。(风险缓解的极端,例如拔网线)
3)风险的变化
• 固有风险(inherent risk):在风险管理工作开前存在的风险。
• 剩余风险(residual risk):实施控制措施后仍存在的风险,包括不可识别和可接受风险。
• 总风险(total risk):如果没有实施保障措施,组织将面临的风险量。
• 控制间隙(controls gap):总风险和剩余风险之间的差异。
总风险-控制间隙=剩余风险
6.对策的选择和实施
安全控制、对策和保障措施可以通过管理、技术或物理方式实施,这三类机制应以纵深防御方式实施,以提供最大效益。
• 管理:测量、程序、雇佣实践、背景调查、数据分类和标签、安全意识和培训工作、报告和审查、工作监督、人员控制和测试。
• 技术:身份验证方法、加密、受限接口、访问控制列表、协议、防火墙、路由器、入侵检测系统和剪裁级别。
• 物理:警卫、围栏、运动探测器、带锁的门、密封的窗户、照明、电缆保护、笔记本电脑锁、徽章、刷卡、警犬、摄像机、门禁前厅和报警器。
7.控制类型
考试判断类型
• 预防:预判了黑客怎么干坏事提前预防让他干不了,如IPS。
• 威慑:通过恐吓让黑客不敢干坏事,如登录告警banner。
• 检测:发现或检测不期望或未经授权的活动,如IDS。
• 补偿:增强现有措施能力的控制,如E-DLP、N-DLP配合使用。
• 纠正:修改环境使系统在发生不期望或未经授权的活动后恢复正常,如杀毒。
• 恢复:纠正措施的扩展,通常涉及整体还原,如数据库恢复(还原)。
• 指令:涉及管理类措施,如横幅标语(你妈的看着点)。
8.安全控制评估
安全控制评估SCA(Security Control Assessment)是根据基线或可靠性预期对安全基础架构的各个机制进行的正式评估。通常来说,SCA是NIST 800-53 Rev. 5 (信息系统和组织的安全和隐私控制)实施的过程。
9.监控和测量
安全控制应该被持续监控和量化,用于衡量安全控制的效益,并提供改进建议。
10.风险报告和文档
风险报告是风险分析结束执行时的任务,包括编写风险报告和相关方汇报。风险登记簿(risk register)或风险日志(risk log)是对组织或系统或单个项目内的所有已识别风险进行编目的文件,通常包括:
• 识别风险
• 评估这些风险的严重性并确定其优先级
• 制定应对措施以减少或消除风险
• 跟踪风险缓解的进度
11.持续提升
由于风险评估是时间点的度量,而威胁和脆弱性不断变化,因此需要进行定期风险评估,以支持持续改进。企业风险管理(ERM)计划可以使用风险成熟度模型(RMM)进行评估。RMM评估成熟、可持续和可重复的风险管理过程的关键指标和活动,通常有五个级别:
• 临时(Ad hoc):瞎鸡儿管。
• 起步(Preliminary):不严格地尝试遵循风险管理流程,但每个部门可能单独进行风险评估。
• 定义(Defined):在整个组织范围内采用通用或标准化的风险框架。
• 集成(Integrated):风险管理操作集成到业务流程中,指标用于收集有效性数据,风险被视为业务战略决策中的一个要素。
• 优化(Optimized):风险管理的重点是实现目标,而不仅仅是应对外部威胁;增加战略规划是为了业务成功,而不仅仅是避免事故;吸取的经验教训将重新纳入风险管理过程。
12.风险框架
NIST 800-37 Rev.2中风险管理框架RMF的6个阶段:
1.分类(Categorize):根据损失影响分析,对系统和系统处理、存储和传输的信息进行分类。
2.选择(Select):为系统选择一套初始控制措施,并根据需要调整控制措施,以根据风险评估将风险降低到可接受的水平。
3.实施(Implement):实施控制并描述如何在系统及其运行环境中使用控制。
4.评估(Assess):评估控制措施以确定控制措施是否正确实施,是否按满足安全和隐私要求的预期运行。
5.授权(Authorize):在确定组织运营和资产、个人、其他组织和国家的风险可接受的基础上,授权系统或通用控制。
6.监控(Monitor):持续监控系统和相关控制,包括评估控制有效性、记录系统和运行环境的变化、进行风险评估和影响分析,以及报告系统的安全和隐私状况。
三、社会工程
社会工程是指利用对他人的基本信任、提供帮助的愿望或炫耀的倾向,来达到说服某人执行未经授权的操作或说服某人泄露机密信息的目的。针对社会工程攻击的最重要防御措施是用户教育和意识培训。
1.社会工程原则
(非重要内容)
• 权威(authority):由于大多数人都会顺从权威,因此冒充具有有效内部或外部权限的人容易使目标相信,如伪装CEO打电话。
• 恐吓(intimidation):权威原则的衍生,利用权威、自信、甚至伤害威胁激发某人服从命令或指示,如伪装CEO打电话说:“你赶紧给我重置一下系统密码,不然我就开掉你”。
• 共识(consensus):利用一个人的自然倾向模仿他人正在做或被认为在过去做过的事情的行为,如打电话说:“张三(目标的同事)说要帮我重置密码,但他正巧没有空,说找您可以帮忙重置“。
• 稀缺性(scarcity):与紧迫性相关,基于目标所需的对象的稀缺性来说服某人,如钓鱼邮件里描述有白嫖星巴克的劵还有5张,赶紧点击链接领取。
• 熟悉感(familiarity):利用一个人对熟悉事物的天生信任,如打电话说:“张三(目标的同事)说要帮我重置密码,但他正巧没有空,说找您可以帮忙重置“。
• 信任(trust):攻击者与受害者建立关系,可能需要几秒钟或几个月,但最终攻击者会试图利用关系的信任说服受害者泄露信息或执行违反公司安全的行为。
• 紧迫性(urgency):与稀缺性相关,利用紧急状况使目标不能仔细思考而做出决策,如伪装CEO打电话说:“你赶紧给我重置一下系统密码,我有个1亿的单子要走审批,5分钟不审批付款,客户那边就断绝合作了”。
2.套取信息
套取信息(eliciting Information)是从系统或人员获取或收集信息的活动。在社会工程的背景下,它被用作一种研究方法,以便设计一个更有效的借口让对方相信自己,并获取自己想要的信息,用于支持物理或技术攻击。可参考电信诈骗话术或PUA。
3.预附加
预附加(prepending)是在某些其他通信的开头或标题中添加术语、表达式或短语,目的是增强借口的可信度,如钓鱼邮件添加Re:或者Fw:标签;还可以尝试绕过过滤器,如钓鱼邮件添加X-Spam-Condition:SAFE。
4.网络钓鱼
网络钓鱼(phishing)是指通过多种方式,如邮件、即时通讯软件、电话、短信、甚至面对面交流,从目标处获取信息或植入恶意软件。网络钓鱼模拟(phishing simulation)是一种工具,用于评估员工抵制网络钓鱼活动的能力。
5.鱼叉式网络钓鱼
鱼叉式网络钓鱼(Spear phishing)是一种更具针对性的网络钓鱼形式,其信息是专门针对一组或个人制作的。当鱼叉式网络钓鱼伪装成高级管理层时,被称为商业电子邮件诈骗(business email compromise,BEC)。
6.鲸钓
鲸钓(whaling)是鱼叉式网络钓鱼的一种形式,目标是特定的高价值个人,如高级管理层。
7.钓鱼短信
钓鱼短信(smishing)是指利用短消息服务(SMS)发起的网络钓鱼攻击。
8.钓鱼语音
钓鱼语音(vishing)是指通过任何电话或语音通信系统进行的网络钓鱼。就像防电信诈骗一样,要做到不信、不听、不转账。
9.垃圾邮件
垃圾邮件(spam)是任何类型的不受欢迎或未经请求的电子邮件,除了浪费邮箱资源外,还是恶意软件的载体。防御手段包括垃圾邮件过滤器、反垃圾邮件软件(Antispam)、发件人策略框架(SPF)、域密钥标识邮件(DKIM)和域消息身份验证报告和一致性(DMARC)。
10.肩窥
肩窥(shoulder surfing)是指某人能够观看用户的键盘或查看其显示,限制屏幕可视性可以有效防御肩窥,如贴上防窥膜。
11.发票诈骗
发票诈骗(invoice scams)是指试图通过出示虚假发票从组织或个人处窃取资金,通常与BEC结合发动攻击。
12.骗局
骗局(hoax)是指尝试说服目标执行会导致问题或降低其IT安全性的操作,如宣称爆发了一个恶意病毒,得下载一个专杀工具才能查杀,实际专杀工具才是恶意病毒。
13.假冒和伪装
假冒(impersonation)是指以他人身份进行的行为,也可以被称为伪装(masquerading)、欺骗(spoofing)、身份欺诈(identity fraud)。
14.尾随和捎带
尾随(tailgating)是指未经授权的实体在有效员工的授权下、但在员工不知情的情况下进入设施,如前面人刷卡进入后,趁门没关赶紧溜进去。捎带(piggybacking)是指未经授权的实体通过诱骗受害者获得同意,在有效工人的授权下进入设施,如对前面的人说:“兄弟,我忘记带卡了,给我刷一下吧”。
15.垃圾搜索
垃圾搜索(dumpster diving)是指通过挖掘垃圾、废弃设备或废弃地点,获取目标组织或个人信息的行为。
16.身份欺诈
身份盗窃(Identity theft)和身份欺诈(identity fraud)是指所有类型的犯罪,其中有人以某种方式非法获取和使用他人的个人数据,通常是为了经济利益。
17.误植占用(typo squatting)
通常注册与合法域名类似的域名来实现攻击,如googel.com、gooogle.com、googles.com、googe.edu等。
18.影响力运动
影响力运动(influence campaigns)是试图引导、调整或改变公众舆论的社会工程攻击,如“公知”。
• 恶意散播他人信息(doxing)是指收集有关个人或组织的信息,然后公开披露收集的数据(可能涉及伪造),以影响对目标的看法,如女子取快递被造谣出轨诽谤案。
• 混合战争(Hybrid Warfare)是指将传统军事战略与现代能力相结合发动战争,包括社会工程、数字影响力运动、心理战、政治战术和网络战能力。
• 社交媒体(social media)已经成为国家对目标发动混合战争的武器,也称为了泄漏个人隐私信息的主要渠道。
四、安全意识、培训和教育
安全策略制定的非常完美也不能够保障组织的安全性,因为策略的执行必须依靠人这个关键资产,人如果对信息安全一点都不上心,那么再好的安全制度也无法贯彻实施,就像老板开大会讲的贼high,员工都在下面打瞌睡。
意识→培训→教育
1.意识(Awareness)
让员工首先意识到信息安全的重要性,才能让其后续工作中有所作为。常规做法就是搞意识培训,请老师讲讲最近发生的安全事件以及危害,以及通过环境进行营销,如在墙上张贴一些安全提示语等。
2.培训(training)
有了安全意识后,员工还需要进行安全培训,赋予员工解决安全风险的能力,比如怎么杀毒、怎么配置防火墙。
3.教育(education)
员工有能力完成职责所要求的的工作内容外,还想不断提高自己技术能力,那么参与的就是教育,如大家现在考的CISSP。
4.提高意识和培训的最佳实践
• 改变培训目标焦点
• 改变话题顺序或重点
• 使用多种演示方法
• 角色扮演
• 培养和鼓励安全倡导者(security champions)
• 游戏化(gamification)
安全倡导者通常是非安全员工,他们承担鼓励他人支持和采用更多的安全实践和行为的责任。游戏化是一种通过将游戏中的常见元素整合到其他活动中来鼓励合规性和参与性的方法,通常包括奖惩行为。
5.有效性评估
培训和意识计划有效性评估应持续或持续进行,包括但不限于培训材料审查、培训记录审查、安全策略违规率监控等。