什麼是網路安全風險評估?
網路安全風險評估是對組織保護其資訊及資訊系統免受網路威脅能力的評估。各種規模的組織(從小型企業到大型企業營運)只要使用 IT 資源,都會進行網路安全(Cybersecurity)風險評估。
網路安全風險評估的目標是識別和分析潛在的網路威脅,以引導資源分配,從而預防和減輕威脅,包含設定安全控制措施以保護 IT 資源。透過提供對 IT 資源的全盤視角,網路安全風險評估也有助於網路安全團隊識別並優先處理安全缺口與待改善之處,以減少漏洞。
網路安全風險評估的範疇與規模取決於系統與使用者的數量,以及風險可能造成的損害程度。例如,小型企業可能處理高度敏感的資訊,而大型組織則未必如此。
網路安全風險評估的核心組成要素通常包括:
- 涵蓋安全作業程序、IT 政策、災難復原計畫、營運持續計畫及風險管理政策的政策分析
- 評估敏感資料的儲存、分類與保護方式,以及既有存取控制機制的資料安全分析
- 實體安全分析,例如緊急備援電力、門鎖、監視器與警報系統的可近用性
- 網路分析,涵蓋內部與外部網路、交換器與路由器的檢視,以及網路分段、防火牆與無線網路的評估
- 伺服器安全分析,評估重複備援機制、惡意軟體(Malware)防護、驗證與授權
- 針對可存取組織系統的第三方所進行的第三方安全分析
為什麼網路安全風險評估很重要?
網路安全風險評估之所以重要,是因為它能協助組織採取主動式的方式來緩解與預防威脅。其他使評估具重要性的潛在效益包括:
- 避免法遵問題
- 確保安全措施與資源的最佳運用
- 建立風險基準,以協助持續衡量網路安全措施的成效
- 有助於制定因應與從網路攻擊(Cyber Attack)復原的應變計畫
- 提高使用者的安全意識
- 防止敏感資料遺失或遭到洩漏
- 降低與安全事件相關的成本
如何開始進行網路安全風險評估
在開始網路安全風險評估之前,應先制定一套完整的計畫,並建立可執行以下事項的流程:
- 識別潛在威脅和漏洞
- 預測威脅的影響
- 提供威脅緩解與消除的方案
網路安全風險評估可由內部團隊或第三方執行。無論採取何種方式,成功的關鍵在於組建合適的團隊。理想的團隊成員不僅包括 IT 與資安人員,還應涵蓋來自組織各部門的代表,包括高階管理層。
網路安全風險評估的步驟
步驟 1:識別 IT 資產
為了執行全面性的網路安全風險評估,必須先識別所有 IT 資產。這些資產包括技術基礎結構(例如實體與邏輯結構)以及由這些系統所建立、儲存或傳輸的敏感資料。第三方系統與服務也應納入評估範圍。
步驟 2:對 IT 資產風險進行分類
一旦 IT 資產完成識別與編目,接下來必須進行分類。這表示需逐一檢視並評估以下項目:
- 所帶來的財務風險
- 對營運的重要性
- 成為網路犯罪分子目標的可能性
- 商譽損害的可能性及其後果
- 是否存在敏感資料與個人可識別資訊 (PII)
對 IT 資產進行風險分類時,應考量固有風險與剩餘風險:
- 固有風險是指在尚未實施任何控管措施以降低或消除風險之前的風險程度。
- 剩餘風險是指在實施控管措施後仍然存在的風險。
風險分析會在風險完成識別與編目後,依其嚴重程度進行優先排序。網路安全風險評估評分的考量因素包括 CIA 資安鐵三角的三大要素,分別為:
- 機密性 此項衡量指標著重於系統與流程的效能,以確保機密資訊免於未經授權的存取。該評分通常根據資料遭到洩漏時可能造成的損害程度與類型來計算。
- 完整性 此項指標衡量資訊在其整個生命週期中的準確性、一致性與可靠性,並考量儲存與處理資訊的系統。
- 可用性 此項指標衡量授權使用者取得所需資訊的速度與便利性。
為協助資源優先排序,應針對每項風險評估其固有風險與剩餘風險,並依據以下因素分配評分:
- 機率
- 影響
- 控制
機率
機率衡量某項資產在特定年度內遭受風險的可能性。機率本身不考量風險影響的嚴重程度。在網路安全風險評估中,常用的機率評分標準是該風險出現的頻率。
- 極高(每日或一天多次)
- 可能(每週多次,但不是每日)
- 偶爾發生(每週一次)
- 不太可能(每月一次)
- 極少(每年一次或更少)
影響
風險的整體影響係根據該風險實際發生時的嚴重程度或影響效果而定。網路安全風險評估中的影響分數應將 CIA 資安鐵三角要素納入考量。
這些分數通常與財務、營運、聲譽及策略性風險的影響相關。用以衡量影響程度的評分標準通常包括:
- 非常高
- 高
- 中等
- 低
- 非常低
控制
控制強度是依據預防性與偵測性措施的廣度與效能來衡量的。以下準則用於評估網路安全風險評估中控制措施的強度。
強而有力的控制
- 現有的政策和程序都足夠完善。
- 已實施自動化控制措施。
- 已建立有效的人工控制措施。
- 有效依賴監控控制措施。
- 測試與稽核結果顯示,控制措施足以保護公司免受風險影響。
- 測試與稽核未發現任何風險。
有效的控制
- 現有的政策和程序都足夠完善。
- 已實施自動化控制措施。
- 已建立有效的人工控制措施。
- 中度依賴監控控制措施。
- 已執行測試或稽核,結果顯示控制措施足以保護公司免受風險影響。
- 已記錄的風險觀察事項與流程改善機會相關。
足夠的控制
- 現有的政策和程序都足夠完善。
- 中度依賴自動化控制措施。
- 已建立有效的人工控制措施。
- 低度依賴監控控制措施。
- 已執行測試或稽核,結果顯示控制措施足以保護公司免受風險影響。
- 已記錄的風險觀察事項為輕微等級。
- 已記錄數項流程改善機會。
控制薄弱
- 現有的政策和程序都足夠完善。
- 低度依賴自動化控制措施。
- 已建立有效的人工控制措施。
- 低度依賴監控控制措施。
- 已執行測試或稽核,結果顯示控制措施足以保護公司免受風險影響。
- 已記錄的風險觀察事項為輕微等級。
- 已記錄數項流程改善機會。
控制措施不足
- 未建立任何政策與程序。
- 未實施自動化控制措施。
- 未建立人工控制措施。
- 尚未執行測試或稽核;若已執行,結果顯示控制措施不足。
步驟 4:識別安全控制措施
對風險進行評分與優先排序後,網路安全風險評估涵蓋了識別安全控制措施,以減輕並消除威脅。這些控制措施包括任何用於避免、偵測、對抗或降低 IT 資產風險的防護或對策。
要考慮的安全控制措施包括:
- 存取管理系統
- 管理控制措施,例如稽核、資料分類與職能分工(Separation of duties , SoD)。
- 反惡意軟體
- 驗證系統
- 靜態和傳輸中資料的加密
- 防火牆設定
- 入侵偵測系統和入侵防範系統 (IDS/IPS)
- 多因子驗證(Multi-Factor Authentication , MFA)
- 網路分段
- 密碼通訊協定
- 物理控制,例如警報系統、攝影機、圍欄和門鎖
- 勒索軟體(Ransomware)防護
- 安全教育(例如,網路釣魚(Phishing)防護)
- 廠商風險管理
步驟 5:監控並檢視成效
網路安全風險評估的最後一步著重於預防。其內容包括檢視整體發現,並建立制度以確保能定期進行評估。
網路安全風險評估計畫的最佳實務建議至少每年重複一次流程。若組織能善用初始收集的資訊並保持其更新,則執行起來會更容易。這其中包括:
- 資料儲存庫
- 現有的安全控制措施
- 任何系統與外部服務或廠商的互動
- IT 資產盤點:
- 所有現行應用程式、工具與公用程式的應用程式資產組合
- 實體資產,例如硬體、網路,以及通訊元件與周邊設備
- 作業系統資訊
- 安全要求、政策與程序
- 系統架構、網路圖,以及由系統儲存或傳輸的資料
網路安全風險評估資源
美國網路安全暨基礎設施安全局 (CISA) 網路安全評估工具 (CSET®)
CISA CSET 是一款應用程式,協助 IT 資產擁有者與操作人員評估操作技術與資訊技術的安全性,並進行網路安全風險評估。在完成評估後,組織將會收到安全與風險報告,該報告以摘要與詳細兩種方式呈現評估結果。組織可以操作與篩選內容,以不同層次的精細度分析發現,進而支援與安全及風險相關的決策。
美國網路安全暨基礎設施安全局 (CISA) 國家網路安全警覺系統 (US-CERT 警報)
CISA US-CERT 警報是一項免費的訂閱式服務,提供有關資安事件、安全問題、漏洞與攻擊的即時報告。它能支援網路安全風險評估,並提供有助於評估威脅發生可能性與影響程度的寶貴資訊。
美國聯邦調查局網路犯罪申訴中心 (FBI IC3) 產業警報
FBI IC3 產業警報是一項免費的訂閱式服務,定期提供已發生或疑似發生的資安事件報告。每份報告都包含威脅描述、指標以及建議的緩解技術。與 CISA US-CERT 警報類似,FBI IC3 產業警報同樣能促進網路安全風險評估。
網際網路安全中心風險評估方法 (CIS RAM)
CIS RAM 是一種網路安全風險評估方法,協助組織依循 CIS 關鍵安全控制措施 (CIS Control) 的網路安全最佳實務,來落實並評估其安全防護狀態。
美國國防部 (DoD) 風險管理框架 (RMF)
DoD RMF 制定了供 DoD 機構進行網路安全風險評估的指引。RMF 將網路安全風險管理策略劃分為六個主要步驟:分類、選擇、實施、評估、授權以及監控。DoD RMF 也可供任何組織使用,以指導其網路安全風險評估。
資訊風險因素分析 (FAIR) 框架
FAIR 框架可協助組織進行網路安全風險評估。它是唯一提供網路安全與營運風險量化模型的國際標準。
FAIR 提供一種網路安全風險評估模型,用於理解、分析並以財務角度量化網路安全風險與營運風險。與其他框架不同,FAIR 框架的輸出並不著重於定性的顏色圖表或數值加權量表。 國際標準化組織 (ISO)/國際電工委員會
(IEC) 27001:2013 (ISO 27001)
ISO 27001 提供一套全面性的資訊安全管理方法,其中包含網路安全風險評估與風險處理的要求。它規範了最佳實務的 ISMS(資訊安全管理系統),並採用以風險為基礎的資訊安全管理方式,涵蓋人員、流程與技術等面向。
美國國家標準與技術研究所 (NIST) 網路安全框架
NIST 網路安全框架為關鍵基礎設施的擁有者與操作人員提供標準、指引與最佳實務,以管理網路安全風險。該框架將網路安全功能對應至六項參考標準,包括 NIST 800-53 第五版、國際標準化組織/國際電工委員會 (ISO/IEC) 27001:2013、資訊與相關技術控制目標第 5 版框架、網際網路安全中心關鍵安全控制措施 (CIS CSC)、以及國際自動化協會 (ISA) 62443-2-1:2009 與 ISA 62443-3-3:2013。
請注意,本文件並不限於關鍵基礎設施的擁有者,任何希望提升網路安全與韌性的組織皆可使用。本文件同時提供有助於網路安全風險評估的相關資訊。
美國國家標準與技術研究所 (NIST) 風險評估指南
NIST 風險評估指南為聯邦資訊系統與組織提供網路安全風險評估的指引。定期且持續地由團隊執行網路安全風險評估,旨在讓組織領導者掌握其安全措施的狀態。任何組織皆可利用 NIST 風險評估指南來支援網路安全風險評估工作。
美國國家標準與技術研究所 (NIST) 風險管理框架 (RMF)
NIST RMF 提供一套有紀律、結構化且具彈性的流程,用於管理安全與隱私風險。任何組織皆可使用 NIST RMF 來支援網路安全風險評估工作。
支付卡產業資料安全標準 (PCI-DSS) 風險評估指引
PCI DSS 4.0 要求所有處理與管理支付卡資料的組織,必須進行正式的網路安全風險評估,以識別組織中的漏洞、威脅與風險,特別是持卡人資料環境 (CDE)。此項要求能協助組織識別、排序並管理資訊安全風險。
服務組織控制第 2 類 (SOC2)
SOC 2 是一套以信任為基礎的網路安全框架與稽核標準,由美國註冊會計師協會 (AICPA) 制定,用以驗證組織是否安全地管理客戶資料。SOC 2 網路安全風險評估用於收集有關組織控制措施的詳細資訊與保證,這些控制措施涉及系統在處理使用者資料時的安全性、可用性與處理完整性,以及該系統所處理資訊的保密性與隱私性。
網路安全風險評估框架比較
各種網路安全風險評估框架在方法與重點上各有不同,有些著重於法遵,有些著重於財務風險,另一些則專注於威脅防範。許多組織會結合多種框架,以因應特定需求或法規要求。
快速概覽:美國網路安全暨基礎設施安全局 (CISA) 網路安全評估工具 (CSET®)
- 最適用於:提供關鍵基礎設施服務的機構,以及其他需要客製化評估的重要組織
- 目標:評估基礎設施安全是否符合監管框架
- 評估類型:包含問卷與報告範本的自我評估工具
快速概覽:網際網路安全中心風險評估方法 (CIS RAM)
- 最適用於:需要遵循特定產業標準的中大型組織
- 目標:評估營運安全,並確保已建立適當的威脅管理系統
- 評估類型:自我評估,以及由第三方執行的評估,用於驗證結果以進行法規遵循報告
快速概覽:美國國防部 (DoD) 風險管理框架 (RMF)
- 最適用於:主要由美國聯邦及國防機構與承包商使用,但同樣適用於私部門組織
- 目標:評估用於識別、評估與管理網路安全風險的系統
- 評估類型:六步驟的評估流程,必須經由指定官員核准,以確保系統在獲准於美國國防部 (DoD) 網路中使用之前,符合特定的安全標準。(此流程亦可供私部門組織進行自我評估使用)
快速概覽:資訊風險因素分析 (FAIR) 框架
- 最適用於:尋求風險財務量化的組織
- 目標:採用量化的風險管理方法,以評估網路安全風險的財務影響
- 評估類型:量化模型可協助內部團隊或第三方專家進行機率性風險評估
快速概覽:NIST 風險評估指南 (NIST SP 800-30)
- 最適用於:聯邦機構使用,但同樣適用於私部門組織
- 目標:進行網路安全風險評估,包括威脅分析、影響評估與風險處理
- 評估類型:自我評估,以及由第三方執行的評估,用於驗證結果以進行法規遵循報告
快速概覽:PCI DSS 網路安全風險評估
- 最適用於:所有處理持卡人資訊的組織
- 目標:確保處理信用卡交易的組織能保障持卡人資料的安全
- 評估類型:強制性的風險評估,由授權的第三方評估人員執行,作為 PCI DSS 法規遵循的一部分
快速概覽:服務組織控制第 2 類 (SOC 2)
- 最適用於:服務供應商、雲端與資訊科技公司,以及其他處理敏感客戶資料的組織
- 目標:證明組織符合五項「信任服務準則」,以管理客戶資料(即資料安全性、可用性、處理完整性、機密性與隱私)
- 評估類型:需要由獨立的第三方稽核,以驗證組織是否符合特定準則
網路安全風險評估的真實案例
以下案例說明組織如何運用網路安全風險評估框架。
公用事業公司:CISA CSET®
一家區域電力公司使用 CISA 的 CSET 工具,來評估其在關鍵基礎設施上的網路安全狀態,包括輸電網路(如變電站、變壓器)以及工業控制系統 (ICS)。這項網路安全風險評估工具提供了結構化的評估流程,能依據產業標準與法規要求來識別系統中的漏洞。
他們的 CSET 網路安全風險評估協助該公用事業公司找出安全控制上的缺口,並優先推動改進措施,以防範可能中斷重要服務的網路威脅。做為 CSET 網路安全風險評估的一部分所識別出的更新,帶來了更強的風險韌性、提升的網路安全防禦能力、符合法規標準,以及員工在理解與監控網路安全風險方面的意識提升。
醫療院所:CIS RAM
某大都市醫院使用 CIS RAM,將其安全措施與 CIS 控管保持一致,以確保受保護的健康資訊 (PHI) 能夠獲得有效的安全保障。透過 CIS RAM,該醫院依據自身的營運環境與管理需求來進行風險評估。
根據定期網路安全風險評估演練的結果,該醫院會依照可接受的風險水準與營運影響來決定應採取哪些控制措施。透過使用 CIS RAM 來指導網路安全風險評估工作,醫院建立一套以風險為基礎的安全方法,能有效地優先分配資源,以保護病患資料並遵循 HIPAA 及其他資料保護與隱私相關法規。
國防承包商:DoD RMF
一家線上通訊平台供應商若希望將其解決方案提供給美國國防部內的各單位,必須依循國防部風險管理架構 (DoD RMF) 的六個步驟,以驗證其安全系統是否符合標準。由於國防承包商所處理的資料被視為敏感資訊,因此 DoD RMF 會根據潛在威脅以及組織防禦風險的能力,來評估可能的風險等級(例如高或中等)。
此外,國防承包商必須經過正式的授權程序,以取得營運許可 (ATO)。一旦國防承包商完成六步驟的網路安全風險評估流程,國防部即可驗證其系統符合嚴格的安全要求,以維持法遵並保護敏感的國防資料免受網路威脅。
聯邦機構:採用 NIST SP 800-30 進行風險評估
美國衛生與公共服務部 (HHS) 轄下的醫療保險與醫療補助服務中心 (CMS),使用 NIST SP 800-30 來指引其 IT 系統的定期風險評估。CMS 處理大量與醫療保險和醫療補助受益人相關的受保護健康資訊 (PHI) 及財務資料,並透過此網路安全風險評估框架,確保符合聯邦資料保護與隱私標準。
NIST SP 800-30 協助該機構識別與 IT 系統中處理與儲存的敏感資訊相關的潛在威脅、弱點與影響。該機構也使用 NIST 800-30 來評估每個風險情境的可能性及潛在後果。根據定期網路安全風險評估演練的結果,該機構制定一份優先排序的風險緩解計畫,以提升其偵測與回應網路威脅的能力,並依照聯邦要求減少漏洞。
電子商務公司:PCI DSS 網路安全風險評估
一家線上零售商定期執行 PCI DSS 網路安全風險評估,以確保法遵。PCI DSS 評估會檢視與持卡人資料的儲存、傳輸及處理相關的風險,並識別資料保護措施中的缺口。定期進行此網路安全風險評估不僅能滿足法遵要求,還能協助公司強化其支付安全基礎結構,確保加密、存取控制及網路分段均已最佳化,以降低可能危及個人可識別資訊與敏感支付資料的安全漏洞風險。
軟體即服務 (SaaS) 供應商:SOC 2
一家雲端服務供應商定期接受 SOC 2 稽核,以向客戶證明其已建立完善的控制措施來保護客戶資料。做為 SOC 2 網路安全風險評估流程的一部分,該供應商的安全措施會由外部稽核人員持續評估,審查範圍涵蓋資料安全性、可用性與機密性等控制項目。
網路安全風險評估的必要性
無論規模大小,任何擁有 IT 資源的組織(幾乎所有組織)都需要進行網路安全風險評估。其規模與頻率將取決於組織本身,但某種類型的網路安全風險評估計畫是必不可少的。如上所述,目前有許多資源可用於支援任何類型的網路安全風險評估方案。
