如何计算功能的风险等级？

Question

我正在为我工作的组织开发一种威胁建模/架构风险分析(ARA)方法。我们的业务包括一个主要产品(由大约500名开发人员在十年内开发)。该产品包含数百个功能，其中大部分远离攻击表面，处理的数据很少。

为了优化我们的ARA，我希望实现一种特性风险评估方法，它将允许软件架构师(不了解安全)轻松地评估他们正在产生的特性的影响。根据他们的评分，他们要么做一个轻量级的ARA版本，一个更详细的版本，甚至咨询安全团队(如果它是一个高影响功能)。

你能推荐这样的方法吗？我想到的唯一一件事是一份问卷，其中架构师将填写关于他/她的特性交互的资产的信息(基于我们的资产库存)，并且根据资产影响和一个简单的公式，架构师计算功能影响。

你们有什么更好的主意吗？

Answer 1

我会抽象出这个评级系统的用户的“影响”等级。生成的系统需要清晰、简单和明确。它还需要产生可审计的输出(其他人可以检查的东西)。

我通过降低对数据和特征交互的数据系统的分析的复杂性来做到这一点。使用现有的数据分类和数据风险模型来定义您所拥有的各种数据类型(个人、财务、支付卡、健康、敏感等)的特征。并定义这些数据应该具有哪些保护(加密、某些访问级别等)。您可能已经对各种数据的影响有了一定程度的了解，所以只需借用它，而不是重新发明轮子。

然后，您可以通过直接或通过对其他特性/系统的调用，对功能所涉及的数据的保护/风险级别进行分类。

示例：

The data the feature processes has:

* names or personal identifiers
* payment card data, bank details
* health information
* internal financial information
* internal configuration
* passwords, crypto keys
* ...

The feature interacts with:

* users
* Database A
* Database B
* 3rd party service C
* payment processors
* external researchers
* ...

结果很简单:开发人员检查数据的特征、新的特性进程以及与其交互的系统，您的检查表应该返回该特性的分类。审计员/同行只需检查数据是否确实具有这些数据特征。

总之，生成的系统是快速、简单和易于理解的。使其发挥作用的是以前在确定某些类型的数据所要求的风险和保护方面所做的所有工作(无论是内部风险评级、法律、法规等)。

如果您还没有数据分类和数据风险理解，那么首先创建它实际上会更简单，而不是每次您有新的功能需要评估时就重新发明这个轮子。如果事情发生变化，比如法律或公司的风险承受能力，更新这个评级系统也会变得更容易(为抽象和封装而欢呼三声！)

数据特征清单方法还有一个额外的好处:如果法规发生了变化，您就有了一个预先构建的数据特性清单，这样您就可以知道系统中的数据流。就像最新的有机数据流图。

Answer 2

我认为这应该基于特性访问各种安全/数据/其他领域的能力。把它想象成一个手机应用程序，请求访问您手机的特定模块。

因此，考虑特性可以做什么/访问/更改，并为其分配一个风险评分。当然，你必须有一个完整的情况，所以你可以设置一些类别和最大的分数为每一个。

当然，一份问卷是有帮助的，但前提是它必须正确地填写，同时考虑到所有方面。通常，这是由评估团队处理的，而不仅仅是由架构师处理，因为他可能不会考虑所有的影响。