当关键业务资产没有得到充分保护以免受网络安全漏洞的影响时,组织可能会遭受可怕的后果。PDF 编辑工具 Lumin PDF 曾经在一个在线论坛上发布了其 2430 万用户群的机密数据。几乎每个厄瓜多尔公民的个人资料最近也在网上泄露。数据泄露在 2019 年前六个月暴露了 41 亿条记录,而 2019 年医疗保健行业的数据泄露已经比2018年翻了一番。最近,据日媒报道,全球主要汽车零部件供应商日本电装株式会社(Denso)疑似遭遇黑客攻击,超过15.7万份订购单、邮件和设计图纸等总共1.4TB的资料疑被泄露,并被黑客索要赎金。2月底,国际芯片巨头英伟达被曝遭到黑客组织Lapsus$攻击,约1TB数据被窃取,超7万员工数据被泄露。日前,韩国科技巨头三星电子承认被同一个黑客组织攻击,导致智能手机等Galaxy品牌设备的源代码泄露。据黑客组织Lapsus$声称,该批泄露数据近190GB,被拆分为三个压缩文件供外界下载,其中包括生物识别算法以及来自高通的机密源代码等等。
态势感知 (SA)的目的是保护组织免受关键资产的损失或损害,例如最近这些示例中受到损害的那些,我们旨在为网络安全提供实用的高级 SA 视图。我们将介绍实现 SA 所需的信息、支持维护 SA 所需的架构组件、分析问题以及 SA 如何帮助安全运营中心。在这篇文章中,我们着眼于组织资产的类型,我们如何衡量这些资产的风险,以及如果这些资产受到安全事件的影响,如何识别潜在的业务相关后果。
资产分类
业务资产可以通过多种方式进行分类。例如,CERT 弹性管理模型 (CERT-RMM)使用四个类别:人员、设施、信息和技术。我们将使用 CERT-RMM 类别,但对于技术资产,将考虑它们是否进行处理、存储、通信或组合,有助于我们思考资产可见性和 SA 分析。这些类别既符合网络攻击的目标,也符合可用于实现目标的物理系统的各个方面。
在此分类中,物理实体包含上面列出的一种或多种资产类别。每项资产都可能需要自己的保护和监控方法。例如,个人台式计算机由存储在硬盘驱动器或随机存取存储器 (RAM) 中的数据、软件程序、支持处理的中央处理器 (CPU) 和支持通信的网络接口组成。通过访问控制,可以保护数据和硬盘驱动器免于丢失机密性。可以使用散列来监控软件的完整性。可以通过防火墙保护通信免受拒绝可用性。请注意,保护和监控机制本身可以与资产类别保持一致(例如,散列和访问控制信息是数据,而防火墙由数据——配置——和处理组成)。
从业务影响的角度来看,通过所需的保护和监控方法对组织资产进行分类有助于识别风险领域和潜在的漏洞或弱点。例如,由于网络连接的存储设备仅包含数据和存储,我们知道该设备的潜在问题包括违反数据机密性或数据完整性、存储中现有数据不可用或拒绝服务阻止添加存储的新数据。此外,根据数据,违规行为可能会对组织的声誉产生负面影响。
根据保护和监控方法对所有实体进行分类可以帮助组织衡量风险;测量风险使组织能够确定安全分配的优先级并快速评估安全事件期间的后果。在人手不足、资金不足和过度风险的环境中,优先保护某些资产是必要的。
优先级必须发生在:
单个设备和特定网段或业务单元的安全加固
对妥协的回应
招聘特定职位
有关优先级的更多信息,在《态势感知之网络安全态势感知简介》中获取。CERT-RMM 资产定义和管理 (ADM) 过程域中还提供了资产优先级指南。下面的图 1 显示了网络弹性审查 (CRR) 补充资源指南附录 A 第 1 卷(资产管理)的模板,该模板源自 CERT-RMM。组织可以使用此模板或类似的东西来维护业务资产清单。
图 1:资产配置文件目录(关键服务)模板,来自 CRR 补充资源指南第 1 卷(资产管理)
衡量风险
要衡量风险,不仅要查看可能出现的问题,还要确定出现问题的可能性以及后果的严重程度。此分析需要了解资产如何用于支持企业运营。有几种风险测量方法,例如OCTAVE和FAIR。
评估风险不是一次性的活动。组织必须持续跟踪资产及其相应的风险,以确保资源与业务目标和优先级保持一致。理想情况下,业务部门将维护并向安全运营商提供所有网络相关资产的全面最新清单,例如图 1 中所示的资产配置文件目录。团队将需要使用可用的工具,例如Nmap或网络流集合来生成列表。注意:此过程几乎可以保证遗漏资产,并且不提供有关已识别资产重要性的信息。风险成熟度模型 (RMM )(不要与CERT-RMM混淆)提供处理风险的指南。
风险管理通常从经理需求的角度来看待,但风险管理流程开发和维护的结果和文档对安全分析师和事件响应者也很有用。有关资产及其风险的相关及时信息是跟踪态势感知的重要组成部分。(有关态势感知四个组成部分的完整描述,请参阅《态势感知之网络安全态势感知简介》)。此信息允许分析人员和响应者更好地推断何时是和应该不匹配,并在对差异做某事时确定响应的优先级。
此外,态势感知的结果应用于帮助告知和更新组织当前的风险观点。例如,企业中存在和应该存在之间的差距可能会被发现。在这种情况下,可以将其纳入正在进行的风险评估中,然后优先搜索态势感知计划中的其他差距。
参考来源:卡内基梅隆大学软件学院
地址:河北省365bet假网站_世界杯365软件_365 体育投注广阳道39号国土资源大厦 065000 联系电话:0316-2237138 主办:365bet假网站_世界杯365软件_365 体育投注自然资源和规划局 维护单位:365bet假网站_世界杯365软件_365 体育投注自然资源和规划局信息中心 版权所有,未经授权,禁止转载 冀ICP备19031506号-4 冀公网安备 13100302000692号 网站标识码 1310000025 网站地图 |