前幾天，我整理了一篇《關(guān)于安全漏洞的一些簡(jiǎn)單看法》，結(jié)合我國(guó)的法律法規(guī)及國(guó)家標(biāo)準(zhǔn)，簡(jiǎn)單探討了一下關(guān)于安全漏洞管理的注意事項(xiàng)，今天正好看到美國(guó)IBM發(fā)布的一篇有關(guān)漏洞管理和威脅建模方法的文章，感覺(jué)對(duì)我們管理網(wǎng)絡(luò)安全有一定的借鑒指導(dǎo)意義，現(xiàn)編譯整理出來(lái)供大家參考！

漏洞管理是一種安全實(shí)踐，旨在避免可能損害組織的事件。這是一個(gè)定期持續(xù)的流程，用于識(shí)別、評(píng)估和管理 IT 生態(tài)系統(tǒng)所有組件的漏洞。

網(wǎng)絡(luò)安全是許多組織努力保持領(lǐng)先地位的主要優(yōu)先事項(xiàng)之一。網(wǎng)絡(luò)犯罪分子為竊取企業(yè)有價(jià)值的信息而進(jìn)行的網(wǎng)絡(luò)攻擊數(shù)量大幅增加。因此，為了應(yīng)對(duì)這些攻擊，組織現(xiàn)在更加注重構(gòu)建更強(qiáng)大、更安全的網(wǎng)絡(luò)安全網(wǎng)絡(luò)。

在本文中，我們將識(shí)別與組織中的網(wǎng)絡(luò)安全相關(guān)的一些漏洞及其對(duì)業(yè)務(wù)的影響。此外，我們還將推導(dǎo)出管理組織中的漏洞的方法以及客戶(hù)在實(shí)施該方法時(shí)的經(jīng)驗(yàn)。

常見(jiàn)的網(wǎng)絡(luò)安全威脅

讓我們來(lái)看看一些對(duì)組織影響最大的網(wǎng)絡(luò)安全相關(guān)漏洞。

網(wǎng)絡(luò)釣魚(yú)

網(wǎng)絡(luò)釣魚(yú)是最普遍的網(wǎng)絡(luò)安全漏洞，影響全球超過(guò) 85% 的組織。在網(wǎng)絡(luò)釣魚(yú)攻擊中，用戶(hù)被誘騙下載通過(guò)電子郵件發(fā)送給他們的惡意鏈接。發(fā)送的電子郵件看起來(lái)像一封合法的電子郵件，其中包含所有必要的信息。因此，用戶(hù)會(huì)被誘騙打開(kāi)附件或單擊電子郵件中包含的有害鏈接。

最常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)攻擊類(lèi)型是電子郵件網(wǎng)絡(luò)釣魚(yú)。隨著時(shí)間的推移，攻擊者還制定了其他方法，包括網(wǎng)絡(luò)釣魚(yú)、網(wǎng)絡(luò)釣魚(yú)和搜索引擎網(wǎng)絡(luò)釣魚(yú)。在短信詐騙中，惡意鏈接是通過(guò)電話(huà)短信發(fā)送的，而在網(wǎng)絡(luò)釣魚(yú)中，則是通過(guò)撥打電話(huà)來(lái)欺騙用戶(hù)。搜索引擎網(wǎng)絡(luò)釣魚(yú)是攻擊者創(chuàng)建虛假網(wǎng)站并在搜索引擎上排名的最新方法，迫使用戶(hù)輸入關(guān)鍵信息，從而導(dǎo)致最終用戶(hù)被盜。

勒索軟件

勒索軟件是最常見(jiàn)的威脅類(lèi)型之一，每天都會(huì)影響數(shù)百個(gè)組織。在勒索軟件攻擊中，攻擊者會(huì)對(duì)組織的數(shù)據(jù)進(jìn)行加密，以便組織內(nèi)部的任何人都無(wú)法訪問(wèn)這些數(shù)據(jù)。為了解鎖數(shù)據(jù)，攻擊者要求巨額贖金，從而導(dǎo)致巨大的金錢(qián)損失，并導(dǎo)致他們的服務(wù)中斷。

組織通常傾向于向網(wǎng)絡(luò)攻擊者支付這些贖金，因?yàn)樗麄儧](méi)有資源從勒索軟件攻擊中恢復(fù)。在某些情況下，即使支付了贖金，組織也無(wú)法檢索其數(shù)據(jù)。

惡意軟件攻擊

惡意軟件攻擊是旨在對(duì)組織的基礎(chǔ)設(shè)施、系統(tǒng)或網(wǎng)絡(luò)造成損害或損害的惡意程序。惡意軟件的來(lái)源通常是公共 Wi-Fi、垃圾郵件、下載惡意內(nèi)容以及點(diǎn)擊彈出廣告。一旦惡意軟件被釋放到系統(tǒng)中，它就可能危及組織服務(wù)器和系統(tǒng)上可用的所有關(guān)鍵信息和個(gè)人信息。

惡意軟件可分為以下類(lèi)別之一：病毒、特洛伊木馬、蠕蟲(chóng)、廣告軟件、間諜軟件、惡意廣告。惡意軟件有時(shí)很難在系統(tǒng)中檢測(cè)到，并且可以更改系統(tǒng)設(shè)置和權(quán)限、監(jiān)視用戶(hù)活動(dòng)并阻止用戶(hù)計(jì)算機(jī)上的關(guān)鍵程序。

分布式拒絕服務(wù) (DDoS)

在分布式拒絕服務(wù) (DDoS) 攻擊中，組織的在線(xiàn)服務(wù)因來(lái)自多個(gè)來(lái)源的互聯(lián)網(wǎng)流量的泛濫而變得不可用。網(wǎng)絡(luò)攻擊者以銀行或政府網(wǎng)站的所有關(guān)鍵資源為目標(biāo)，以確保最終用戶(hù)無(wú)法訪問(wèn)這些網(wǎng)站上的在線(xiàn)信息。

Amazon Web Services (AWS) 和 GitHub 是 DDoS 攻擊的最新受害者之一。常見(jiàn)的 DDoS 攻擊類(lèi)型包括 UDP Flood、ICMP (ping) Flood、SYN Flood、Slowloris、Ping of Death、HTTP Flood 和 NTP 放大。

密碼被盜

組織面臨的另一個(gè)主要威脅是員工使用弱密碼或通用密碼。如今，大多數(shù)組織都使用多種應(yīng)用程序服務(wù)，重復(fù)使用容易猜到的密碼可能會(huì)導(dǎo)致數(shù)據(jù)泄露。

此外，當(dāng)用戶(hù)在不知情的情況下將其憑據(jù)輸入到虛假網(wǎng)站時(shí)，密碼也可能會(huì)被泄露。因此，對(duì)于每個(gè)平臺(tái)使用難以猜測(cè)的唯一密碼以確保數(shù)據(jù)的安全性至關(guān)重要。

網(wǎng)絡(luò)攻擊對(duì)組織的影響

網(wǎng)絡(luò)攻擊最糟糕的結(jié)果之一是收入下降， 因?yàn)榻M織必須付出高昂的代價(jià)才能從威脅行為者那里恢復(fù)數(shù)據(jù)并恢復(fù)正常的業(yè)務(wù)運(yùn)營(yíng)。2018 年，一家社交媒體巨頭因數(shù)據(jù)泄露影響了 5000 萬(wàn)用戶(hù)，損失了超過(guò) 130 億美元的價(jià)值。該公司表示，攻擊者能夠利用“查看為”功能中的漏洞來(lái)控制人們的帳戶(hù)。他們的股票在證券交易所下跌了 3%。

個(gè)人信息被泄露的客戶(hù)在未來(lái)向被泄露的組織提供敏感信息時(shí)往往會(huì)感到不太安全，更不用說(shuō)繼續(xù)與該公司開(kāi)展業(yè)務(wù)了。失去信任和信心就等于組織聲譽(yù)受損。2013年，美國(guó)一家大型零售巨頭因數(shù)據(jù)泄露而丟失了超過(guò)4000萬(wàn)客戶(hù)的信用卡信息，導(dǎo)致聲譽(yù)受損和1850萬(wàn)美元的損失。

根據(jù)網(wǎng)絡(luò)攻擊的強(qiáng)度和受損信息的類(lèi)型，組織可能必須支付實(shí)際和解金并面臨法律后果以補(bǔ)償損失。一家美國(guó)跨國(guó)科技公司遭受了互聯(lián)網(wǎng)歷史上最大規(guī)模的網(wǎng)絡(luò)攻擊之一。他們?cè)?2014 年和 2016 年遭遇多次違規(guī)，影響了超過(guò) 10 億個(gè)用戶(hù)帳戶(hù)。泄露信息包括姓名、電子郵件地址、電話(huà)號(hào)碼、生日等。這家科技公司目前已針對(duì)他們提起幾起訴訟，美國(guó)國(guó)會(huì)正在進(jìn)行調(diào)查。

網(wǎng)絡(luò)攻擊可能會(huì)導(dǎo)致中斷，從而導(dǎo)致業(yè)務(wù)停止，從而給業(yè)務(wù)連續(xù)性帶來(lái)風(fēng)險(xiǎn)。用戶(hù)可能被鎖定在系統(tǒng)之外，從而無(wú)法訪問(wèn)關(guān)鍵信息。它還會(huì)導(dǎo)致交易中斷，例如無(wú)法進(jìn)行在線(xiàn)交易。2020 年，西南太平洋島國(guó)之一的國(guó)家證券交易所在其網(wǎng)絡(luò)提供商遭受大規(guī)模 DDoS 攻擊后不得不關(guān)閉運(yùn)營(yíng)。

威脅建模方法和技術(shù)

威脅建模是一種主動(dòng)策略，用于識(shí)別潛在漏洞并制定對(duì)策來(lái)減輕或應(yīng)對(duì)這些漏洞，以防止系統(tǒng)遭受網(wǎng)絡(luò)攻擊。威脅建模可以在開(kāi)發(fā)過(guò)程中的任何階段執(zhí)行——盡管建議在項(xiàng)目開(kāi)始時(shí)執(zhí)行。通過(guò)這種方式，可以更快地識(shí)別和糾正威脅。

可以利用多種方法來(lái)執(zhí)行威脅建模。選擇正確的技術(shù)取決于系統(tǒng)中要解決的威脅類(lèi)型。我們將介紹目前最流行的五種威脅建模技術(shù)。

1.STRIDE

STRIDE 是最成熟的威脅建模技術(shù)之一，由 Microsoft 于 2002 年采用。STRIDE 是其涵蓋的威脅類(lèi)型的縮寫(xiě)：

• S —當(dāng)攻擊者冒充另一個(gè)人時(shí)，就會(huì)發(fā)生欺騙。欺騙的一個(gè)例子是從假電子郵件地址冒充其他人發(fā)送電子郵件。
• T —未經(jīng)授權(quán)修改或更改信息或數(shù)據(jù)即發(fā)生篡改。可以通過(guò)修改日志文件、插入惡意鏈接等方式篡改數(shù)據(jù)。
• R——否認(rèn)是指入侵者由于缺乏證據(jù)而否認(rèn)任何惡意活動(dòng)的能力。攻擊者總是想隱藏自己的身份，因此他們會(huì)謹(jǐn)慎地隱藏自己的不當(dāng)行為以避免被追蹤。
• I —信息泄露是將數(shù)據(jù)暴露給未經(jīng)授權(quán)的用戶(hù)，從而泄露有關(guān)數(shù)據(jù)的信息，攻擊者可以利用這些信息來(lái)破壞系統(tǒng)。
• D —拒絕服務(wù)是指服務(wù)流量過(guò)載，耗盡資源，從而導(dǎo)致系統(tǒng)崩潰或關(guān)閉合法流量。
• E —當(dāng)攻擊者通過(guò)在系統(tǒng)中獲得額外權(quán)限來(lái)獲得對(duì)信息的未經(jīng)授權(quán)的訪問(wèn)時(shí)，就會(huì)發(fā)生權(quán)限提升。

2. 通用漏洞評(píng)分系統(tǒng)（CVSS）

CVSS 是用于已知漏洞的標(biāo)準(zhǔn)化威脅評(píng)分系統(tǒng)。它由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所 (NIST)開(kāi)發(fā)，并由事件響應(yīng)和安全團(tuán)隊(duì)論壇 (FIRST) 維護(hù)。

CVSS 捕獲漏洞的主要特征，同時(shí)分配數(shù)字嚴(yán)重性評(píng)分（范圍從 0 到 10，其中 10 表示最差）。然后，分?jǐn)?shù)被轉(zhuǎn)換為定性表示，可以是“嚴(yán)重”、“高”、“中”和“低”。這有助于組織評(píng)估、識(shí)別和有效運(yùn)行威脅管理流程。

3.VAST

可視化、敏捷和簡(jiǎn)單威脅（VAST）是一種基于 ThreatModeler 的自動(dòng)化威脅建模技術(shù)。VAST 提供獨(dú)特的計(jì)劃，因此威脅模型計(jì)劃的創(chuàng)建不需要任何專(zhuān)門(mén)的安全主題專(zhuān)業(yè)知識(shí)。

實(shí)施 VAST 需要?jiǎng)?chuàng)建應(yīng)用程序和運(yùn)營(yíng)威脅模型。應(yīng)用程序威脅模型使用流程圖來(lái)表示架構(gòu)方面，而操作威脅模型是基于數(shù)據(jù)流程圖從攻擊者的角度創(chuàng)建的。

4. PASTA

攻擊模擬和威脅分析流程 (PASTA) 是 2012 年開(kāi)發(fā)的一種以風(fēng)險(xiǎn)為中心的七步方法。它可幫助組織動(dòng)態(tài)識(shí)別、計(jì)數(shù)威脅并確定威脅優(yōu)先級(jí)。

一旦網(wǎng)絡(luò)安全專(zhuān)家對(duì)已識(shí)別的威脅進(jìn)行了詳細(xì)分析，開(kāi)發(fā)人員就可以從以攻擊者為中心的角度分析應(yīng)用程序，從而制定以資產(chǎn)為中心的緩解策略。

5. 攻擊樹(shù)

攻擊樹(shù)是顯示資產(chǎn)如何受到攻擊的路徑的圖表。這些圖表將攻擊目標(biāo)顯示為根，將可能的路徑顯示為分支。

攻擊樹(shù)是最古老、使用最廣泛的威脅模型技術(shù)之一。早期的攻擊樹(shù)被用作獨(dú)立的方法，但最近它們經(jīng)常與其他技術(shù)結(jié)合使用，例如 STRIDE、PASTA 和 CVSS。

組織必須決定哪種威脅建模框架最適合他們的需求。不同的方法適合不同的情況和團(tuán)隊(duì)。了解可用選項(xiàng)以及每個(gè)選項(xiàng)的優(yōu)點(diǎn)和局限性有助于做出明智的決策并提高威脅建模工作的有效性。

結(jié)論

管理威脅是一個(gè)不斷發(fā)展的過(guò)程。確保無(wú)威脅環(huán)境的主要方法是定期測(cè)試安全基礎(chǔ)設(shè)施，利用正確的工具和方法進(jìn)行威脅管理，并向所有員工灌輸知識(shí)和信息文化。如果考慮到這些要點(diǎn)，那么組織就會(huì)盡最大努力保護(hù)數(shù)據(jù)并確保其系統(tǒng)免受任何有害攻擊、漏洞或威脅。

根據(jù)最近的趨勢(shì)，自新冠爆發(fā)以來(lái)，網(wǎng)絡(luò)攻擊每月增加 37%。隨著越來(lái)越多的員工在家或混合工作，企業(yè)將需要擁有強(qiáng)大的網(wǎng)絡(luò)安全和數(shù)字策略，以應(yīng)對(duì)不斷變化的工作實(shí)踐和面臨的新威脅。