前幾天，我整理了一篇《關(guān)于安全漏洞的一些簡單看法》，結(jié)合我國的法律法規(guī)及國家標準，簡單探討了一下關(guān)于安全漏洞管理的注意事項，今天正好看到美國IBM發(fā)布的一篇有關(guān)漏洞管理和威脅建模方法的文章，感覺對我們管理網(wǎng)絡(luò)安全有一定的借鑒指導(dǎo)意義，現(xiàn)編譯整理出來供大家參考！

漏洞管理是一種安全實踐，旨在避免可能損害組織的事件。這是一個定期持續(xù)的流程，用于識別、評估和管理 IT 生態(tài)系統(tǒng)所有組件的漏洞。

網(wǎng)絡(luò)安全是許多組織努力保持領(lǐng)先地位的主要優(yōu)先事項之一。網(wǎng)絡(luò)犯罪分子為竊取企業(yè)有價值的信息而進行的網(wǎng)絡(luò)攻擊數(shù)量大幅增加。因此，為了應(yīng)對這些攻擊，組織現(xiàn)在更加注重構(gòu)建更強大、更安全的網(wǎng)絡(luò)安全網(wǎng)絡(luò)。

在本文中，我們將識別與組織中的網(wǎng)絡(luò)安全相關(guān)的一些漏洞及其對業(yè)務(wù)的影響。此外，我們還將推導(dǎo)出管理組織中的漏洞的方法以及客戶在實施該方法時的經(jīng)驗。

常見的網(wǎng)絡(luò)安全威脅

讓我們來看看一些對組織影響最大的網(wǎng)絡(luò)安全相關(guān)漏洞。

網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚是最普遍的網(wǎng)絡(luò)安全漏洞，影響全球超過 85% 的組織。在網(wǎng)絡(luò)釣魚攻擊中，用戶被誘騙下載通過電子郵件發(fā)送給他們的惡意鏈接。發(fā)送的電子郵件看起來像一封合法的電子郵件，其中包含所有必要的信息。因此，用戶會被誘騙打開附件或單擊電子郵件中包含的有害鏈接。

最常見的網(wǎng)絡(luò)釣魚攻擊類型是電子郵件網(wǎng)絡(luò)釣魚。隨著時間的推移，攻擊者還制定了其他方法，包括網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)釣魚和搜索引擎網(wǎng)絡(luò)釣魚。在短信詐騙中，惡意鏈接是通過電話短信發(fā)送的，而在網(wǎng)絡(luò)釣魚中，則是通過撥打電話來欺騙用戶。搜索引擎網(wǎng)絡(luò)釣魚是攻擊者創(chuàng)建虛假網(wǎng)站并在搜索引擎上排名的最新方法，迫使用戶輸入關(guān)鍵信息，從而導(dǎo)致最終用戶被盜。

勒索軟件

勒索軟件是最常見的威脅類型之一，每天都會影響數(shù)百個組織。在勒索軟件攻擊中，攻擊者會對組織的數(shù)據(jù)進行加密，以便組織內(nèi)部的任何人都無法訪問這些數(shù)據(jù)。為了解鎖數(shù)據(jù)，攻擊者要求巨額贖金，從而導(dǎo)致巨大的金錢損失，并導(dǎo)致他們的服務(wù)中斷。

組織通常傾向于向網(wǎng)絡(luò)攻擊者支付這些贖金，因為他們沒有資源從勒索軟件攻擊中恢復(fù)。在某些情況下，即使支付了贖金，組織也無法檢索其數(shù)據(jù)。

惡意軟件攻擊

惡意軟件攻擊是旨在對組織的基礎(chǔ)設(shè)施、系統(tǒng)或網(wǎng)絡(luò)造成損害或損害的惡意程序。惡意軟件的來源通常是公共 Wi-Fi、垃圾郵件、下載惡意內(nèi)容以及點擊彈出廣告。一旦惡意軟件被釋放到系統(tǒng)中，它就可能危及組織服務(wù)器和系統(tǒng)上可用的所有關(guān)鍵信息和個人信息。

惡意軟件可分為以下類別之一：病毒、特洛伊木馬、蠕蟲、廣告軟件、間諜軟件、惡意廣告。惡意軟件有時很難在系統(tǒng)中檢測到，并且可以更改系統(tǒng)設(shè)置和權(quán)限、監(jiān)視用戶活動并阻止用戶計算機上的關(guān)鍵程序。

分布式拒絕服務(wù) (DDoS)

在分布式拒絕服務(wù) (DDoS) 攻擊中，組織的在線服務(wù)因來自多個來源的互聯(lián)網(wǎng)流量的泛濫而變得不可用。網(wǎng)絡(luò)攻擊者以銀行或政府網(wǎng)站的所有關(guān)鍵資源為目標，以確保最終用戶無法訪問這些網(wǎng)站上的在線信息。

Amazon Web Services (AWS) 和 GitHub 是 DDoS 攻擊的最新受害者之一。常見的 DDoS 攻擊類型包括 UDP Flood、ICMP (ping) Flood、SYN Flood、Slowloris、Ping of Death、HTTP Flood 和 NTP 放大。

密碼被盜

組織面臨的另一個主要威脅是員工使用弱密碼或通用密碼。如今，大多數(shù)組織都使用多種應(yīng)用程序服務(wù)，重復(fù)使用容易猜到的密碼可能會導(dǎo)致數(shù)據(jù)泄露。

此外，當(dāng)用戶在不知情的情況下將其憑據(jù)輸入到虛假網(wǎng)站時，密碼也可能會被泄露。因此，對于每個平臺使用難以猜測的唯一密碼以確保數(shù)據(jù)的安全性至關(guān)重要。

網(wǎng)絡(luò)攻擊對組織的影響

網(wǎng)絡(luò)攻擊最糟糕的結(jié)果之一是收入下降， 因為組織必須付出高昂的代價才能從威脅行為者那里恢復(fù)數(shù)據(jù)并恢復(fù)正常的業(yè)務(wù)運營。2018 年，一家社交媒體巨頭因數(shù)據(jù)泄露影響了 5000 萬用戶，損失了超過 130 億美元的價值。該公司表示，攻擊者能夠利用“查看為”功能中的漏洞來控制人們的帳戶。他們的股票在證券交易所下跌了 3%。

個人信息被泄露的客戶在未來向被泄露的組織提供敏感信息時往往會感到不太安全，更不用說繼續(xù)與該公司開展業(yè)務(wù)了。失去信任和信心就等于組織聲譽受損。2013年，美國一家大型零售巨頭因數(shù)據(jù)泄露而丟失了超過4000萬客戶的信用卡信息，導(dǎo)致聲譽受損和1850萬美元的損失。

根據(jù)網(wǎng)絡(luò)攻擊的強度和受損信息的類型，組織可能必須支付實際和解金并面臨法律后果以補償損失。一家美國跨國科技公司遭受了互聯(lián)網(wǎng)歷史上最大規(guī)模的網(wǎng)絡(luò)攻擊之一。他們在 2014 年和 2016 年遭遇多次違規(guī)，影響了超過 10 億個用戶帳戶。泄露信息包括姓名、電子郵件地址、電話號碼、生日等。這家科技公司目前已針對他們提起幾起訴訟，美國國會正在進行調(diào)查。

網(wǎng)絡(luò)攻擊可能會導(dǎo)致中斷，從而導(dǎo)致業(yè)務(wù)停止，從而給業(yè)務(wù)連續(xù)性帶來風(fēng)險。用戶可能被鎖定在系統(tǒng)之外，從而無法訪問關(guān)鍵信息。它還會導(dǎo)致交易中斷，例如無法進行在線交易。2020 年，西南太平洋島國之一的國家證券交易所在其網(wǎng)絡(luò)提供商遭受大規(guī)模 DDoS 攻擊后不得不關(guān)閉運營。

威脅建模方法和技術(shù)

威脅建模是一種主動策略，用于識別潛在漏洞并制定對策來減輕或應(yīng)對這些漏洞，以防止系統(tǒng)遭受網(wǎng)絡(luò)攻擊。威脅建?？梢栽陂_發(fā)過程中的任何階段執(zhí)行——盡管建議在項目開始時執(zhí)行。通過這種方式，可以更快地識別和糾正威脅。

可以利用多種方法來執(zhí)行威脅建模。選擇正確的技術(shù)取決于系統(tǒng)中要解決的威脅類型。我們將介紹目前最流行的五種威脅建模技術(shù)。

1.STRIDE

STRIDE 是最成熟的威脅建模技術(shù)之一，由 Microsoft 于 2002 年采用。STRIDE 是其涵蓋的威脅類型的縮寫：

• S —當(dāng)攻擊者冒充另一個人時，就會發(fā)生欺騙。欺騙的一個例子是從假電子郵件地址冒充其他人發(fā)送電子郵件。
• T —未經(jīng)授權(quán)修改或更改信息或數(shù)據(jù)即發(fā)生篡改?？梢酝ㄟ^修改日志文件、插入惡意鏈接等方式篡改數(shù)據(jù)。
• R——否認是指入侵者由于缺乏證據(jù)而否認任何惡意活動的能力。攻擊者總是想隱藏自己的身份，因此他們會謹慎地隱藏自己的不當(dāng)行為以避免被追蹤。
• I —信息泄露是將數(shù)據(jù)暴露給未經(jīng)授權(quán)的用戶，從而泄露有關(guān)數(shù)據(jù)的信息，攻擊者可以利用這些信息來破壞系統(tǒng)。
• D —拒絕服務(wù)是指服務(wù)流量過載，耗盡資源，從而導(dǎo)致系統(tǒng)崩潰或關(guān)閉合法流量。
• E —當(dāng)攻擊者通過在系統(tǒng)中獲得額外權(quán)限來獲得對信息的未經(jīng)授權(quán)的訪問時，就會發(fā)生權(quán)限提升。

2. 通用漏洞評分系統(tǒng)（CVSS）

CVSS 是用于已知漏洞的標準化威脅評分系統(tǒng)。它由美國國家標準與技術(shù)研究所 (NIST)開發(fā)，并由事件響應(yīng)和安全團隊論壇 (FIRST) 維護。

CVSS 捕獲漏洞的主要特征，同時分配數(shù)字嚴重性評分（范圍從 0 到 10，其中 10 表示最差）。然后，分數(shù)被轉(zhuǎn)換為定性表示，可以是“嚴重”、“高”、“中”和“低”。這有助于組織評估、識別和有效運行威脅管理流程。

3.VAST

可視化、敏捷和簡單威脅（VAST）是一種基于 ThreatModeler 的自動化威脅建模技術(shù)。VAST 提供獨特的計劃，因此威脅模型計劃的創(chuàng)建不需要任何專門的安全主題專業(yè)知識。

實施 VAST 需要創(chuàng)建應(yīng)用程序和運營威脅模型。應(yīng)用程序威脅模型使用流程圖來表示架構(gòu)方面，而操作威脅模型是基于數(shù)據(jù)流程圖從攻擊者的角度創(chuàng)建的。

4. PASTA

攻擊模擬和威脅分析流程 (PASTA) 是 2012 年開發(fā)的一種以風(fēng)險為中心的七步方法。它可幫助組織動態(tài)識別、計數(shù)威脅并確定威脅優(yōu)先級。

一旦網(wǎng)絡(luò)安全專家對已識別的威脅進行了詳細分析，開發(fā)人員就可以從以攻擊者為中心的角度分析應(yīng)用程序，從而制定以資產(chǎn)為中心的緩解策略。

5. 攻擊樹

攻擊樹是顯示資產(chǎn)如何受到攻擊的路徑的圖表。這些圖表將攻擊目標顯示為根，將可能的路徑顯示為分支。

攻擊樹是最古老、使用最廣泛的威脅模型技術(shù)之一。早期的攻擊樹被用作獨立的方法，但最近它們經(jīng)常與其他技術(shù)結(jié)合使用，例如 STRIDE、PASTA 和 CVSS。

組織必須決定哪種威脅建?？蚣茏钸m合他們的需求。不同的方法適合不同的情況和團隊。了解可用選項以及每個選項的優(yōu)點和局限性有助于做出明智的決策并提高威脅建模工作的有效性。

結(jié)論

管理威脅是一個不斷發(fā)展的過程。確保無威脅環(huán)境的主要方法是定期測試安全基礎(chǔ)設(shè)施，利用正確的工具和方法進行威脅管理，并向所有員工灌輸知識和信息文化。如果考慮到這些要點，那么組織就會盡最大努力保護數(shù)據(jù)并確保其系統(tǒng)免受任何有害攻擊、漏洞或威脅。

根據(jù)最近的趨勢，自新冠爆發(fā)以來，網(wǎng)絡(luò)攻擊每月增加 37%。隨著越來越多的員工在家或混合工作，企業(yè)將需要擁有強大的網(wǎng)絡(luò)安全和數(shù)字策略，以應(yīng)對不斷變化的工作實踐和面臨的新威脅。