前几天,我整理了一篇《关于安全漏洞的一些简单看法》,结合我国的法律法规及国家标准,简单探讨了一下关于安全漏洞管理的注意事项,今天正好看到美国IBM发布的一篇有关漏洞管理和威胁建模方法的文章,感觉对我们管理网络安全有一定的借鉴指导意义,现编译整理出来供大家参考!
漏洞管理是一种安全实践,旨在避免可能损害组织的事件。这是一个定期持续的流程,用于识别、评估和管理 IT 生态系统所有组件的漏洞。
网络安全是许多组织努力保持领先地位的主要优先事项之一。网络犯罪分子为窃取企业有价值的信息而进行的网络攻击数量大幅增加。因此,为了应对这些攻击,组织现在更加注重构建更强大、更安全的网络安全网络。
在本文中,我们将识别与组织中的网络安全相关的一些漏洞及其对业务的影响。此外,我们还将推导出管理组织中的漏洞的方法以及客户在实施该方法时的经验。
常见的网络安全威胁
让我们来看看一些对组织影响最大的网络安全相关漏洞。
网络钓鱼
网络钓鱼是最普遍的网络安全漏洞,影响全球超过 85% 的组织。在网络钓鱼攻击中,用户被诱骗下载通过电子邮件发送给他们的恶意链接。发送的电子邮件看起来像一封合法的电子邮件,其中包含所有必要的信息。因此,用户会被诱骗打开附件或单击电子邮件中包含的有害链接。
最常见的网络钓鱼攻击类型是电子邮件网络钓鱼。随着时间的推移,攻击者还制定了其他方法,包括网络钓鱼、网络钓鱼和搜索引擎网络钓鱼。在短信诈骗中,恶意链接是通过电话短信发送的,而在网络钓鱼中,则是通过拨打电话来欺骗用户。搜索引擎网络钓鱼是攻击者创建虚假网站并在搜索引擎上排名的最新方法,迫使用户输入关键信息,从而导致最终用户被盗。
勒索软件
勒索软件是最常见的威胁类型之一,每天都会影响数百个组织。在勒索软件攻击中,攻击者会对组织的数据进行加密,以便组织内部的任何人都无法访问这些数据。为了解锁数据,攻击者要求巨额赎金,从而导致巨大的金钱损失,并导致他们的服务中断。
组织通常倾向于向网络攻击者支付这些赎金,因为他们没有资源从勒索软件攻击中恢复。在某些情况下,即使支付了赎金,组织也无法检索其数据。
恶意软件攻击
恶意软件攻击是旨在对组织的基础设施、系统或网络造成损害或损害的恶意程序。恶意软件的来源通常是公共 Wi-Fi、垃圾邮件、下载恶意内容以及点击弹出广告。一旦恶意软件被释放到系统中,它就可能危及组织服务器和系统上可用的所有关键信息和个人信息。
恶意软件可分为以下类别之一:病毒、特洛伊木马、蠕虫、广告软件、间谍软件、恶意广告。恶意软件有时很难在系统中检测到,并且可以更改系统设置和权限、监视用户活动并阻止用户计算机上的关键程序。
分布式拒绝服务 (DDoS)
在分布式拒绝服务 (DDoS) 攻击中,组织的在线服务因来自多个来源的互联网流量的泛滥而变得不可用。网络攻击者以银行或政府网站的所有关键资源为目标,以确保最终用户无法访问这些网站上的在线信息。
Amazon Web Services (AWS) 和 GitHub 是 DDoS 攻击的最新受害者之一。常见的 DDoS 攻击类型包括 UDP Flood、ICMP (ping) Flood、SYN Flood、Slowloris、Ping of Death、HTTP Flood 和 NTP 放大。
密码被盗
组织面临的另一个主要威胁是员工使用弱密码或通用密码。如今,大多数组织都使用多种应用程序服务,重复使用容易猜到的密码可能会导致数据泄露。
此外,当用户在不知情的情况下将其凭据输入到虚假网站时,密码也可能会被泄露。因此,对于每个平台使用难以猜测的唯一密码以确保数据的安全性至关重要。
网络攻击对组织的影响
网络攻击最糟糕的结果之一是收入下降,因为组织必须付出高昂的代价才能从威胁行为者那里恢复数据并恢复正常的业务运营。2018 年,一家社交媒体巨头因数据泄露影响了 5000 万用户,损失了超过 130 亿美元的价值。该公司表示,攻击者能够利用“查看为”功能中的漏洞来控制人们的帐户。他们的股票在证券交易所下跌了 3%。
个人信息被泄露的客户在未来向被泄露的组织提供敏感信息时往往会感到不太安全,更不用说继续与该公司开展业务了。失去信任和信心就等于组织声誉受损。2013年,美国一家大型零售巨头因数据泄露而丢失了超过4000万客户的信用卡信息,导致声誉受损和1850万美元的损失。
根据网络攻击的强度和受损信息的类型,组织可能必须支付实际和解金并面临法律后果以补偿损失。一家美国跨国科技公司遭受了互联网历史上最大规模的网络攻击之一。他们在 2014 年和 2016 年遭遇多次违规,影响了超过 10 亿个用户帐户。泄露信息包括姓名、电子邮件地址、电话号码、生日等。这家科技公司目前已针对他们提起几起诉讼,美国国会正在进行调查。
网络攻击可能会导致中断,从而导致业务停止,从而给业务连续性带来风险。用户可能被锁定在系统之外,从而无法访问关键信息。它还会导致交易中断,例如无法进行在线交易。2020 年,西南太平洋岛国之一的国家证券交易所在其网络提供商遭受大规模 DDoS 攻击后不得不关闭运营。
威胁建模方法和技术
威胁建模是一种主动策略,用于识别潜在漏洞并制定对策来减轻或应对这些漏洞,以防止系统遭受网络攻击。威胁建模可以在开发过程中的任何阶段执行——尽管建议在项目开始时执行。通过这种方式,可以更快地识别和纠正威胁。
可以利用多种方法来执行威胁建模。选择正确的技术取决于系统中要解决的威胁类型。我们将介绍目前最流行的五种威胁建模技术。
1.STRIDE
STRIDE 是最成熟的威胁建模技术之一,由 Microsoft 于 2002 年采用。STRIDE 是其涵盖的威胁类型的缩写:
- S—当攻击者冒充另一个人时,就会发生欺骗。欺骗的一个例子是从假电子邮件地址冒充其他人发送电子邮件。
- T—未经授权修改或更改信息或数据即发生篡改。可以通过修改日志文件、插入恶意链接等方式篡改数据。
- R——否认是指入侵者由于缺乏证据而否认任何恶意活动的能力。攻击者总是想隐藏自己的身份,因此他们会谨慎地隐藏自己的不当行为以避免被追踪。
- I—信息泄露是将数据暴露给未经授权的用户,从而泄露有关数据的信息,攻击者可以利用这些信息来破坏系统。
- D—拒绝服务是指服务流量过载,耗尽资源,从而导致系统崩溃或关闭合法流量。
- E—当攻击者通过在系统中获得额外权限来获得对信息的未经授权的访问时,就会发生权限提升。
2. 通用漏洞评分系统(CVSS)
CVSS 是用于已知漏洞的标准化威胁评分系统。它由美国国家标准与技术研究所 (NIST)开发,并由事件响应和安全团队论坛 (FIRST) 维护。
CVSS 捕获漏洞的主要特征,同时分配数字严重性评分(范围从 0 到 10,其中 10 表示最差)。然后,分数被转换为定性表示,可以是“严重”、“高”、“中”和“低”。这有助于组织评估、识别和有效运行威胁管理流程。
3.VAST
可视化、敏捷和简单威胁(VAST)是一种基于 ThreatModeler 的自动化威胁建模技术。VAST 提供独特的计划,因此威胁模型计划的创建不需要任何专门的安全主题专业知识。
实施 VAST 需要创建应用程序和运营威胁模型。应用程序威胁模型使用流程图来表示架构方面,而操作威胁模型是基于数据流程图从攻击者的角度创建的。
4. PASTA
攻击模拟和威胁分析流程 (PASTA) 是 2012 年开发的一种以风险为中心的七步方法。它可帮助组织动态识别、计数威胁并确定威胁优先级。
一旦网络安全专家对已识别的威胁进行了详细分析,开发人员就可以从以攻击者为中心的角度分析应用程序,从而制定以资产为中心的缓解策略。
5. 攻击树
攻击树是显示资产如何受到攻击的路径的图表。这些图表将攻击目标显示为根,将可能的路径显示为分支。
攻击树是最古老、使用最广泛的威胁模型技术之一。早期的攻击树被用作独立的方法,但最近它们经常与其他技术结合使用,例如 STRIDE、PASTA 和 CVSS。
组织必须决定哪种威胁建模框架最适合他们的需求。不同的方法适合不同的情况和团队。了解可用选项以及每个选项的优点和局限性有助于做出明智的决策并提高威胁建模工作的有效性。
结论
管理威胁是一个不断发展的过程。确保无威胁环境的主要方法是定期测试安全基础设施,利用正确的工具和方法进行威胁管理,并向所有员工灌输知识和信息文化。如果考虑到这些要点,那么组织就会尽最大努力保护数据并确保其系统免受任何有害攻击、漏洞或威胁。
根据最近的趋势,自新冠爆发以来,网络攻击每月增加 37%。随着越来越多的员工在家或混合工作,企业将需要拥有强大的网络安全和数字策略,以应对不断变化的工作实践和面临的新威胁。
