官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
事情起因
前段时间做了一次防勒索病毒的专题汇报PPT,领导看了,指出说要做一次防勒索病毒的风险评估,需要突出针对攻击入口做了哪些防护策略,以及做到了什么程度并量化风险。立马脑海里复现风险四要素:威胁、资产、脆弱性、安全措施。
评估方法的选择
像我们这种,评估类型属于自评估,也就是本单位自行发起的评估,和自评估不同的是,检查评估是由管理层或者政府发起的监管检查,对于公司而言,必须以自评估为主,检查评估和自评估相结合的方式,对本单位系统发起风险评估。
接下来,我们需要选择风险评估的方法,这里采用风险矩阵法,它是定量和定性分析相结合的方法,将风险的可能性和影响程度进行综合考虑,从而评估和管理风险,并通过可能性与影响的等级划分,使用矩阵的形式来可视化表示风险的大小,这种方法既包含了对风险发生概率的主观判断,也涉及到对风险影响程度的量化评估
风险值计算公式
风险值取决于三要素威胁、资产、脆弱性,涉及指标有威胁发生的可能性(T),脆弱性可利用程度(V),脆弱性严重程度(VA),资产价值(la),计算公示如下:
Ra=R(L(T,V),F(Ia,Va))
Ra代表风险值,L是安全事件发生的可能性,F是安全事件的严重程度,可以这样理解:
L(T,V)=T*V对应的等级取值L1,F(Ia,Va)=la*Va对应的等级取值F1,R(L(T,V),F(Ia,Va))=L1*F1对应的等级取值。注意:等级取值范围均在1-5之内。
风险评估--要素识别:资产
对于风险评估的准备阶段,这里不细说,就是确定评估的方案、方法、团队、目标、范围等,我们直接到要素识别阶段,要素识别分为资产、威胁、脆弱性、安全措施的识别,
资产重要性La分级准则
| 赋值 | 重要性等级 | 定义 |
| 5 | 很高 | 非常重要,其安全属性破坏后可能对组织造成非常严重的损失 |
| 4 | 高 | 重要,其安全属性破坏后可能对组织造成比较严重的损失 |
| 3 | 中 | 比较重要,其安全属性破坏后可能对组织造成中等程度的损失 |
| 2 | 低 | 不太重要,其安全属性破坏后可能对组织造成较低的损失 |
| 1 | 很低 | 不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计 |
资产分类分级
我根据数据安全分类分级的方法,对资产进行了整理,资产分类有:客户类数据、业务类数据、运营类数据、其他数据;数据分级分为核心数据、重要数据、一般数据,并根据资产重要性分级准则进行了以下赋值
| 资产的价值la | ||||
| 资产大类 | 资产子类 | 数据分级 | 资产价值la(1-5) | 等级标识 |
| 客户类数据 | 上游商家客户数据 | 重要数据 | 4 | 高 |
| 下游B端客户数据 | 重要数据 | 4 | 高 | |
| C端消费者客户数据 | 重要数据 | 4 | 高 | |
| 上游采购数据 | 重要数据 | 4 | 高 | |
| 业务类数据 | 商品信息数据 | 重要数据 | 4 | 高 |
| 订单履约数据 | 重要数据 | 4 | 高 | |
| 订单支付数据 | 重要数据 | 4 | 高 | |
| 财务凭证数据 | 重要数据 | 4 | 高 | |
| 运营类数据 | 网络安全专用产品类数据 | 重要数据 | 4 | 高 |
| 网络设备数据 | 重要数据 | 4 | 高 | |
| 经营分析指标数据 | 核心数据 | 5 | 很高 | |
| 数据库 | 核心数据 | 5 | 很高 | |
| 存储设备 | 核心数据 | 5 | 很高 | |
| 其他数据 | 除重要数据、核心数据外的其他数据 | 一般数据 | 1 | 很低 |
风险评估--要素识别:威胁
威胁发生频率T的等级标准
| 赋值 | 威胁发生频率 | 定义 |
| 5 | 很高 | 出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过 |
| 4 | 高 | 出现的频率较高(或≥1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 |
| 3 | 中 | 出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过 |
| 2 | 低 | 出现的频率较小;或一般不太可能发生;或没有被证实发生过 |
| 1 | 很低 | 威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生 |
经过调研分析,确定勒索并入口为弱口令、挂马、钓鱼邮件、系统和软件漏洞、破解软件和激活工具安装、U盘插拔感染,遂对其进行赋值
| 威胁 | 威胁取值T(1-5) | 等级标识 |
| 弱口令 | 1 | 很低 |
| 挂马 | 1 | 很低 |
| 钓鱼邮件 | 1 | 很低 |
| 系统和软件漏洞 | 2 | 低 |
| 破解软件和激活工具安装 | 1 | 很低 |
| U盘感染 | 1 | 很低 |
风险评估--要素识别:脆弱性
威胁需利用脆弱性方能产生风险
脆弱性可利用程度V等级标准
| 赋值 | 等级标识 | 定义 |
| 5 | 很高 | 未采取任何防护措施,极易被威胁利用 |
| 4 | 高 | 采取了个别防护措施,但仍能较轻易地被威胁利用 |
| 3 | 中 | 采用了部分防护措施,威胁利用起来有一定难度 |
| 2 | 低 | 采取了较为牢固的防护措施,威胁很难利用 |
| 1 | 很低 | 采取的防护措施使得威胁极难利用 |
脆弱性严重程度Va等级标准
| 赋值 | 等级标识 | 定义 |
| 5 | 很高 | 如果被威胁利用,将对资产造成完全损害 |
| 4 | 高 | 如果被威胁利用,将对资产造成重大损害 |
| 3 | 中 | 如果被威胁利用,将对资产造成一般损害 |
| 2 | 低 | 如果被威胁利用,将对资产造成较小损害 |
| 1 | 很低 | 如果被威胁利用,将对资产造成的损害可以忽略 |
脆弱性可利用程度V
根据勒索病毒攻击入口,整理出公司面临的脆弱性,并加以赋值,标识脆弱性可利用程度
| 威胁 | 脆弱性 | 脆弱性V取值(1-5) | 等级标识 |
| 弱口令 | 仍存在个别弱口令 | 1 | 很低 |
| 挂马 | 未限制外网访问 | 1 | 很低 |
| 钓鱼邮件 | 依托腾讯邮件网关,并不能抵御恶意邮件发送 | 4 | 高 |
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者