|
八基本成熟度模型 前段時間����,我們用了一段時間把澳大利亞的信息安全手冊通過公眾號,和大家做了一個分享��。在澳大利亞網(wǎng)絡安全中���,除了信息安全手冊外��,還有個對應著的以“八項要素”為參考的成熟度模型����,其支持八項基本要素的實施���。是基于澳大利亞ACSC在生成網(wǎng)絡威脅情報����,響應網(wǎng)絡安全事件,進行滲透測試以及協(xié)助組織實施基本八項方面的經(jīng)驗���,我們此次將對其通過半自動化方式翻譯轉載��,供大家借鑒��。 實現(xiàn)在實施八項基本要素時��,組織應首先確定適合其環(huán)境的目標成熟度級別��。然后����,組織應逐步實施每個成熟度級別���,直到該目標實現(xiàn)��。 由于構成“八大要素”的緩解策略旨在相互補充,并提供各種網(wǎng)絡威脅的覆蓋范圍��,因此組織應計劃其實施����,以便在進入更高的成熟度級別之前��,在所有八個緩解策略中達到相同的成熟度級別��。 組織應使用基于風險的方法實施基本八項����。在此過程中���,組織應設法最大限度地減少任何異常及其范圍��,例如����,通過實施補償性安全控制并確保受影響的系統(tǒng)或用戶數(shù)量最小化���。此外��,任何例外情況都應記錄在案���,并通過適當?shù)某绦蛴枰耘鷾省kS后���,應定期監(jiān)測和審查是否需要任何例外情況以及相關的補償性安全控制措施���。請注意��,適當使用例外不應妨礙組織被評估為滿足給定成熟度級別的要求��。 由于《八項基本要素》概述了一套最低限度的預防措施����,因此組織需要針對此成熟度模型中的環(huán)境所保證的那些人實施其他措施���。此外����,雖然八大要素可以幫助緩解大多數(shù)網(wǎng)絡威脅���,但不是減輕所有網(wǎng)絡威脅��。因此���,需要考慮其他緩解策略和安全控制����,包括《緩解網(wǎng)絡安全事件策略》和《信息安全手冊》中的策略和安全控制��。 成熟度級別為了幫助組織實施八項基本要素��,定義了四個成熟度級別(成熟度級別為零到成熟度級別為三)����。除零成熟度級別外����,成熟度級別基于減輕敵方交易技巧(即工具,戰(zhàn)術����,技術和程序)和目標水平的不斷提高,這將在下面更詳細地討論����。根據(jù)對手的整體能力,他們可能會在針對不同目標的不同行動中表現(xiàn)出不同程度的貿易技巧��。例如��,能夠進行高級貿易的對手可以對一個目標使用它���,而對另一個目標使用基本貿易技術����。因此,組織應該考慮他們的目標是減輕什么水平的貿易和目標��,而不是哪些對手���。 組織需要考慮���,成為目標的可能性受到其對對手的可取性的影響,網(wǎng)絡安全事件的后果將取決于他們對數(shù)據(jù)機密性的要求��,以及他們對其系統(tǒng)和數(shù)據(jù)的可用性和完整性的要求��。這與每個成熟度級別的描述相結合��,可用于幫助確定要實現(xiàn)的目標成熟度級別����。 最后,成熟度三級不會阻止那些愿意并且能夠投入足夠的時間��,金錢和精力來妥協(xié)目標的對手��。因此,組織仍需要考慮《緩解網(wǎng)絡安全事件戰(zhàn)略》和《信息安全手冊》中的其余緩解策略��。 成熟度零級
這種成熟度水平表明組織的整體網(wǎng)絡安全狀況存在弱點��。當被利用時���,這些弱點可能會損害其數(shù)據(jù)的機密性,或其系統(tǒng)和數(shù)據(jù)的完整性或可用性��,如下面成熟度一級中的貿易技巧和目標所述���。 成熟度一級這種成熟度的焦點是對手����,他們滿足于簡單地利用廣泛使用的商品貿易��,以便獲得對系統(tǒng)的訪問和可能的控制���。例如����,攻擊者會利用公開可用的漏洞來攻擊尚未修補的面向Internet的服務中的安全漏洞����,或者使用被盜��、重用����、暴力破解或猜測的憑據(jù)對面向Internet的服務進行身份驗證��。 一般來說��,對手正在尋找任何受害者而不是特定的受害者����,并且會投機取巧地在許多目標中尋求共同的弱點,而不是投入巨資來獲得特定的目標����。攻擊者將采用常見的社會工程技術來誘騙用戶削弱系統(tǒng)的安全性并啟動惡意應用程序,例如通過Microsoft Office宏����。如果對手入侵的賬戶具有特殊權限,他們將尋求利用它����。根據(jù)其意圖��,攻擊者也可能破壞數(shù)據(jù)(包括備份)���。 成熟度二級這個成熟度級別的重點是對手,其能力從以前的成熟度水平適度提升����。這些對手愿意在目標上投入更多的時間���,也許更重要的是��,在他們的工具的有效性上����。例如����,這些對手可能會采用眾所周知的貿易手段,以便更好地嘗試繞過目標實施的安全控制并逃避檢測���。這包括使用網(wǎng)絡釣魚主動定位憑據(jù)����,并采用技術和社會工程技術來規(guī)避弱的多重身份驗證。 一般來說���,對手在瞄準目標時可能會更有選擇性��,但在他們可能投入目標的時間��,金錢和精力方面仍然有些保守��。攻擊者可能會花時間確保其網(wǎng)絡釣魚有效����,并采用常見的社交工程技術來誘騙用戶削弱系統(tǒng)的安全性并啟動惡意應用程序���,例如通過Microsoft Office宏���。如果攻擊者入侵的賬戶具有特殊權限,他們將尋求利用它��,否則他們將尋求具有特殊權限的賬戶���。根據(jù)其意圖��,攻擊者還可能破壞具有特殊權限的賬戶可訪問的所有數(shù)據(jù)(包括備份)����。 成熟度三級這種成熟度的重點是對手,他們更具適應性��,對公共工具和技術的依賴程度要低得多��。這些對手能夠利用目標網(wǎng)絡安全態(tài)勢弱點提供的機會��,例如存在較舊的軟件或日志記錄和監(jiān)控不足���。對手這樣做不僅是為了在獲得對目標的初始訪問權限后擴大其訪問權限,而且是為了逃避檢測并鞏固其存在��。當漏洞利用公開可用時����,對手會迅速利用它們,以及其他可以提高成功機會的貿易手段��。一般來說����,對手可能更專注于特定的目標,更重要的是,他們愿意并且能夠投入一些精力來規(guī)避其目標實施的特質和特定政策和技術安全控制����。例如,這包括對用戶進行社交工程����,不僅要打開文檔,還要在不知不覺中協(xié)助繞過安全控制��。這還可以包括通過竊取身份驗證令牌值來模擬用戶來規(guī)避更強的多重身份驗證��。一旦在系統(tǒng)上站穩(wěn)腳跟����,攻擊者將尋求獲得特權憑據(jù)或密碼哈希,轉向網(wǎng)絡的其他部分��,并掩蓋自己的蹤跡��。根據(jù)其意圖���,攻擊者還可能銷毀所有數(shù)據(jù)(包括備份)����。
|
