1、阶段 6:抽样资产脆弱性评估121阶段 6:抽样资产脆弱性评估Process 6: Evaluate Selected Components描述 Description目 的: 识别技术上的脆弱性,并对结果进行总结和摘要涉及人员: 分析小组以及对方核心 IT 雇员。数据流程图表 Data Flow Diagram阶段 6:抽样资产脆弱性评估输入分析小组和对方关键 IT 职员的知识技能工具软件 脆弱性目录网络拓扑结构图(包括 IP 地址)需评估的基础资产进行资产评估所选用的方法输出技术上的脆弱性技术脆弱性摘要工作表资产分类和抽样草表阶段 6:抽样资产脆弱性评估122阶段 6 实施指导方针阶段 6
2、:抽样资产脆弱性评估 时间:2 hr 3 hr工程现场目标: 技术脆弱性分析,并对最终结果进行总结分析小组的任务:工程负责人负责总体指导项目的实施,确保评估小组的所有成员都明确评估的实施步骤和方法,同时确保项目附加成员明确评估步骤和方法并能够积极的参与工作。各项工作需指派专门的记录人员,项目实施工程中获取的数据需经过一致认可后方可填入工作表单中。其它人员需积极参与工作,准确完成评估任务。对方配合人员任务:如果对方的 IT 职员参与了脆弱性评估,他们必须对他们使用的评估工具和所得评估结果负责,他们同样需要将他们的评估摘要提交我方的评估分析小组。专家顾问团的任务:如果专家顾问团成员参与了脆弱性评估
3、,他们必须对他们使用的评估工具和所得评估结果负责,他们同样需要将他们的评估摘要提交评估分析小组。必需的设备和资料: 投影仪或幻灯机 (可选) 阶段的介绍性幻灯片 (可选) 技术脆弱性评估的工具软件 抽样选择出的资产清单 阶段的工作表格:资产分类和抽样草表现场工作结果总结和摘要: 检测出的技术脆弱性 (O6.1) 指出的技术脆弱性摘要(O6.2) 技术脆弱性摘要 (O6.3)阶段 6:抽样资产脆弱性评估123工程实施之前 Before the Workshop步骤 描述 工作表D6.1 在抽样选定的资产上运行脆弱性评估的工具软件由对方的 IT 职员和安全专家顾问协同操作。在工程现场实施之前,由他
4、们采用脆弱性评估的工具软件,对脆弱性评估做简单总结摘要。 -工程实施现场 During the Workshop步骤 描述 工作表工程现场的基本了解现场负责人需确认每个成员都能够明确他们的角色和责任,并且已经准备好需要的工作需要的设备和资料。-A6.1 检测技术脆弱性并进行结果总结和摘要由运行脆弱性评估工具软件的对方人员和专家顾问针对各个关键资产提交脆弱性摘要并负责向评估分析小组进行解释说明。每份脆弱性摘要将被复审并进行恰当的修正。资产分类和抽样草表实施结果总结摘要 现场负责人检查工作结果,查看每项工作是否都已准确完成,并安排下阶段工作的时间进度。-阶段 6:抽样资产脆弱性评估124阶段 6
5、工程之前D6.1 对选择的基础组件运行漏洞评估工具活动中使用的工作表 活动的输出 活动时间- 技术漏洞(O6.1) 建议的技术漏洞摘要(O6.2)-基本指南在本活动中,IT 职员或外部专家执行漏洞评估,它们负责运行漏洞评估工具并在工程之前建立详细的漏洞报表。 1. 在使用漏洞评估工具之前,指定职员(IT 职员或外部专家)必须验证: 使用的是正确的工具 使用的工具的最新版本 得到的所有的许可以及所有受到影响的人员 在阶段 5 完成的任何其它活动项目2. 指派职员对在阶段 5 确定选择的基础设施组件运行漏洞评估工具。分析组的成员观察评估或者适当的时候直接参与评估。如果指派的人员不能检查基础组件的技
6、术漏洞,则需要记录原因,阶段 6 的工作中必须与分析组讨论这些情况。3. 指派职员检查详细的工具产生的漏洞信息,解释结果,为每一个关键组件创建初步的技术漏洞摘要。 每个组件的漏洞摘要包括下面的信息:立即修复的漏洞(高重要性) 的数目尽快修复的漏洞(中等重要性) 的数目稍后修复的漏洞数量(低重要性) 的数目阶段 6:抽样资产脆弱性评估125阶段 6 工程之前D6.1 对选择的基础组件运行漏洞评估工具额外的指南软件漏洞评估工具应该为每种选择的组件收集下列类型的信息: 漏洞名称 漏洞的描述 漏洞的重要性级别 修补漏洞需要的行为注意在参考书目中列出了特定的漏洞工具。漏洞评估工具检查已知的技术漏洞。漏洞
7、的目录通常在 CVE 中使用。在网络上运行漏洞评估工具之前应该确保具有适当的许可和管理允许。IT 部门应该有获得允许的过程来使用漏洞评估工具。初步的摘要的需求建立在假设漏洞评估不是所有分析组成员都执行基础上。软件评估工具生成非常详细的报表,Checklists 和脚本需要相当的信息技术和安全专家使用,因此业务职员观察但没有积极参与评估的现象经常出现。 记得一些分析组成员应当是没有日常正确配置和管理系统的业务人员,很多情况下,核心分析组成员的技能会在附加的 IT 职员或外部专家执行漏洞评估时得到提高。 IT 职员或外部专家执行评估时初步的漏洞摘要需要与核心的分析组成员交流漏洞信息,摘要应该在工作
8、中提交给分析组。如果核心分析组成员也积极参与漏洞评估,你可能要等到工作进行到分析和解释结果。详细指南漏洞严重级别的列表是在 OCTAVE 处理中使用的基本集合,严重级别指的是对漏洞采取的行为的快慢,可以根据机构的需要调整漏洞的严重级别。通常,严重级别应该尽量完整,具有适当长度,不保留副本。阶段 6:抽样资产脆弱性评估126阶段 6 工程介绍活动中使用的工作表 活动的输出 活动时间- - 15 分钟基本指南参与该项工作的是核心分析组成员以及附加的人员。 分析组的技能会在第 6 阶段工作时得到提高,附加的人员在工作之前进行漏洞评估,他们也参与工程。在本项工作中,需要提炼在工作之前提炼技术漏洞的总结
9、摘要。在工作开始的时候,领导者需要确信每个人明确自己的角色,此外,领导者回顾完成的工作以及收集准备了所有必需的材料。阶段 6:抽样资产脆弱性评估127A6.1 检测技术脆弱性并进行结果总结和摘要活动中使用的工作表 活动的输出 活动时间 每种关键资产的 资产统计工作手册(WK) 技术漏洞摘要 (O6.3) 1 小时 30 分钟 2 小时 30 分钟基本指南在本工作中以小组的形式进行工作,回顾和提炼每个关键组件的技术漏洞的总结摘要。 1. 选择一种进行了漏洞评估的关键资产,转到资产统计工作手册的漏洞摘要部分。 对每个评估的组件,首先检查执行评估的 IT 职员或外部专家建立的漏洞评估摘要,此摘要包括
10、每种评估的组件的下列信息:立即修复的漏洞(高严重级漏洞)的数目尽快修复的漏洞(中等严重级的漏洞)的数目稍后修复的漏洞(低严重级的漏洞)的数目 2. 对每一种选择的组件,检查和讨论识别的技术漏洞的总结摘要。引导评估的 IT 职员或外部专家将领导摘要的讨论以及解释结果。 记得分析组包括信息技术职员以及业务职员,漏洞评估摘要必须让每个分析组成员理解: 发现的漏洞的类型以及何时需要关注 对关键资产的潜在影响 技术漏洞如何进行处理分析组的每个人都需要明白漏洞的总结摘要,在讨论中,可以提议和组合摘要,漏洞摘要可以使用作为参考的详细的漏洞报告。阶段 6:抽样资产脆弱性评估128A6.1 检测技术脆弱性并进行
11、结果总结和摘要基本指南(续)摘要被查看和提炼以后,抄写员要在资产统计工作手册的漏洞摘要部分的适当部分记录该摘要。 你应该注意只有摘要在资产统计工作手册中做记录,工具生成的详细报表应该在评估后漏洞被关注的时候保留和使用。此外,对漏洞进行的特定行为以及推荐应该在资产统计手册的漏洞摘要部分做记录。如果需要立即处理技术漏洞,确保分配行为以及为其指派职责。3. 在你查看和讨论漏洞摘要之后,应该执行在第四阶段创建的威胁统计的差距分析。转到关键资产的资产统计工作手册(WK)的威胁与风险统计的部分。必须再次检查使用网络访问的人类参与者的威胁树的未标记的分支,考虑下面的问题: 与关键资产的基本组件相关的技术漏洞
12、是不是对资产的威胁是不能忽视的?(在威胁和风险统计部分标记这些分支。)当你达成统一意见时,抄写员应该在工作手册中的威胁树的适当分支进行标记。4. 完成对关键资产的本次活动时,转到下一个资产,直到为每一个资产完成本活动并在工作手册中进行了摘要的记录。阶段 6:抽样资产脆弱性评估129A6.1 检测技术脆弱性并进行结果总结和摘要额外的指南技术漏洞是可能导致未授权行为的系统的脆弱性,在很多情况下,不恰当的机构行为可能导致技术漏洞的存在。技术漏洞应用到网络服务、体系结构、操作系统和应用程序,技术漏洞通常分为三种类型:1. 设计漏洞 在硬件或软件的设计或描述时固有的漏洞,即使正确执行也会出现问题。2.
13、执行漏洞 由设计良好的硬件或软件在执行时的错误操作而导致的漏洞。3. 配置漏洞 对系统或组件进行配置和管理错误导致的漏洞。此外,技术漏洞可被用来提炼目前使用的安全实践的图以及机构中的安全漏洞。技术漏洞可能由用户对信息安全方针和实践关注不够、故意忽视已有的方针和实践、训练不足、不适当的信任而引起的。 技术漏洞可以直接精炼目前的实践行为(可以查看附录 A 的实践目录、第 15 卷的信息技术安全实践) ,应该寻找有助于更好理解安全问题的模式。在建立漏洞模式的时候应该仔细,确保不是仅在一个或很少技术漏洞的基础上就得出结论。查看影响关键资产的技术漏洞以在技术漏洞模式的基础上得出结论时,记住在资产统计工作
14、手册的漏洞摘要部分记录任何特定的行为或推荐。 技术漏洞也定义了威胁的人类制造者的访问关键资产的路径,每个感兴趣的系统都有几个关键基础组件,它们是对关键信息的处理、存储或传输很重要的多种类型的设备。当你识别了一个关键基础组件的技术漏洞时。额外的指南(续)高严重级的漏洞,按照定义,是需要立即处理的主要的脆弱性,如果威胁参与者开发了一个高严重级的漏洞,会直接导致对关键资产安全需求违反。本阶段的一个输出是对所有高严重级的漏洞的处理。低严重级漏洞,按照定义,是可以在迟些时候进行处理的脆弱性,这并不意味着可以忽视它们。OCTAVE 的输出包括保护策略和风险回避计划,在创建任一个输出时,应该考虑在管理漏洞时应该作什么(查看在附录 A 中的行为目录的与漏洞管理相关的行为) 。漏洞管理处理过程包括: 检查一段时间中的计算基础设施的每一个组件 处理识别的漏洞通过执行漏洞管理,可以更有效的处理所有安全级别的漏洞。阶段 6:抽样资产脆弱性评估130总结摘要活动中使用的工作表 活动的输出 活动时间- - 15 分钟基本指南你已经完成了评估选择的信息技术组件的工作,在下一步,将执行风险分析。1. 工作的领导人检查在该工作中包含的内容,你为选择的基础组件生成了技术漏洞的总结摘要,此外,在工作中识别的项目和行为应该被关注。 2. 下一步工作的领导人应该确保每个人知道工作何时进行。
