1、阶段 5:关键资产的识别105阶段 5:关键资产的识别Process 5: Identify Key Components描述 Description目 的: 识别和划分需要评估的基础资产的类别,并从每个类别中抽样选择一个或多个基础资产,然后选用适当的方法和有效的工具以便对其进行脆弱性的评估。涉及人员: 分析小组以及对方核心 IT 雇员。数据流程图表 Data Flow Diagram阶段 5:关键资产的识别输入目前分析小组以及对方核心 IT 雇员的知识。目前的网络拓扑结构图(包括个元素的 IP 地址)资产面临的威胁输出关键资产的分类抽样需要审核的基础资产评估每种基础资产所选用的方法工作表资产
2、分类和抽样草表阶段 5:关键资产的识别106阶段 5 实施指导方针阶段 5:关键资产的识别 时间:2 hr 30 min 3 hr 30 min工程现场目标: 识别划分需评估的基础资产类别 在各个类别中抽样选择一个或多个基础资产 为抽样选择出的各个基本资产分别选择恰当的评估方法分析小组的任务:工程负责人负责总体指导项目的实施,确保评估小组的所有成员都明确评估的实施步骤和方法,同时确保项目附加成员明确评估步骤和方法并能够积极的参与工作。各项工作需指派专门的记录人员,项目实施工程中获取的数据需经过一致认可后方可填入工作表单中。其他人员需积极参与工作,准确完成评估任务。必需的设备和资料: 投影仪或幻
3、灯机 (可选) 阶段的介绍性幻灯片 (可选) 网络拓扑结构图和系统清单 阶段的工作表格:资产分类和抽样草表现场工作结果总结和摘要: 资产的关键类别 (O5.1) 需审核的资产的抽样清单(O5.2) 对抽样资产进行评估所选定的方法(O5.3)阶段 5:关键资产的识别107工程实施 During the Workshop步骤 描述 工作表工程现场基本了解现场负责人需确认每个成员都能够明确他们的角色和责任,并且已经准备好需要的工作需要的设备和资料-A5.1 识别划分关键的资产类别评估分析小组针对关键资产划分类别 资产分类和抽样草表A5.2 抽样识别和选择需要审核的基础资产评估分析小组针对各个类别抽样
4、选择需评估的一个或多个资产,采用适当的方法和工具进行脆弱性评估。资产分类和抽样草表现场摘要总结 现场负责人检查实施结果,确认各项工作得到准确的完成,并安排下阶段工作的时间进度。 -阶段 5:关键资产的识别108阶段 5 工程介绍活动中使用的工作表 活动的输出 活动时间- - 15 分钟基本指南工程中的参与者是核心的分析组成员以及附加成员。 本工程中,将为你的信息技术基础设施选择关键组件来检查技术漏洞,这些关键组件是跟你的关键资产相关的资产。在工程的开始,领导者要确定每个人指导自己的角色,此外,回顾完成的工作,确保已经收集和准备所有必需的材料。在这个工程中,你将收集下面: 进行评估的组件种类 每
5、个级别的一个或多个基础设施组件 评估每个基础设施组件的方法阶段 5:关键资产的识别109A5.1 识别划分关键的资产类别 活动中使用的工作表 活动的输出 活动时间 每种关键资产的 资产统计工作手册 (WK) 关键资产类别 (O5.1) 1 小时 1 小时 30 分钟基本指南该活动中将确定基础设施组件的种类来检查技术漏洞,组件的种类是在处理、存储或传送关键信息时很重要的设备的类型,它们代表了关键资产的相关资产。本活动中,你将检查威胁情况的网络访问路径来确定关键资产的重要类型,访问路径集中在信息或服务如何通过机构的网络被访问。当检查关键资产的威胁情况时,要首先确定跟关键资产最接近的系统,该系统被称
6、为感兴趣的系统(system of interest) 。下一步,你要确定作为感兴趣系统一部分或者相关的组件的种类,下面是要考虑的关键的组件种类: 服务器 向机构提供信息技术服务的在信息技术基础设施中的主机 网络组件 对机构网络重要的设备,例如路由器、交换机、调制解调器等 安全组件 将安全作为主要功能的设备,例如防火墙就是一种安全设备。 桌面工作站 职员用来执行业务的网络中的主机 家用计算机 职员通过机构网络远程访问信息的家用 PC 膝上型电脑 职员通过机构网络远程访问信息的便携式 PC 存储设备 信息存储的设备,常常是备份的目的 无线组件 员工可以用来访问信息(例如,电子邮件)的设备,例如蜂
7、窝电话 其它 阶段 5:关键资产的识别110A5.1 识别划分关键的资产类别 基本指南(续)1. 选择一种关键资产。在此活动中,只检查威胁树的使用网络访问的人类参与者。 2. 转到资产统计工作手册的该资产的威胁和风险统计部分。如果使用网络访问的人类参与者的威胁树没有标记威胁,不需要为关键资产完成该活动,应移到下一个关键资产。3. 如果关键资产存在使用网络访问的人类参与者的威胁,转到资产统计工作手册(WK)的组件的关键类别的部分。 4. 首先,为关键资产创建感兴趣的系统,从工作手册的组件的关键类别考虑下面的问题:哪些系统与关键资产链接最紧密?关键资产在哪些系统中存储和处理? 关键资产移动到感兴趣
8、系统外部的何处?备份系统?远离现场的存储?还是其它?在关键资产的基础上,哪些系统会成为威胁实施者的故意行为的目标?当你在感兴趣系统上达成一致时,抄写员应该在手册的组件的关键类别部分的相应位置作记录。 你在第六阶段评估技术漏洞的组件将成为感兴趣系统的一部分或与其相关。你也应该注意关键资产感兴趣的多个系统,如果 执行唯一功能或为了唯一目标的全体相关系统的组合 有通常或交叠功能的全体相关系统的组合 与多个系统紧密链接的关键资产阶段 5:关键资产的识别111A5.1 识别划分关键的资产类别 基本指南(续)5. 现在检查组件的关键类别。当合法用户访问关键资产时需要使用组件的关键类别。风险实施者在对关键资
9、产的有意访问中使用组件的关键类别。考虑下面的问题:哪些类型的组件是感兴趣系统的一部分?考虑服务器、网络组件、安全组件、桌面工作站、家用电脑、膝上型电脑、存储设备、无线组件,以及其它。哪些类型的组件与感兴趣的系统相关?从哪些类型的主机感兴趣的系统可以被合法的访问?桌面机?家用电脑?膝上型电脑?蜂窝电话?其它?威胁实施者如何访问感兴趣的系统?通过互联网?共享外部设备?无线设备?其它?哪些类型的组件被威胁实施者用来对感兴趣的系统进行访问?哪些作为中间访问点服务?考虑对服务器的物理和网络的访问,网络组件、安全组件、桌面工作站、家用电脑、膝上型电脑、存储设备、无线组件和其它?还有其它威胁实施者用来访问感
10、兴趣系统的系统吗?在上面问题的基础上,哪些组件的类型是威胁情况的一部分?当在组件可能是威胁情况一部分上达成一致时, the scribe should mark an “X” in the box by each of the classes.此外,记录你选择组件类别的基本原则。6. 完成上面任务以后,转到下一种关键组件,直到对所有关键组件都完成这项操作,并在资产统计工作手册的相应位置上进行记录。阶段 5:关键资产的识别112A5.1 识别划分关键的资产类别 额外的指南感兴趣的系统让威胁实施者访问关键资产,也让合法用户访问关键资产。下面的基本指南可以帮你识别感兴趣的系统: 对于系统资产,感兴趣
11、的系统是资产 对于信息资产,感兴趣的系统是对信息连接最接近的系统,它可能是存储和处理关键信息的地方,也可能是关键信息移出网络的地方(备份系统、远离现场的存储、其它存储设备) 对于软件资产,感兴趣的系统是与软件应用或服务最紧密连接的系统,它可能是关键软件资产服务或存储的系统。可能有多个感兴趣的系统,因为他们可能跟多个系统紧密连接。 分布式资产,例如网络,可能包括多个感兴趣的系统。对于分布式关键资产,在识别感兴趣系统时有两个选择,你可以将关键资产定义得比较窄,也可以接收关键资产如何定义以及为关键资产识别多个感兴趣的系统。 访问路径集中在信息或服务如何通过你的机构的网络被访问。在你识别关键组件类别时
12、它们很重要,下面是三个你的计算基础设施的潜在信息源: 网络映射工具 用来搜索网络、识别系统和网络的物理连接的软件,展示了网络和设备(路由器、交换机、网桥、主机)的交互连接性的详细信息。 网络拓扑图 展示逻辑或物理的网络结构的图 计算机有限顺序列表 被机构拥有的计算机列表,典型的是描述了基于对机构重要性(关键系统的任务、高/中/低优先级系统、管理系统、支持系统等)的系统或网络组件的有限顺序。上面的信息源都可能被使用,需要决定你需要选择多少以及哪些种类的信息阶段 5:关键资产的识别113A5.1 识别划分关键的资产类别 额外的指南(续)下面的图表示了使用网络访问的人类参与者的威胁树。注意在此图中的
13、关键组件和漏洞。可以看见在这些关键组件的漏洞创建了一种手段,威胁实施者用来利用漏洞和访问关键资产。关键 资产内部外部意外意外故意故意信息暴露修改遗失、损坏中断信息暴露修改遗失、损坏中断信息暴露修改遗失、损坏中断信息暴露修改遗失、损坏中断网络关键组件漏洞感兴趣的系统 系统 XYZ 系统 ABC(感兴趣系统的一部分或者与之相关的设备)阶段 5:关键资产的识别114A5.1 识别划分关键的资产类别 详细指南关键组件类别的列表是在 OCTAVE 中使用的基本集合,这些列表必须定义来执行有意义的评估,可以进行修改来符合机构的需求。通常,关键组件的类别应该尽量完整,具有适当长度,不保留副本。本活动描述了检
14、查使用网络访问的人类参与者的威胁情况的方法,因此局限于识别被用于作为对关键资产的网络攻击一部分的信息技术组件。注意可能使用相似的方法来检查使用物理访问的人类参与者的威胁情况。通过检查物理威胁情况,可能识别在物理攻击中使用的重要组件。阶段 5:关键资产的识别115A5.2 抽样识别和选择需要审核的基础资产活动中使用的工作表 活动的输出 活动时间 每种关键资产的资产统计工作手册(WK) 需要审核的基础设施组件(O5.2) 评估每种基础设施组件的选择的方法(O5.3)1 小时1 小时30 分钟基本指南在前面的活动中,识别了关键资产的感兴趣的系统以及组件的关键类别。在本活动中,将从每个类别选择一个或多
15、个基础组件来评估技术漏洞。1. 选择一个关键资产。转到该资产的评估统计手册的评估选择组件段。在本活动中,将为组件的每种类别回答下列问题:在该类别中我们将进行漏洞评估哪些特殊的组件。选择这些特殊组件的基本原则?用来评估每种选择的组件的方法是什么?2. 回顾机构中与前面活动中确定的关键组件类别相关的网络拓扑图,必须确定有多少来自每个类别评估的基本组件。你需要对每个类别评估足够的组件来获取一个“典型的”组件的漏洞情况的足够理解,考虑下面的问题:该基础设施组件是该类型的典型吗?怎样访问基础设施组件?它被其它机构“拥有”吗?它是家用机吗?对业务操作的基础设施组件有多重要?当对该组件进行评估时要中断业务吗
16、?特殊的许可或时间表对评估该组件是必需的吗?当选择一个特殊组件时,需要记录 IP 地址和 DNS 名。记得在每个关键类别中选择一个或多个组件。阶段 5:关键资产的识别116A5.2 抽样识别和选择需要审核的基础资产基本指南(续)在达成一致时,抄写员要在工作手册的评估选择组件部分增加下面的信息:选择的组件,包括 IP 地址,DNS 名基本原则评估每个基础设施组件的方法,包括谁执行评估以及选择的工具在你在机构的网络中运行工具之前,需要得到相应的管理支持。此外,应该决定需要研究可用的漏洞评估工具。3. 在为每个关键组件的关键类别选择一个或多个组件后,为下一个关键组件进行同样工作。记住一些组件对超过一
17、种关键组件很重要。 额外的指南在漏洞评估中包含的特殊组件的选择中,需要平衡评估的理解与评估组件的努力。例如,如果选择桌面工作站作为组件的关键类别,需要选择一个或多个包含在漏洞评估中的工作站。如果在你的机构中有很多的桌面工作站,就需要确定应该在技术评估中使用多少台,目标是对典型工作站的漏洞水平有个感觉。通常,要确定有足够的信息来理解关键类别的漏洞水平,但并不需要选择太多的组件,要决定何时具有足够信息进行下一个阶段的工作。在选择特定的基础设施组件进行评估时,需要记录它们的 IP 地址以及 DNS 名字。在较大机构中,IP 地址可能经常变化,记录组件完整的域名比单独的 IP 地址有助于更有效的进行确
18、定,因为 DHCP (动态注意配置协议)中 IP 地址在每次机器导入的时候会改变。阶段 5:关键资产的识别117A5.2 抽样识别和选择需要审核的基础资产额外的指南(续)对许多关键资产可能应用到相同的关键类别,为关键资产相关的关键类别选择的组件可能也适合其它关键组件的相同关键类别,这需要你的判断能力。理解风险是 OCTAVE 的最终目标,需要足够的漏洞信息来理解目前的计算基础设施是如何容易受到攻击。在 OCTAVE 中不必查看每一个组件,检查每一个组件是漏洞管理的一部分。 在为评估基础设施组件选择方法时,要确定评估将如何展开,还要确定是否信息技术职员执行评估或者是否由外部专家来执行;此外,还要
19、决定在评估中要使用哪些工具。如果决定机构将进行评估,需要确定使用的软件工具以及执行评估的人和解释结果。确定你有运行工具的许可,以及设定了时间表。如果决定外包,需要考虑怎样跟外部专家沟通需求。同样,确定专家设定了时间表。一些机构用承包人或管理服务提供者来维护系统和网络,如果他们参与评估,你要决定让他们怎样进行工作。你可以让他们参与进入分析小组,也可以将他们作为外部专家进行培训。你也必须决定要使用的工具,工具包括软件、checklists 和脚本。你需要决定是否将评估技术漏洞进行自动化(通过使用软件) ,或者是否使用 checklists 或脚本。软件工具评定一个或一些系统,确定已知漏洞(发布的)
20、和错误配置,它们还提供入侵者攻击成功的潜在信息,这些工具通常在攻击者攻击机构系统和网络时也会使用。阶段 5:关键资产的识别118A5.2 抽样识别和选择需要审核的基础资产额外的指南(续)下面列出了应该考虑的漏洞识别工具的类型: 操作系统扫描器 针对特定的目标操作系统例如 Windows NT/2000, Sun Solaris, Red Hat Linux, 或者 Apple Mac OS。 网络基础设施扫描器 集中在网络基础设施组件例如路由器和智能交换机、DNS 服务器、防火墙系统以及入侵检测系统。 专业、目标或混合扫描器 针对应用程序、服务和操作系统功能的一定范围,例如处理Web 服务器
21、(CGI, JAVA)、数据库应用程序、注册信息 (例如 Windows NT/2000)以及弱口令存储和认证服务。 Checklists 提供与自动工具相同的功能,但是它是手动的而不是自动的,它需要检查的条目的一致性回顾,而且必须进行例行更新。 脚本 提供与自动工具相同的功能,但通常只有单一功能,跟 checklists 一样需要检查的条目的一致性回顾,而且必须进行例行更新。 软件工具生成的报表提供了多样的内容和格式,需要首先决定你需要什么信息,然后将你的需求与工具生成的报表进行匹配。 应该考虑每种工具提供多少信息以及是否提供一些过滤和解释信息的手段。软件工具生成的报表可能很长( 超过 30
22、0 页) ,特别是扫描了大量系统的时候。漏洞工具有局限性,它们不能指出系统管理什么时候不适当或者错误的执行。漏洞工具只检查已知漏洞,不能识别未知漏洞或者信漏洞,因此必须确保你的漏洞工具更新符合最新的漏洞信息。最后,漏洞工具不能指出是否职员遵循良好的行为规则以及是否执行安全规则嵌入到你的业务目标,这就是为什么在第 1 到 3 阶段的调查表和保护策略讨论为什么如此重要,它们评估了工具不能检查的安全的一些方面。阶段 5:关键资产的识别119A5.2 抽样识别和选择需要审核的基础资产额外的指南(续)注意在参考书目中列出了一些特定的漏洞工具。一些自动工具可能会潜在地造成服务的中断或者其它问题,这大部分取
23、决于你的特定系统类型以及它们的配置方法。分析组和补充人员要对此进行讨论确定影响。 你需要确定机构管理者明白做了什么工作以及原因。任何相应的运行工具的许可应该获得使用的优先权。 可能需要成本估计,特别是工具需要购买和更新,以及人员培训使用这些工具。其它你需要考虑的费用包括调整和使用工具的时间以及在进行测试时职员因此损失的工作时间。下面的图举出了在评估基础设施技术漏洞采用的方法时必须考虑的选择。基础设施 组件内部 IT 职员 外部专家管理服务提供者或承包商工具checklist/脚本工具checklist/脚本工具checklist/脚本阶段 5:关键资产的识别120总结活动中使用的工作表 活动的输出 活动时间- - 15 分钟基本指南你已经完成了关键组件的选择,下一步,要进行对关键组件的漏洞的评估。1. 工程的领导者回顾本功程覆盖的范围 确定下面的内容: 评估的组件类别每个种类的一个或多个基本设施的组件评估每个基础设施组件的方法2. 下一步工作的领导者应该确保每个人都清楚将会发生什么,也应该确保漏洞评估会在工程中优先进行。
