威胁评估介绍PPT课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
非恶意
粗心、 好奇、责 由于缺乏培训,好奇、或者由于不关心和不专注而导致信息
任心或 培训不足 系统威胁的用户,属于内部威胁或内部对手
的雇员
非人为威胁的来源
设备软件故障 软件、硬件、数据方面的故障
自然灾害
洪灾、火灾、地震…
不可抗力
战争、瘟疫…
6
Q2:我们最主要的对手是谁?
内部犯罪分子 外部犯罪分子 设备故障 外部黑客
(有组织的黑客和犯罪组织) T5:占有中等程度资源的熟练的对手,愿意冒较大的风险 T6:占有丰富程度资源的熟练的对手,愿意冒少许的风险
(特别复杂、有强大资金支持的敌对国家组织) T7:占有丰富程度资源的熟练的对手,愿意冒较大的风险
来源:IATF3.0 美国安全局
9
对手的等级划分标准
赋值 简称
对手等级
4 极高 占有中等资源,有组织的,技能熟练,愿意冒较大
VH 风险的对手,一般为有组织的内部人员,内外勾
结,熟练的黑客组织和犯罪组织。
3 高H 占有中等资源,有组织的,技能熟练,愿意冒较小
风险的对手,一般为权限很大的或内外勾结的内部
人员,熟练的黑客组织和犯罪组织
2 中等M 占有少许资源,无组织的,技能熟练,但愿意冒较
威胁可能性确认方法: 过去的安全事件报告或记录,统计各种发生过的威胁和其
发生频率; 通过IDS系统和各种日志中威胁发生的数据的统计和分析; 参考国际机构发布的安全威胁发生频率的统计数据均值; 用户访谈和综合分析
14
威胁发生的频率-美国FBI报告
15
威胁发生的频率-澳大利亚报告
16
7
Q3:他们都是多高等级的对手?
对手级别的确定原则 动机
是否能获得利益,获取经济利益、盗取机密信息或发泄 不满
是否愿意冒风险,分为较大、较小和没有风险等。
能力
必备的资源要求,比如攻击工具、性能强大的主机资源 等,分为需要数量庞大的、昂贵的不易获得的资源,需 要中等资源,需要很少资源等;
安全威胁评估介绍
1
内容
风险评估基本流程 安全威胁的定义 关于威胁的一些疑问 Q1:我们面临的对手都是谁? Q2:我们最主要的对手是谁? Q3:他们都是多高等级的对手? 对手的等级划分标准 Q4:他们会采用什么样的威胁方式? Q5:最主要的威胁方式是什么? Q5:最主要的威胁方式是什么?威胁方式列表 解答威胁的疑问-威胁评估过程
物理邻近攻击 内部人员攻击
物理访问
伪造数据和欺骗
解密通信数据 侦察
物理窃听
损坏或删除数据
口令嗅探
会话拦截
物理破坏
越权访问
通信量分析
伪装成授权的用户或服 务器 插入恶意代码(木马, 后门,病毒,蠕虫) 利用主机或网络信任
建立未授权网络连接 隐秘通道 物理损坏或破坏
利用恶意代码执行
拒绝服务
修改传输中的数据
利用网络协议的缺陷
11
Q4:他们会采用什么样的威胁方式?
农业部主要防范的威胁方式:(示例)
被动攻击 主动攻击
监视明文
缓冲区溢出攻击
物理邻近攻击 内部人员攻击
物理访问
伪造数据和欺骗
解密通信数据 侦察
物理窃听
损坏或删除数据
口令嗅探
会话拦截
Байду номын сангаас
物理破坏
越权访问
通信量分析
伪装成授权的用户或服 务器 插入恶意代码(木马, 后门,病毒,蠕虫) 利用主机或网络信任
有组织的协同工作,分为需要较大规模的组织严密的分 工协作,普通组织的协作,不需要组织和协作;
攻击技能的要求,分为独特的特别熟练,一般熟练,不 熟练
8
IATF中描述的对手(威胁来源)级别
T1:无意或意外的事故 T2:被动的,无意识的占有很少资源并且愿意冒少许风险的对
手 T3:占有少许资源但是愿意冒较大风险的对手 T4:占有中等程度资源的熟练的对手,愿意冒少许的风险
大风险的对手,一般为权限较小的内部人员,熟练
的黑客和犯罪份子
1 低L 占有很少资源的非熟练技能的,而且愿意冒少许风
险的对手,一般为零散的黑客和犯罪份子
0 可忽 无意的或意外的事件,包括人为的误操作
略N
10
Q4:他们会采用什么样的威胁方式?
各种常见的威胁类型和方式:
被动攻击 主动攻击
监视明文
缓冲区溢出攻击
5
Q1:我们面临的对手都是谁?
恶意
国家
国家经营,组织精良并得到很好的财政资助,从敌对国家或具
有经济、军事或政治优势的国家收集机密或关键信息
黑客
攻击网络和系统,企图探求操作系统的脆弱性或其它缺陷
恐 怖 分 子 / 计 算 国内外代表各种恐怖分子或极端势力的个人或团体。
机恐怖分子
有组织犯罪
一种协同犯罪行为,有组织和财政资助。
胁三种,还可以分为内部威胁和外部威胁等。
4
关于威胁的一些疑问
Q1:我们面临的对手都是谁? Q2:我们最主要的对手是谁? Q3:他们都是多高等级的对手? Q4:他们会采用什么样的威胁方式? Q5:最主要的威胁方式是什么?
-这些威胁发生的可能性有多大? -这些威胁可能造成多大的损失?
2
风险评估基本流程
资产识别与估价 威胁评估
弱点评估
现有安全措施评估
影响评估
风险评估 安全需求
3
安全威胁的定义
安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可 能性因素或者事件。
威胁总是要利用弱点(脆弱性)才可能对资产造成伤害。 威胁可以分为故意人为威胁、非故意人为威胁、自然与环境威
威胁的可能性赋值标准
赋值 描述
说明
4 几乎肯定 预 期 在 大 多 数 情 况 下 发 生 , 不 可 避 免
建立未授权网络连接 隐秘通道 物理损坏或破坏
利用恶意代码执行
拒绝服务
修改传输中的数据
利用网络协议的缺陷
12
Q5:最主要的威胁方式是什么?
分为两个问题: Q5.1 可能性有多大?-可能性 Q5.2:可能造成多大的损失?-严重性
13
Q5.1 这些威胁发生的可能性有多大? 确认威胁的属性--可能性 Likelihood 人为故意威胁的可能性因素: 资产的吸引力和暴光程度,组织的知名度; 资产转化成利益的容易程度,包括财务的利益和资源
非组织犯罪
通常没有很好的加入组织和接受援助。通常仅有少量成员构
成,也可以是单独行动的个人。
内部人员犯罪 内部雇员以犯罪为目的,采取自主或内外勾结的方式进行犯
罪
竞争对手
在竞争市场中营运的公司,以商业间谍的形式非法收集情报
不满的雇员
当前被雇佣和对系统具有访问权的条件,有潜力对本地网络和
系统施加破坏的愤怒和不满的人。