2.1 人员安全策略和程序
在所有安全解决方案中,人员经常被视为最脆弱的元素。
无论部署了什么物理或逻辑控制措施,人总是可以找到方法来规避、绕过控制措施,或使控制措施失效。
因此,为环境设计和部署安全解决方案时,有必要考虑人性。
为理解和应用安全治理,必须应对安全链中最薄弱的环节,即人员安全。
不过,当人员受到适当的培训,并被激励去保护自己和组织的安全时,他们也可以成为关键的安全资产。
重要的是,不要把人员视为一个需要解决的安全问题,而是把他们当作安全工作中有价值的合作伙伴。
与人员相关的事件、问题和损害可能发生在制订安全解决方案的所有阶段。
这是因为任何解决方案的开发、部署和持续管理都与人员相关。
因此,必须评估用户、设计人员、程序员、开发人员、管理人员、供应商、咨询顾问和实施人员对过程的影响。
2.1.1 岗位描述与职责
招聘新员上的过程通常包括几个不同步骤:
创建岗位描述或职位描述,设置工作级别,筛选应聘者,招聘和培训最适合该岗位的人。
如果没有岗位描述,就不能对应该招聘哪类人员达成共识。
组织内任何职位的岗位描述都应该考虑相关的安全问题,例如,必须考虑职位是否需要处理敏感材料或访问机密信息等事项。
实际上,岗位描述定义了需要分配给员工的角色,以便其执行工作任务。
角色通常与特权等级或者级别相一致,而岗位描述与具体分配的职责和任务相对应。
岗位职责Gob responsibilities)指员工常规执行的具体工作任务。
根据员工的职责,他们需要访问各种对象、资源和服务。
因此,岗位职责清单为访问权限、许可和特权的分配提供指导。
在安全的网络环境中,必须向用户授予与工作任务相关的元素的访问权限。
岗位描述并非专用于招聘过程,应在组织的整个生命周期中对它们进行维护。
只有详细的岗位描述能让我们对员工应该负责什么和他们实际负责什么进行比较。
管理人员应该审核特权分配,以确保员工不会获得对其工作任务而言不必要的访问权限。
2.1.2 候选人筛选及招聘
对特定岗位候选人的筛选基于岗位描述所定义的敏感性和分类级别。
因此,候选人筛选过程的神秘程度应与所招聘职位的安全性相匹配。
为保证岗位的安全性,有资质的和值得信任的候选人的必备要素有:
候选人筛选、背景调查、推荐信调查、学历验证和安全调查验证
背景调查包括:
•获得候选人的工作和教育背景
•检查推荐信
•验证学历
•访谈同事
•核查有关被捕或从事非法活动的警方和政府记录
•通过指纹、驾照或出生证明验证身份
•进行个人面试
•根据工作职位的不同,这个过程也可包括技能挑战、药物测试、信用核查、驾驶记录检查和性格测试/评估
对很多公司来说,对求职者进行在线背景调查和社交网络账户审查已成为标准做法。
如果潜在雇员在线上发布了不适当的材料,他们就不如那些没有此类操作的申请人有吸引力。
通过查看个人的在线信息,可快速收集到个人的态度、智慧、忠诚、常识、勤奋、诚实、尊重、一致性和遵守社会规范和/或企业文化的总体情况。
不过,必须充分了解针对歧视的法律限制。
不同国家/地区对背景调查(尤其是犯罪历史调查)的自由或限制有很大不同。
在评估职位申请者之前,请务必与法律部门确认。
在最初的求职者审查过程中,人力资源(HR)人员希望确认候选人是否有资格胜任工作,
但他们也在查找可能使求职者丧失资格的问题。
下一道筛选是对合格的求职者进行面试,以便淘汰那些不适合该岗位或该组织的人员。
在进行面试时,应当有一个标准化的面试过程,这样可以公平地对待每个候选人。
尽管面试的某些方面是主观的,以候选人与面试官之间的个性化互动为基础,但是否雇用某人的决定需要有法律依据。
2.1.3 入职:雇佣协议及策略
找到具备资格且在审查中未被取消资格的候选人并完成面试后,就可以为他们提供工作了。
如果被录用,新员工将需要融入组织。这个过程被称为入职。
入职是在组织中添加新员工的流程:审查和签署雇佣协议和策略,向管理人员和同事介绍,接受员工操作和后勤方面的培训。
入职也可以包括组织特性的社会化和引导。
在这个流程中,新员工接受培训,以便为履行岗位职责做好准备。
入职流程可包括:
•培训
•获得岗位技能
•调整做事方式
•努力使员工有效融入现有的组织文化
•过程和程序
精心设计的入职流程可提高工作满意度和生产效率,使员工更快地融入环境,提高员工对组织的忠诚度,减轻压力,减少离职率。
新员工将被提供一个计算机/网络用户账户。
这是通过组织的IAM(identity and access management, 身份和访问管理)系统来完成的,IAM提供账户并分配必要的特权和访问权限。
当员工的角色或职位发生变化,或者当这个人被授予额外的特权或访问权限时,都可以使用入职流程。
为保证安全,应按最小特权原则分配访问权限。
根据最小特权原则,用户应获得完成工作任务或岗位职责所需的最小访问权限。
要真正应用这一原则,需要对所有资源和功能进行细粒度的访问控制。
关于最小特权的详细讨论,请参见第16 章。
聘用新员工时,应该签署雇佣协议。
该协议文件概述了组织的规则与限制、安全策略、详细的岗位描述、违规行为和后果,以及员工担任该职位的最短期限或试用期。
这些内容也可能被写在不同的文档中,例如可接受的使用策略(AUP)。
这种情况下,雇佣协议用于确认候选人已经阅读并理解相关文件并且已签字,以使其遵守与预期工作职位相关的必要策略。
除了雇佣协议,可能还需要确认与安全相关的其他文件。
保密协议(nondisclosure agreement, NDA) 用于防止在职或已离职的员工泄露组织的机密信息。
违反保密协议的行为通常会受到严厉惩罚。
在整个雇佣过程中,当员工的岗位职责发生了变化,需要访问新的敏感、专有或机密资产时,他们可能会被要求签署额外的保密协议。
当员工离职时,应该提醒他们对已签署的NDA中所包含事项保密的法律义务。
事实上,员工可能会被要求在离职时重新签署保密协议,以从法律上确认其已充分意识到其在法律上承认的维护商业秘密和其他机密信息的义务。
2.1.4 员工监管
在员工的整个雇佣期内,管理者应该定期审查或审计每位员工的岗位描述、工作任务、特权和职责。
随着时间的推移,工作任务和特权通常会发生漂移。
岗位职责漂移或特权蔓延也可能导致安全违规行为。
若员工拥有过多的特权,则会增加组织的风险。
特权蔓延的风险包括:
•因为错误而破坏资产的保密性、完整性和可用性(CIA)
•心怀不满的员工有更大的能力故意造成损害
•接管员工账户的攻击者有更大的能力造成损害
审查员工能力,并根据最小特权原则调整员工能力,是降低此类风险的一种策略。
对于一些组织(主要是金融行业组织)来说,该审查过程的一个关键部分是强制休假。
强制休假可以被看成一种同行审查过程。
这个过程要求员工每年离开工作环境一到两周的时间,同时不能远程访问工作环境。
当该员工在“休假”时,其他员工用该员工的实际用户账户执行其工作职责,
这样,在尝试检测原来员工的滥用、欺诈或疏忽行为时,更容易验证该员工的工作任务和特权。
通常强制休假技术比其他审查技术更有效果,因为违规账户可以对其他账户隐藏其违规行为,但是很难对自身账户隐藏违规行为。
用户和员工的管理与评估技术还包括职责分离、岗位轮换和交叉培训。
这些概念都将在第16 章中详细讨论。
当几个人共同完成一起犯罪,这种行为被称为串通(collusion)。
采用职责分离、限制岗位职责、强制休假、岗位轮换和交叉培训等方式,可以降低员工愿意合伙进行非法活动或滥用职权的可能性,因为其被检测到的风险非常高。
通过严格监控指定的特权和拥有特权的账户,例如超级管理员、root 账户和其他账户等,可减少串通及其他特权滥用事件。
对于许多被认为敏感或关键的工作职位,特别是在医疗、金融、政府和军事组织中,可能需要定期对员工进行重新评估。
这个过程可能像进行初次的背景调查和雇用新员工时进行的调查那样彻底,
也可能只需要执行一些特定的检查以确认该员工依然具备任职资格,同时调查是否有任何能使其任职资格被取消的信息。
用户行为分析(user behavior analytics, UBA) 和用户与实体行为分析(user and entity behavior analytics, UEBA)是为特定目标或意图,对用户、主体、访客、客户等的行为进行分析的概念。
UEBA 中的E 将分析扩展到发生的实体活动,但这些活动不一定与用户的特定行为直接相关或有关联,但仍可能与漏洞、侦察、入侵、破坏或漏洞利用事件相关联。
从UBA/UEBA 监控收集的信息可用于改进人员安全策略、程序、培训和相关的安全监督计划。
2.1.5 离职、调动和解雇流程
离职是与入职相反的一个流程,指在员工离开公司后,将其身份从IAM 系统删除。
不过当员工被调动到组织内的新岗位时,特别是当员工要调动到不同的部门、设施或者物理位置时,也可能要使用离职流程。
人员调动可能被视为开除/重新雇用,而不是人员移动。
这取决于组织的政策及其认为能最好地管理这一变化的方式。
决定使用哪个程序的因素包括:是否保留相同的用户账户,是否调整他们的许可,
他们的新工作职责是否与以前的职位相似,以及是否需要一个新的“历史清白的“账户以供新工作职位的审计。
无论是作为开除/重新雇用、调动,还是作为退休或解雇的一部分,一个完整的离职流程可能包括:
•禁用或删除用户账户
•撤销证书
•取消访问代码
•终止其他被特别授予的特权
通常要禁用以前员工的账户,以便将其身份信息保留几个月以进行审计。
在规定的时间期限之后,如果没有发现与前雇员账户有关的事件,则可将其从IAM系统中完全删除。
如果过早删除账户,则任何具有安全问题的日志事件都不能再关联到实际的账户,这可能会使进一步追踪违规行为的证据的过程变得更加复杂。
离职流程还可能要求通知保安人员和其他物理设施与资产访问管理人员,以后不再允许该员工进入。
需要明确记录入职和离职流程,来确保其适用一致性并保证其符合规章或合同义务。
对这些策略的披露可能需要成为招聘流程中的标准内容。
当一名员工必须被解雇或离职时,需要处理许多问题。
在解雇过程中,安全部门和人力资源(HR)部门之间建立牢固的关系对于维持控制和最小化风险是非常重要的。
解雇对所涉及的人员来说,通常是一个不愉快的过程。
然而,如果经过精心策划并编制沟通脚本,解雇可能会被改善为一种中性的体验。
解雇政策的目的是在尊重员工的同时降低与员工解雇相关的风险。
解雇会议应至少有一名证人在场,最好是一名高级经理和一名安保人员。
一旦通知员工完成解雇,应该提醒他们雇佣协议、保密协议和任何其他安全相关文件要求前雇员承担的责任以及对他的限制。
在会议期间,应该收集组织特有的所有身份标识、访问权限或安全标志以及设备、门卡、密钥和访问令牌(见图2.1) 。
应该以私下的和尊重的态度来处理员工解雇过程。然而,这并不意味着不应该采取预防措施。
对于存在冲突风险的非自愿解雇员工,解雇过程可能需要突然进行,并有安保人员在场。
处理人力资源问题,取回公司设备,审查保密协议等任何后续工作,都可以在之后通过律师来解决。
在预期的专业化解雇以及自愿离职(如辞职、退休或延长休假)中,可以添加一个额外的流程即离职面谈。
离职面谈通常由人力资源部门的员工来完成,他们擅长学习员工的经验。
离职面谈的目的是了解员工离职的原因、他们对组织的看法(包括人员、文化、流程等),以及他们建议采取哪些措施来改善当前和未来员工的状况。
从离职面谈中获得的信息可以帮助组织通过改善就业和改变流程/策略来留住员工。
完成解雇流程后,无论是在突然状况下还是在友好氛围中,前雇员都应该立刻被护送出
工作场所,并且不允许其出于任何原因在无人陪同的情况下返回工作区域。
以下是一些需要尽快处理的其他安全事宜:
•在员工收到解雇通知的同时或在此之前,移除或禁用该员工的用户账户。
•确保员工已将其交通工具中与家中的所有公司设备或用品归还。
•安排一名安保人员陪同被解雇员工在工作区域收拾个人物品。
•通知所有安保人员、巡查人员或监控出入口的人员,以确保前雇员在没有护送的情况下无法再次进入办公大楼。
解雇:时间就是一切
解雇员工的过程很复杂。因此,需要一个精心设计的解雇流程。
不过,除此之外,还需要每次都正确地遵循该流程。遗憾的是,这样的情况并非总是发生。
你可能听说过一些因为拙劣的解雇流程而造成的惨痛结果。
常见例子包括在正式通知员工终止雇佣关系前执行下列任何一项操作(员工由此预感到自己将被解雇):
• IT部门要求归还笔记本电脑
• 禁用网络账户
• 停用办公场所入口的个人身份识别码或智能卡
• 撤销停车证
• 分发公司的重组图表
• 把新员工安排在他们的隔间内或者工作区域内
• 允许将解雇信息泄露给媒体
2.1.6 供应商、顾问和承包商的协议和控制
供应商、顾问和承包商的控制用于确定组织主要外部实体、人员或组织的绩效水平、期望、补偿金额和影响。
当多个实体或组织共同参与一个项目时,就会存在多方风险。
风险或威胁通常是由相关人员的目标、期望、时间、预算和安全优先级的变化造成的。
一方实施的风险管理策略实际上可能会给另一方带来额外的风险。
通常必须建立一个负责风险管理的机构来监督多方参与的项目并为成员实体强制执行一致的安全参数,至少在他们与项目相关的交互上必须如此。
服务水平协议(SLA)是一种确保提供服务的组织在服务提供商、供应商或承包商以及客户组织达成协议的基础上保持适当服务水平的方法。
将SLA应用于任何数据电路、应用程序、信息处理系统、数据库或其他对组织持续生存至关重要的关键组件是明智之举。
在使用任何类型的第三方服务提供商(包括云服务提供商)时,SLA 都很重要。
SLA 通常还包括在无法维持协议规定的情况下生效的财务方面和合同规定的其他赔偿措施。
例如,如果一个关键电路的故障时间超过15分钟,服务提供商可能同意免除该电路一周的所有费用。
SLA以及供应商、顾问和承包商的控制是降低风险和规避风险的重要部分。
通过明确规定对外部各方的期望和惩罚,每个相关人员都知道相关组织对他们的期望是什么,以及如果不能满足这些期望,会有什么后果。
若从外部供应商获取许多业务功能或服务,费用可能非常便宜,但潜在的攻击面和漏洞范围的扩大确实增加了可能面临的风险。
SLA 除了确保以合理价格提供高质量和及时的服务外,还应注重保护和改进安全。
有些SLA 是已设置好而无法调整的,而其他一些SLA 则允许对其内容进行重大调整。
应该确保SLA 支持安全策略和基础架构的原则,而不是与之冲突的,否则会引入弱点、脆弱性或异常。
外包是一个术语,通常是指使用外部第三方,如供应商、顾问或承包商,而不是在内部执行任务或操作。
外包可以作为一种风险应对选项,称为转移或转让风险(请参阅本章后面的“风险响应”部分)。
然而,尽管内部操作功能的风险被转移到第三方,但第三方操作的使用也会引入其他风险。
需要评估外包风险,以确定其对SLA 的影响是正面的还是负面的。
有关服务水平协议(SLA) 的更多信息,详见第16 章。
供应商、顾问和承包商也代表商业秘密被窃取或遭遇间谍活动的风险增加。
外部人员往往缺乏内部员工通常拥有的组织忠诚度,故此,对犯罪者来说,利用知识产权去获取机会的做法似乎更具诱惑性,其内心挣扎也可能会更少。
有关间谍活动的更多信息,详见第17 章。
供应商管理系统(VMS) ,可以协助人员配备服务、硬件、软件和其他所需产品和服务的管理和采购。
VMS 可以提供便利订购、订单分发、订单培训、统一计费等功能。
在安全性方面, VMS 可以对通信和合同保密,要求加密和认证交易,并维护与供应商相关的事件的详细活动日志。
2.1.7 合规策略要求
合规是符合或遵守规则、策略、法规、标准或要求的行为。
对安全治理来说,合规是一项重要内容。
在人员层面,合规关系到员工个人是否遵守公司的策略,以及是否按照规定的程序完成工作任务。
许多组织依靠员工的合规性以保持高质量、一致性、效率和节约成本。
如果员工不遵守合规,就会在利润、市场份额、认可和声誉方面给组织带来损害。
员工需要接受培训,以便了解他们需要做什么(即符合公司安全策略规定的标准,遵守任何合约义务,如遵守PCIDSS来维持信用卡处理能力)。
只有这样,他们才能对违反规定或不合规的行为负责。
合规是一种行政或管理的安全控制形式,因为它关注策略和遵守这些策略的人员(以及组织的IT 和物理元素是否遵守策略)。
合规执法是指对未能遵守策略、培训、最佳实践或法规而实施的制裁或后果。
此类执法工作可以由首席信息安全官(CISO)或首席安全官(CSO) 、员工经理和监督人员、审计员和第三方监管人员执行。
合规也是一个监管问题。详细讨论请参见第4 章。
2.1.8 隐私策略要求
隐私是一个很难定义的概念。这个词被频繁用在很多情况下,而且没有进行太多的量化或限定。
以下是对隐私的一些定义:
•主动防止未经授权访问个人可识别的信息(即直接关联致个人或组织的数据),被称为个人身份信息(PII) 。
•防止未经授权访问个人的或机密的信息。
•防止在未经同意或不知情的情况下被观察、监视或检查。
在IT 领域内处理隐私时,通常需要在个人权利和组织的权利或活动之间取得平衡。
有人认为,个人有权控制可否收集与他们相关的信息,以及如何使用这些信息。
其他人则认为,个人在公共场合执行的任何活动,如在互联网上执行的大多数活动或在公司设备上执行的活动,
可在不告知或未许可的情况下对其进行监控,而且从这些监控中收集的信息可用于组织认为适当的或可取的任何目的。
其中一些问题可由国家法律决定或由法律根据具体情况决定,而其他的问题则可由组织和个人决定。
通常来说,确实有必要防止个人遭受不必要的监控,避免商家直销,防止隐私的、个人的或机密的信息被泄露。
然而,一些组织声称通过人口统计学研究、信息收集和聚焦营销改进了商业模式,减少了广告浪费,并为各方节省了资金。
在隐私方面存在许多法律与法规的合规性问题。
在美国,许多法案中都包含了关于隐私的要求,如:
•《健康保险流通与责任法案》(Health Insurance Portability and Accountability Act, HIPAA)
•2002 年的《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act, SOX)
•《家庭教育权利和隐私法案》(Family Educational Rights and Privacy Act, FERPA)
•《金融服务现代化法案》
•欧盟的《通用数据保护条例》(GDPR)(条例[EU]2016/679)
重要的是理解组织必须遵守的所有政府规定,并确保合规性,特别是隐私保护方面。
无论个人或组织的立场如何,组织安全策略都必须提及在线隐私问题。
该问题并非特定于外部访客,客户、员工、供应商和承包商访问组织在线信息时都需要考虑隐私问题。
如果要收集与个人或公司相关的任何类型信息,也必须解决隐私问题。
大多数情况下,特别是当隐私受到侵犯或限制时,必须通知个人和公司,否则可能面临法律纠纷。
在允许或限制个人使用电子邮件、保留电子邮件、记录电话通话、收集上网或消费习惯等信息时,也必须解决隐私问题。
隐私策略(如内部规则)和可能的隐私声明/披露/通知(如对外部实体的解释)中应包括上述及更多内容。
有关隐私和PII 介绍,参见第4 章。
2.2 理解并应用风险管理概念
风险管理过程包括:
•识别可能造成资产损坏或泄露的因素,
•根据资产价值和控制措施的成本评估这些因素,
•实施具有成本效益的解决方案来减轻风险。
风险管理的整体过程用于制订和实施信息安全策略,这些策略旨在支持组织使命。
首次执行风险管理的结果是制订安全策略的依据。
随着内部和外部条件的变化,后续的风险管理事件用于改进和维持组织的安全基础设施。
风险管理的主要目标:是将风险降至可接受的水平。
这个水平实际上取决于组织、资产价值、预算的高低以及其他许多因素。
某个组织认为可接受的风险对另一个组织来说可能是无法接受的高风险。
虽然不太可能没计和实施一个完全没有风险的环境,但通过适当努力通常可显著降低风险。
IT基础设施面临的风险不只源于计算机方面。
非IT来源的风险包括:事故、自然灾害、金融威胁、内乱、流行病、物理威胁、技术利用和社会工程等。
如果不能正确评估和响应所有形式的风险,公司就容易受到攻击。
风险管理是由风险评估和风险响应这两个基本要素组成的。
风险评估或风险分析是指检查环境中的风险,评估每个威胁事件发生的可能性和实际发生后造成的损失,并评估各种风险控制措施的成本。
这个结果可用于对风险优先级的关键级别进行排序。
在此之后,就可以开始进行风险响应。
风险响应包括使用成本/收益分析的方式评估风险控制措施、防护措施和安全控制,
根据其他条件、关注事项、优先事项和资源调整评估结果,并在向高级管理层汇报的报告中给出建议的响应方案。
根据管理决策和指导,将所选择的响应措施部署到IT 基础设施中,并在安全策略文档中进行说明。
与风险管理相关的一个概念是风险意识。
风险意识是为提高组织内部风险认知而开展的工作。
这包括了解资产的价值,盘点可能损害这些资产的现有威胁,以及为解决已识别的风险而选择和实施控制措施。
风险意识有助于组织了解遵守安全策略的重要性以及安全失效的后果。
2.2.1 风险术语和概念
与风险相关的所有重要术语。
•资产(asset)
资产可以是业务流程或任务中使用到的任何事物。
如果组织依赖于某个人、某个位置或者某样事物,那这就是资产,不管其是有形的还是无形的。
•资产估值
资产估值是根据多个因素给资产指定的货币价值,
包括对组织的重要性、在关键流程中的使用情况、实际成本和非货币性支出(如时间、关注度、生产效率和研发等)。
在使用数学公式进行风险评估(即定量评估)时,用以美元为单位的具体数字来表示资产价值(AV) 。
•威胁(threat)
任何可能发生的、对组织或特定资产造成不良或非预期结果的潜在事件都是威胁。
威胁指任何可能导致资产受损、毁坏、变更、丢失或泄露的行为或不作为,或可能阻碍访问或维护资产的行为。
威胁可能是故意的或意外的。威胁可以来源于内部或外部。
可以粗略地将威胁视为可能对目标造成伤害的武器。
•威胁代理/主体
威胁代理或威胁主体有目的地利用脆弱性。
威胁主体通常是人员,但也可能是程序、硬件或系统。威胁主体使用威胁来危害目标。
•威胁事件
威胁事件是对脆弱性的意外和有意利用。
威胁事件可以是自发的或人为的,包括火灾、地震、洪水、系统故障、人为错误(由于缺乏训练或无知)和断电。
•威胁向量
威胁向量或攻击向量指攻击或攻击者为了造成伤害而访问目标时所采用的路径或手段。
威胁向量可以包括电子邮件、网页浏览、外部驱动器、Wi-Fi 网络、物理访问、移动设备、云、社交媒体、供应链、可移动介质和商业软件。
•脆弱性(vulnerability)
脆弱性是资产中的弱点,是防护措施或控制措施的弱点,或防护措施/控制措施的缺乏。
换句话说,脆弱性是使威胁能够造成损害的缺陷、漏洞、疏忽、错误、局限性、过失或薄弱环节。
•暴露(exposure)
暴露是指威胁导致资产受到破坏的可能性。
脆弱性会被威胁主体或威胁事件加以利用的可能性是存在的。
暴露并不意味着一个真实的威胁(一个造成损失的事件)正在发生,而仅表示有发生损害的可能性。
可从这个概念推导出在定量风险分析中使用的暴露因子(EF)值。
•风险(risk)
风险是威胁利用脆弱性对资产造成损害的可能性或概率以及可能造成损害的严重程度。
威胁事件发生的可能性越大,风险越大。威胁的发生可能造成的损害越大,风险也越大。
每个暴露实例都是种风险。
如果用概念化公式表达,那么可将风险定义为:
风险=威胁*脆弱性
风险=损害的可能性*损害的严重程度
因此,威胁或威胁代理的解决都可直接降低风险。该活动被称为风险缓解或风险降低。
降低风险是风险管理的总体目标。
当风险发生时,威胁代理、威胁主体或威胁事件已利用脆弱性对一个或多个资产造成损害或泄露。
安全的整体目的是通过消除脆弱性和防止威胁主体和威胁事件危害资产,来避免风险成为现实。
•防护措施(safeguard) 防护措施、安全控制、保护机制或控制措施指任何能消除或减少脆弱性,或能抵御一个或多个特定威胁的事物。
这个概念也可被理解为风险响应。
防护措施可以是能消除或减少威胁或脆弱性以降低风险的任何行动或产品。
防护措施是减轻或消除风险的手段。
防护措施:重新配置现有元素,从基础设施中删除某些元素。
•攻击(attack) 攻击是指威胁主体故意尝试利用脆弱性造成资产破坏、丢失或泄露。
攻击也可被看成违反或不遵守组织的安全策略的行为。一个未能成功破坏安全的恶意事件也是攻击。
•破坏(breach) 破坏、入侵或渗透是指安全机制被威胁主体绕过或阻止。破坏是成功的攻击。
一些风险术语和要素之间是有密切关联的,如图2.2 所示。
威胁利用脆弱性,脆弱性导致暴露,暴露就是风险,而防护措施可减轻风险,以保护遭受威胁的资产。
风险评估有多种方法。有些方法是从评估威胁开始的,而另一些方法则是从关注资产开始的。
无论风险评估是从盘点威胁开始,然后寻找可能受到损害的资产,
还是从清点资产开始,然后寻找可能造成损害的威胁,这两种方法都会进行资产-威胁组合,然后才进行风险评估。
这两种方法各有优点,组织在风险评估过程中应轮换或交替采用这些方法。
当采用首先关注威胁的风险评估方法时,可以考虑更广泛的有害性问题,而不仅限于资产范畴。
不过这可能会导致收集到有关组织不需要担心的威胁信息,因为组织没有威胁所关注的资产或脆弱性。
当采用首先关注资产的风险评估方法时,可以发现全部组织资源,而不受威胁列表内容的限制。
不过这可能会导致花费时间去评估价值非常低和风险极低的资产(将被定义为可接受的风险),进而增加风险评估所需的总体时间。
2.2.2 资产估值
基于资产或以资产为起点的风险分析是从清点所有组织资产开始的。
一旦完成清点,就需要对每项资产进行估值。
对每项资产进行估值的行为有助于确定其对业务运营的重要性或关键性。
如果资产没有价值,就没必要为其提供保护。
风险分析的主要目标是确保只部署具有成本效益的防护措施。
花10 万美元保护价值仅1000 美元的资产,这种做法是没有意义的。
因此,资产的价值直接影响和引导为保护资产而部署的防护措施和安全水平。
一般来说,防护措施的年度成本不应超过资产的年度损失期望。
评估资产成本时,需要考虑许多方面。
评估资产的目标是为资产分配具体的货币价值,既包括有形的成本,也包括无形的成本。
资产的精确价值通常是很难确定或不可能确定的,
但是,为进行定量的数学计算,必须确定一个具体的价值。
如果不适当地给资产赋值,可能导致不能适当地保护资产或实施财务上不合算的防护措施。
下面列出一些有助于估算资产的有形价值和无形价值的事项:
•采购成本
•开发成本
•行政或管理成本
•维护或保养费用
•资产购置成本
•保护或维持资产的成本
•对所有者和用户的价值
•对竞争对手的价值
•知识产权或股票价值
•市场估值(可持续的价格)
•重置成本
•生产率的提高或下降
•资产存在和损失的运营成本
•资产损失责任
•实用性
•与研究和开发的关系
为组织分配或确定资产估值时可通过以下方式满足许多要求:
•作为部署防护措施实现资产保护的成本/收益分析的基础
•作为评估防护措施和控制措施的一种手段
•为购买保险提供价值并为组织确定总体的净资产或净值
•帮助高级管理人员准确了解组织中存在的风险
•防止未给予应尽关心/尽职审查,并促进遵守法律要求、行业法规和内部安全策略
如果正在执行基于威胁或以威胁为起点的风险分析,
那么组织对威胁进行盘点并识别出易受攻击的资产之后,就会进行资产估值。
2.2.3 识别威胁和脆弱性
风险管理的一个基础部分是识别与检查威胁。
这涉及为组织已识别的资产创建一个尽可能详尽的威胁列表。
该列表应该包括威胁主体以及威胁事件。重要的是记住威胁可能来自任何地方。
对IT的威胁不仅限于IT方面。在编制威胁列表时,一定要考虑到各种来源的威胁。
要获得有关威胁示例、概念和分类的详细且正式的清单,请参阅NIST SP 800-30 Rev.1中的附录D“威胁来源”和附录E“ 威胁事件”。
有关威胁建模的介绍,详见第1 章。
大多数情况下,执行风险评估和分析的应该是一个团队,而不是单独的个人。
而且,团队成员应该来自组织内的各个部门。
通常情况下,并不要求所有团队成员都是安全专业人员或网络/系统管理员。
以组织人员为基础确定多样化的团队成员,将有助于彻底识别和解决所有可能存在的威胁和风险。
2.2.4 风险评估/分析
风险评估/分析主要是高层管理人员的职责。
不过,高级管理人员通常会把风险分析和风险响应建模的实际执行任务分配给IT 和安全部门的团队。
他们的工作结果作为建议方案提交给高级管理人员,高级管理人员最终决定将对组织实施哪些响应措施。
高级管理人员负责通过定义工作的范围和目标来启动和支持风险分析和评估。
所有风险评估、结果、决策和产出都必须得到高层管理人员的理解和批准,这是应尽关心/尽职审查的一部分。
所有IT 系统都存在风险。所有的组织都存在风险。员工所执行的每项任务都有风险。无法消除全部风险。
相反,高层管理人员必须决定那些风险是可接受的,以及哪些风险是不可接受的。
当决定可接受哪些风险时,需要进行详细而复杂的资产和风险评估,
对组织预算、内部专业知识和经验、业务状况等许多其他内外部因素有透彻了解。
一个组织认为可以接受的风险,在另一个组织看来可能无法接受。
例如,你可能认为100 美元的损失对你的月度个人预算而言是重大的损失和影响,
但富人对数百或数千美元的损失或浪费甚至可能都没有感觉。
风险是因人而异的,或至少是因组织而异的,基于其资产、威胁、威胁代理/威胁主体及其风险容忍度。
一旦制订了威胁和资产(或资产和威胁)的清单,就必须单独评估每个资产-威胁组合并计算或评估其相关风险。
有两种主要的风险评估方法:定量风险分析和定性风险分析。
定量风险分析基于数学计算,用实际的货币价值来计算资产损失。
定性风险分析用主观的和无形的价值来表示资产损失,并考虑观点、感受、直觉、偏好、想法和直觉反应。
这两种方法对于全面了解组织风险来说都是必要的,大多数环境都混合使用这两种风险评估方法,以获得对其安全间题的均衡看法。
风险评估的目标是识别风险(基于资产-威胁组合)并按重要性进行优先级排序。
组织需要这种风险重要性优先级,以指导其优化有限资源的使用,防范已识别的风险。
从重要性最高的风险到略高于可接受风险阈值的风险,均包含在内。
定量和定性这两种风险评估方法可以被视为完全不同的和彼此独立的概念或两个极限值点。
如第1 章所述基础概率与损害级别形成的3X3 矩阵取决于对资产和威胁的固有理解,
并依赖于风险分析师的判断来确定可能性以及严重性是低、中还是高。
这可能是最简单的定性评估形式,需要花费的时间和精力都极少。
然而,如果它不能提供必需的准确度或区分出关键性的优先级,则应该采取更深入的方法。
可以使用5X5 或更大的矩阵。不过,矩阵大小的每次提升都要求投入更多知识、更多研究和更长时间来正确分配概率和严重性级别。
某些点上,评估从以主观的定性评估为主转变为注重更实质性的定量评估。
关于这两种风险评估方法的另一个观点是,可以首先使用定性评估机制来确定是否需要一个详细且耗费资源/时间较多的定量评估机制。
组织也可将两种方法结合起来使用,并让它们相互调整或修订,例如,定性评估结果可用于调整定量评估优先级。
1. 定性风险分析
定性风险分析更多的是基于场景,而非基于计算。
这种方式不用货币价值表示可能的损失,而是对威胁进行分级,以评估其风险、成本和影响。
因为无法进行纯粹的定量风险评估,所以需要对定量分析的结果进行平衡。
混合评估(或混合分析)是将定量分析和定性分析混合使用到组织最终的风险评估过程。
进行定性风险分析的过程包括判断、直觉和经验。
定性风险分析技术:
•头脑风暴
•故事板
•焦点小组
•调查
•问卷
•检查清单
•一对一的会议
•采访
•场景
•Delphi 技术
决定采用哪种机制时应以组织的文化以及所涉及的风险和资产的类型为基础。
通常会综合使用几种方法,并在提交给高层管理人员的最终风险分析报告中对比各种方法的结果。
其中两个需要进一步了解的技术是场景和Delphi 技术。
•场景
所有这些机制的基本过程都需要创建场景。场景是对单个主要威胁的书面描述。
重点描述威胁如何产生,以及可能对组织、IT基础结构和特定资产带来哪些影响。
通常,这些场景被限制在一页纸内。
对于每个场景,有多种防护措施可完全或部分应对场景中描述的主要威胁。
然后,参与分析的人员分配场景的威胁级别、可能的损失和每种安全措施的优点。
分配威胁级别时,既可简单使用高、中、低或1~10 的数字,也可使用详细的文字。
然后将所有参与者的反馈汇总成一份报告,交给高级管理层。
有关参考评级的例子,请参阅NIST SP800-30 Rev.1 中的表D-3 、D-4 、D-5 、D-6 和表E-4。
定性风险分析的有用性和有效性随着评估参与者的数量和多样性的增加而提高。
无论何时,尽可能将组织层次结构内每个层次中的一个或多个人员包括在内。
从高级管理人员到最终用户,都应包含在内。还应把每个主要部门、办公室或分支机构的交叉人员都包括进来。
•Delphi 技术
Delphi 技术可能是上一列表中第一个不能被立即识别和理解的机制。
Delphi 技术只是一个匿名的反馈和响应过程,用于在个小组中匿名达成共识。
它的主要目的是从所有参与者中得到诚实且不受影响的反馈。
参与者通常聚在一个会议室里,对于每个反馈请求,每个参与者都在纸上或者通过数字消息服务匿名写下反馈。
反馈结果被汇编并提交给风险分析小组进行评估。
这个过程不断重复,直到达成共识。Delphi 技术的目标或意图是促进对想法、概念和解决方案的评估,而不会因为想法的来源而经常区别对待。
2. 定量风险分析
定量风险分析可计算出具体概率指数或用数字指示出相关风险的可能性。
这意味着定量风险分析的最终结果是一份包含风险级别、潜在损失、控制措施成本和防护措施价值等货币数据的报告。
这份报告通常容易理解,对于任何了解电子表格和预算报告的人来说,尤其如此。
可将定量风险分析看作用数字衡量风险的行为,换句话说,就是用货币形式表示每项资产和威胁。
然而,完全靠定量分析是不可行的,并不是所有分析元素和内容都可量化,因为有些元素和内容是定性的、主观的或无形的。
定量风险分析的过程从资产估值和威胁识别开始(可按照任何顺序进行)。
这就导致需要对分配的或指定的资产-威胁组合,评估潜在危害的可能性/严重程度和发生频率/可能性。
然后用这些信息计算评估防护措施的各种成本函数。
定量风险分析的主要步骤或阶段:
(1) 编制资产清单,并为每个资产分配资产价值(asset value, AV)。
(2) 研究每一项资产,列出每一项资产可能面临的所有威胁。形成资产-威胁组合。
(3) 对于每个资产-威胁组合,计算暴露因子(exposure factor, EF)。
(4) 对于每个资产-威胁组合,计算单一损失期望(single loss expectancy, SLE)。
(5) 执行威胁分析,计算每个威胁在一年之内实际发生的可能性,也就是年度发生率(annualized rate of occurrence, ARO)。
(6) 通过计算年度损失期望(annualized loss expectancy, ALE)得到每个威胁可能带来的总损失。
(7) 研究每种威胁的控制措施,然后基于已采用的控制措施,计算ARO、EF和ALE的变化。
(8) 针对每项资产的每个威胁的每个防护措施进行成本/效益分析。为每个威胁选择最合适的防护措施。
•暴露因子(exposure factor, EF)
暴露因子表示如果已发生的风险对组织的某个特定资产造成破坏,组织将因此遭受的损失百分比。
EF也可被称为潜在损失。大多数情况下,已发生的风险不会导致资产的完全损失。
EF仅表示单个风险发生时对整体资产价值造成的损失预计值。
对于容易替换的资产(如硬件), EF通常很小。
但对于不可替代的或专有的资产(如产品设计或客户数据库),它可能非常大。
EF用百分比表示。EF是通过使用历史内部数据,执行统计分析,
咨询公众或订阅的风险分类总账/登记册,与顾问合作或使用风险管理软件解决方案来确定的。
•单一损失期望(single loss expectancy, SLE)
单一损失期望是特定资产发生单一真实威胁的潜在损失。
SLE代表的是如果某个资产被特定威胁损害,组织将(或可能)遭受的潜在确切损失。
SLE的计算公式如下:
SLE=资产价值(AV)*暴露因子(EF)
或更简单:
SLE=AV*EF
SLE以货币为单位。例如,如果资产价值是200000 美元,对于特定威胁的EF为45%,
那么对于该资产,这项威胁的SLE 就是90000美元。
不过,并非总是需要计算SLE, 因为ALE才是在确定关键优先级时最常用的数值。
故此,在某些风险计算期间,可能会完全跳过SLE 。
•年度发生率(annualized rate of occurrence, ARO)
年度发生率是在一年内特定威胁或风险发生(即真实发生)的预期频率。
ARO的值可以是0(零),表示威胁或风险永远不会发生,也可以是非常大的数字,表示威胁或风险经常发生。
ARO的计算是很复杂的,可通过查看历史内部数据,执行统计分析,
咨询公众或订阅的风险分类总账/登记册,与顾问合作或使用风险管理软件解决方案来获取。
某些威胁或风险的ARO是通过将单个威胁发生的可能性乘以引起威胁的用户数呈来计算的。
ARO计算也被称为概率测定。
例如,塔尔萨发生地震的ARO可能是0.000 01, 而旧金山发生地震的ARO可能是0.03 (就6.7+震级而言);
或者可对比在塔尔萨发生地震的AR0(0.000 01)与在塔尔萨办公室中发生电子邮件病毒的ARO(10 000 000) 。
•年度损失期望(annualized loss expectancy, ALE)
年度损失期望是针对特定资产的单一特定威胁实际发生的所有实例,在年度内可能造成的损失成本。
ALE的计算公式如下:
ALE=单一损失期望(SLE)*年度发生率(ARO)
或
ALE =资产价值(AV)*暴露因子(EF)*年度发生率(ARO)
或更简单:
ALE= SLE * ARO
或
ALE =AV* EF* ARO
例如,如果资产的SLE 是90000美元,而针对特定威胁的ARO(如全部断电)是0.5, 那么ALE是45 000美元。
另一方面,如果针对特定威胁的ARO为15(如用户账户受到攻击),那对同一资产来说,则ALE 是1350000 美元。
为每个资产和每种威胁/风险计算EF、SLE、ARO和ALE是一项艰巨的任务。
幸运的是,定量风险评估软件工具可简化和自动化处理大部分计算过程。
这些工具生成资产估值的详细清单,然后使用预定义的ARO以及一些定制选项(即行业、位置、IT组件等)生成风险分析报告。
一旦为每个资产-威胁组合计算出ALE, 则应该对整个组合集按照ALE从大到小进行排序。
虽然ALE的实际数值并不是一个绝对数字(它是无形与有形的资产价值乘以暴露因子再乘以年度发生率的综合结果),但它确实具有相对价值。
数值最大的ALE 就是组织面临的最大问题,也是风险响应中要解决的第一个风险。
定量和定性风险分析机制都能提供有用的结果。
然而,每种技术都包括评估同一资产和风险的独特方法。
谨慎的应尽关心要求同时使用这两种方法,以便在风险方面取得平衡。
表2.1 描述了这两种方法的优缺点。
此时,风险管理过程从风险评估转向风险响应。
风险评估用于识别风险并设定关键性优先级,然后风险响应用于为每个已识别风险确定最佳的防御措施。
2.2.5 风险响应
无论采用定量风险评估还是定性风险评估,风险响应的诸多要素都是适用的。
一旦完成风险分析,管理人员就必须处理每个特定风险。
对风险有以下几种可能的响应:
•降低或缓解
•转让或转移
•威慑
•规避
•接受
•拒绝或忽略
这些风险响应措施都与组织的风险偏好和风险容忍度有关。
风险偏好是组织愿意在所有资产中承担的风险总量。
风险能力是组织能够承担的风险水平。
组织的预期风险偏好可能大于其实际能力。
风险承受能力是组织将接受的每个资产-威胁组合的风险数量或水平。
这通常与风险目标有关,这是特定资产-威胁组合的首选风险水平。
风险限值是在采取进一步风险管理措施之前可以容忍的高于风险目标的最大风险水平。
关于可能的风险响应,你需要了解以下信息。
•风险缓解(risk mitigation)
降低风险或缓解风险是指通过实施防护措施、安全控制和安全对策以减少或消除脆弱性或阻止威胁。
实施加密措施和使用防火墙是常见的降低风险或缓解风险的范例。
单个风险有时是可以完全消除的,但通常情况下,在尝试降低或缓解风险后仍会存在一些风险。
•风险转让(risk assignment)
风险转让或风险转移指将风险带来的损失转嫁给另一个实体或组织。
转让或转移风险的常见形式是购买网络安全或传统保险和外包。
•风险威慑(risk deterrence)
风险威慑是对可能违反安全和策略的违规者实施威慑的过程。
目的是说服威胁主体不进行攻击。
风险威慑的事例包括实施审计、安全摄像头、警告横幅、使用安保人员等并向公众表明该组织愿意与司法部门合作,起诉实施网络犯罪的人。
•风险规避(risk avoidance)
风险规避是选择替代的选项或活动的过程,替代选项或活动的风险低于默认的、通用的、权宜的或廉价的选项。
例如,选择飞往目的地(而不是驾车前往)是一种规避风险的方式。
另一个例子是为了避免飓风的风险,在亚利桑那州(而不是佛罗里达州)建立企业。
业务领导者终止业务活动,因为它与组织目标不一致,并且会带来较高的风险,这也是规避风险的一个例子。
•风险接受(risk acceptance)
风险接受或风险容忍是成本/收益分析表明控制措施的成本将超过风险可能造成的损失之后的结果。
这也意味着管理层已同意接受风险造成的后果和损失。
大多数情况下,接受风险时需要进行明确的书面陈述,
通常由高级管理人员以书面签名形式说明为什么未实施防护措施,谁对决定负责以及如果风险发生谁对损失负责。
•风险拒绝(risk rejection)
一个不可接受的但可能发生的风险响应是拒绝风险或忽略风险。
否认风险的存在并希望它永远不会发生,并不是有效的或审慎的应尽关心/尽职审查的风险响应方式。
拒绝或忽略风险的行为在法庭上可能被视为存在疏忽。
固有风险是在执行任何风险管理工作之前,环境、系统或产品中存在的自然、原生或默认的风险水平。
供应链、开发人员操作、系统的设计和架构或组织的知识和技能基础,都可能存在固有风险。
固有风险也被称为初始风险或起始风险。在风险评估过程中会识别出这种风险。
残余风险是采取了防护措施、安全控制或者安全对策后剩余的风险。
残余风险是针对特定资产的威胁,高级管理人员选择不实施防护措施。
换句话说,残余风险是管理层选择接受而不去减轻的风险。
大多数情况下,残余风险的存在表明:成本/效益分析显示现有的防护措施并不具有成本效益。
总风险指在没有实施防护措施的情况下组织面临的全部风险。
总风险的概念化公式如下:
威胁*脆弱性*资产价值=总风险
控制间隙是总风险和残余风险的差额,指通过实施防护措施而减少的风险。
残余风险的概念化公式如下:
总风险-控制间隙=残余风险
风险处理与风险管理一样,都不是一次性过程。相反,必须持续维护和重复确定安全。
事实上,重复进行风险评估和风险响应过程是评估安全计划的完整性和有效性的必要机制。
此外,这也有助于定位缺陷和发生变化的区域。
因为随着时间的推移,安全会发生变化,所以定期重新评估对于维护恰当的安全至关重要。
控制风险是将安全对策部署到环境中时引入的风险。
大多数防护措施、安全控制和安全对策本身就是某种技术。
没有技术是完美的,也没有安全是完美的,因此控制本身就存在一些脆弱性。
虽然控制可能会降低资产遭受威胁的风险,但它也可能会引入新的威胁风险,从而危及控制本身。
因此,风险评估和风险响应必须是迭代化操作,自我回顾以进行持续改进。
2.2.6 安全控制的成本与收益
在进行定性风险评估时,风险响应通常会涉及额外的计算。
这与防护措施的成本/收益的数学估算相关。
对于已按关键性优先顺序识别出的每个风险,都要考虑其防护措施能够带来的潜在损失降低和潜在收益。
对于每个资产-威胁组合(即已识别的风险),必须编制一份可能的和可用的防护措施清单。
这其中可能包括调查市场、咨询专家以及审查安全框架、法规和指南。
一旦为每个风险列出或生成防护措施清单,就应该评估这些防护措施的收益和相关联的资产-威胁组合的成本。
这就是防护措施的成本/收益评估。
防护措施、安全控制和安全对策主要通过降低潜在的破坏比例(如ARO)来降低风险。
不过一些防护措施也可降低损害的数量或严重程度(即EF) 。
对于那些只降低ARO 的防护措施来说,单个事件发生时造成的损失(即SLE)都是一样的,无论是否部署防护措施。
但是对于那些也会降低EF 的防护措施而言,任何单个事件发生时造成的损失都会比没有部署相关防护措施时造成的损失要小。
无论采用哪种方式,降低ARO和降低潜在EF的举措都会导致部署了防护措施的ALE小于没有部署防护措施的ALE。
故此,应计算具有防护措施的潜在ALE(ALE= AV * EF * ARO) 。
然后,可将初始的资产-风险组合的风险ALE 定为ALE1 (或防护措施实施前的ALE) ,将有特定防护措施的ALE 定为ALE2(或防护措施实施后的ALE) 。
应该为每个资产-威胁组合的每个潜在防护措施计算ALE2 。
在所有可能的安全措施中,最好的防护措施是将ARO降低到0, 不过这是极不可能的。
选择部署任何防护措施时都会使组织付出一定代价。
这个代价可能并不是购买成本,而可能是因为生产力降低、重新培训、业务流程变更或其他机会成本等带来的费用。
需要对组织中部署的防护措施的年度成本进行估算。
该估值被称为防护措施的年度成本(ACS,annual cost of the safeguard) 。
影响ACS的几个常见因素如下:
•购买、开发和许可的成本
•实施和定制的成本
•年度运营、维护、管理等费用
•年度修理和升级的成本
•生产率的提高或降低
•环境的改变
•测试和评估的成本
受保护资产的价值决定了保护机制的最大支出。
安全应该具有成本效益,因此保护某个资产的花费(包括现金或资源)不应超过其对组织的价值。
如果防护措施的成本超过资产估值(即风险的成本),这个防护措施就不是合理的选择。
此外,如果ACS 大于ALE1(即特定威胁给特定资产带来的潜在年度损失),防护措施就不是具有成本效益的解决方案。
如果全部防护措施都不具备成本数益,那接受风险可能是剩下的唯一选择。
一旦知道了防护措施的潜在年度成本,就可以评估将防护措施应用到基础设施的收益。
这个过程中的最终计算结果是成本/效益,以确定防护措施能否通过较低成本真正提高安全性。
为确定防护措施的财务支出是否合理,可用下列公式进行计算:
防护措施实施前的ALE-防护措施实施后的ALE-防护措施的年度成本(ACS)=防护措施对公司的价值
如果计算结果是负数,防护措施就不是一个财务上负责任的选择。
如果计算结果是正数,那这个值就是组织通过部署防护措施可能获得的年度收益,因为发生的概率并不代表实际会发生。
如果多个防护措施看起来都具有正向的成本/收益结果,那么收益最大的防护措施就是员具有成本效益的选择。
评估防护措施时,每年节省或消耗的费用不应该是唯一考虑的因素,还应该考虑法律责任和审慎的应尽关心/尽职审查问题。
某些情况下,与其在资产暴露或损失时承担法律责任,不如在配置防护措施时损失些金钱。
回顾一下,要对防护措施进行成本/效益分析,就必须计算出以下三个元素:
•资产与威胁组合在防护措施实施前的ALE
•资产与威胁组合在防护措施实施后的ALE
•ACS(annual cost of the safeguard, 防护措施的年度成本)
有了这些元素,最终可得到针对特定资产的特定风险所采用的特定防护措施的成本/收益计算公式:
(防护措施实施前的ALE-防护措施实施后的ALE)-ACS
或者更简单:
(ALE1 -ALE2)-ACS
在成本/收益计算中结果值最大的防护措施,就是针对特定资产和威胁组合进行部署的最经济防护措施。
要知道,可使用定量风险评估过程(表2.2) 中计算得到的最终值进行优先级排序和选择,这很重要。
这些值本身并不能真实反映现实世界中由安全破坏造成的损失或成本。
这是很显然的,因为在风险评估过程中需要进行猜测、统计分析和概率预测。
一旦为影响资产-威胁组合的每种风险计算了每个防护措施的成本/收益,就必须对这些值进行排序。
大多数清况下,成本/收益最大的就是针对特定资产的特定风险实施的最佳防护措施。
但与现实世界中的所有事情一样,这只是决策过程的一部分。
虽然成本/收益非常重要,而且通常是主要的指导因素,但并非唯一的元素。
其他因素包括:
实际成本、安全预算、与现有系统的兼容性、IT人员的技能/知识库、产品的可用性、政治问题、合作伙伴关系、市场趋势、热点、市场营销、合同和倾向。
高级管理人员和IT人员有责任通过获取或使用所有可用的数据和信息,为组织做出最佳的安全决策。
表2.2 给出了与定量风险分析相关的各种公式。
大多数组织的预算都是受限且非常有限的。因此,安全管理中的一个重要部分就是以有限的成本获取最佳的安全。
为有效地管理安全功能,必须评估预算、收益和性能指标,以及每个安全控制所需的资源。
只有经过彻底评估,才能确定哪些控制措施对安全来说是必要的且是有收益的。
一般来说如果组织仅因为缺乏资金就没有对不可接受的威胁或风险进行防范,这种借口是不能被接受的。
整个防护措施的选择需要考虑到当前的预算。
为了在现有资源下将整体风险降低到可接受的水平,可能需要折衷或调整优先次序。
请记住,组织安全应该基于业务案例,在法律上是可以解释的,并合理地与安全性框架、法规和最佳实践保持一致。
2.2.7 选择与实施安全对策
在风险管理领域中,安全对策、防护措施或安全控制的选择在很大程度上依赖于成本/收益分析结果。
然而,在评估安全控制的价值或相关性时,还需要考虑以下因素。
•控制措施的成本应该低于资产的价值。
•控制措施的成本应该低于控制措施的收益。
•应用控制措施的结果应使攻击者的攻击成本高于攻击带来的收益。
•控制措施应该为真实的和已识别的问题提供解决方案(不要仅因为控制措施是可用的、被宣传的或听起来很酷就实施它们)。
•控制措施的好处不应依赖于其保密性。任何可行的控制措施都能经得起公开披露和审合,这样即使在已知的情祝下也能保待保护效果。
•控制措施的收益应当是可检测和可验证的。
•控制措施应在所有用户、系统、协议之间提供一致的和统一的保护。
•控制措施应该几乎或完全没有依赖项,以减少级联故障。
•完成初始部署和配置后,控制措施只需要最低限度的人为干预。
•应该防止篡改控制措施。
•只有拥有特权的操作员才能全面访问控制措施。
•应当为控制措施提供故障安全和/或故障保护选项。
记住,安全应该可对业务任务和功能进行支持和赋能。
因此,需要在业务流程的上下文中评估控制措施和防护措施。
对一个防护措施来说,如果没有明确的业务案例,就可能不是一个有效的安全选择。
安全控制、安全对策和防护措施可以是管理性、逻辑性、技术性或物理性的。
这三种安全机制应以分层的概念、纵深防御的方式去实现,以提供最大收益(见图2.4) 。
这个思路基于这样一个概念:
通过策略(属于管理性控制的一部分)全面驱动安全并围绕资产形成初始保护层。
其次,逻辑性/技术性控制提供针对逻辑攻击和漏洞利用的保护。
然后,物理性控制可防止针对设施和设备的真实物理攻击。
1. 管理性控制措施
管理性控制措施是依据组织的安全策略和其他法规或要求而规定的策略和程序。
它们有时被称为管理控制、行政控制或者程序控制。这些控制集中于人员监督和业务实践。
管理性控制措施的例子包括:
策略、程序、招聘实践、背景调查、数据分类和标签、安全意识和培训工作、报告和审查、工作监督、人员控制和测试。
2. 逻辑性/技术性控制措施
逻辑性/技术性控制措施包括硬件或软件机制,可用于管理访问权限以及为IT资源和系统提供安全保护。
逻辑性/技术性控制措施的例子包括:
身份认证方法(如密码、智能卡和生物识别技术)、加密、限制接口、访问控制列表、协议、防火墙、路由器、入侵检测系统(IDS)和阈值级别。
3. 物理性控制措施
物理性控制措施是专为设施和真实世界对象提供保护的安全机制。
物理性控制措施的例子包括:
保安、栅栏、动作探测器、上锁的门、密封的窗户、灯、电缆保护、笔记本电脑锁、徽章、刷卡、看门狗、摄像机、访问控制门厅和报警器。
2.2.8 适用的控制类型
术语“安全控制”指执行各种控制任务,例如确保只有授权用户可登录,以及防止未授权用户访问资源。
安全控制可降低各种信息安全风险。
只要有可能,总是希望阻止任何类型的安全问题或安全事件的发生。
但是防不胜防,总会发生安全事件。一旦有安全事件发生,就希望能尽快检测到该事件。
一旦检测到安全事件,就想要纠正它们。
当阅读控制措施描述时,会发现列出的一些安全控制示例并非仅出现在一种安全控制类型中。
例如,建筑物周围设詈的围栏(或界定周边的装置)可以是预防控制(物理上阻止某人进入建筑物)和/或威慑控制(阻止某人尝试进入)。
1. 预防控制
部署预防控制以阻挠或阻止非预期的或未经授权的活动的发生。
预防控制的例子包括:
栅栏、锁、身份认证、访问控制门厅、报警系统、职责分离、岗位轮换、数据丢失预防(DLP) 、
渗透测试、访问控制方法、加密、审计、安全策略、安全意识培训、杀毒软件、防火墙和入侵预防系统(IPS) 。
2. 威摄控制
部署威慑控制以阻止违反安全策略的行为。
威摄控制和预防控制是类似的,但威慑控制往往需要说服个人不采取不必要的行动。
威慑控制的例子包括:
策略、安全意识培训、锁、栅栏、安全标识、保安、访问控制门厅和安全摄像头。
3. 检测控制
部署检测控制以发现或检测非预期的或未经授权的活动。
检测控制是在活动发生后才运行的,并且只有在活动发生后才能够发现活动。
检测控制的例子包括:
保安、运动探测器、记录和审合安全摄像头或闭路电视捕捉到的事件、岗位轮换、强制休假、审计踪迹、
蜜罐或蜜网、入侵检测系统(IDS)、违规报告、对用户的监督和审查以及事件调查。
4. 补偿控制
补偿控制为其他现有的控制提供各种选项,从而帮助增强和支持安全策略。
补偿控制可以是另一个控制的补充或替代选项。
它们可以作为提高主要控制有效性的一种手段,也可以作为主要控制发生故障时的替换或故障转移选项。
例如,如果预防控制未能阻止删除文件的行为,那么作为后备选项的补偿控制可恢复该文件。
另一个例子是,如果建筑物的防火和灭火系统出现故障,建筑物被火灾损害以至于无法使用,
那么补偿控制中拥有的灾难恢复计划(DRP)将提供备用处理场地以支持工作操作。
5. 纠正控制
纠正控制会修改环境,使系统从发生的非预期的或未经授权的活动中恢复到正常状态。
纠正控制试图纠正安全事故引发的任何问题。
纠正控制可以是简单的,例如终止恶意活动或重新启动系统。
也可包括删除或隔离病毒的杀毒解决方案、用于确保数据丢失后可以恢复的备份和恢复计划,
以及能修改环境以阻止正在进行的攻击的入侵预防系统(IPS)。
安全策略被破坏后,可部署纠正控制以修复或恢复资源、功能和能力。
纠正控制的例子包括:
在门上安装弹簧以便其关闭并重新锁定,以及使用文件完整性检查工具,
如Windows 的sigverif, 它将在每次启动时替换损坏的启动文件,以保护启动操作系统的稳定性和安全性。
6. 恢复控制
恢复控制是纠正控制的扩展,但具有更高级、更复杂的能力。
安全策略被破坏后,恢复控制尝试修复或恢复资源、功能和能力。
恢复控制的例子包括:
备份和恢复、容错驱动系统、系统镜像、服务器集群、杀毒软件、数据库或虚拟机镜像。
对于业务连续性和灾难恢复,恢复控制可包括:
热站点、温站点、冷站点、备用处理设施、服务机构、互惠协议、云服务提供商、流动移动操作中心和多站点解决方案。
7. 指示控制
指示控制用于指导、限制或控制主体的行为,以强制或鼓励主体遵守安全策略。
指示控制的例子包括:
安全策略要求或标准、发布的通知、保安指引、逃生路线出口标志、监控、监督和程序。
2.2.9 安全控制评估
安全控制评估(security control assessment, SCA)是根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估。
SCA 可作为渗透测试或漏洞评估的补充内容,或作为完整的安全评估被执行。
SCA 的目标是确保安全机制的有效性,评估组织风险管理过程的质量和彻底性,并生成关于已部署的安全基础设施的优缺点的报告。
SCA 结果可以证实安全机制已维持其先前的已验证的有效性水平,或者必须采取措施解决存在缺陷的安全控制。
除了验证安全控制的可靠性之外,评估还应考虑安全控制是否会影响隐私。
一些控制可能会改善隐私保护,而其他控制实际上可能会导致隐私侵犯。
应根据法规、合同义务和组织的隐私政策/承诺来评估安全控制的隐私方面。
通常,联邦机构基于NIST SP 800-53 Rev.5“ 信息系统和组织的安全和隐私控制”实施SCA 流程。
然而,虽然SCA 被定义为一个政府流程,但对每个致力于维持成功的安全成果的组织来说评估安全控制的可靠性和有效性的概念都应该被采纳。
2.2.10 监视和测量
安全控制提供的收益应该是可被监视和测量的。
如果安全控制提供的收益无法被量化、评估或比较,那么这种控制实际上没有提供任何安全。
安全控制可能提供本地或内部监视,或者可能需要外部监视。
在选择初步控制措施时,应该考虑到这一点。
衡量控制措施的有效性时并非总能获得一个绝对值。
许多控制措施提供了一定程度的改善,而不是具体的关于防止破坏或阻止攻击的数量。
通常为了测量控制措施的成败,必须在安全措施执行前后进行监视和记录。
只有知道了起点(即正常点或初始风险水平),才能准确地衡量收益。
成本/收益分析公式中有一部分也考虑到了控制措施的监视和测量。
如果安全控制仅在一定程度上增强安全性,那么这未必意味着所获得的收益是合算的。
应识别出安全方面的重大改进来清楚地证明部署新控制措施的花费是合理的。
2.2.11 风险报告和文档
风险报告是风险分析结束时需要执行的一项关键任务。
风险报告包括编制风险报告,并将该报告呈现给利益相关方。
对于许多组织来说,风险报告只用作内部参考资料,而其他的一些组织可能必须按规定向第三方或公众报告他们的风险结果。
风险报告应能准确、及时、全面地反映整个组织的情况,能清晰和准确地支持决策的制订,并定期更新。
风险登记册或风险日志是一份风险清单文档,它列出组织或系统或单个项目内的所有已识别的风险。
风险登记册用于记录和跟踪风险管理活动,包括以下内容:
•已识别的风险
•评估这些风险的严重性并确定其优先级
•制订响应措施以减少或消除风险
•跟踪风险缓解的进度
风险登记册可作为项目管理文件,用于跟踪风险响应活动的完成情况以及风险管理的历史记录。
风险登记册的内容可与其他人共享,以便通过联合其他组织的风险管理活动,对现实世界的威胁和风险进行更加真实的评估。
风险矩阵或风险热图是一种在基本图形或图表上执行的风险评估形式。它有时被称为定性风险评估。
风险矩阵的最简单形式是3X3网格,用于比较概率和潜在损害。
2.2.12 持续改进
风险分析旨在向高级管理层提供必要的详细信息,以决定哪些风险应该被缓解,哪些应该被转移,哪些应该被威慑,哪些应该被规避,以及哪些应该被接受。
其结果就是对资产的预期损失成本和部署应对威胁及脆弱性的安全措施成本进行成本/收益分析比较。
风险分析可识别风险,量化威胁的影响,并帮助编制安全预算,还有助于将安全策略的需求和目标与组织的业务目标和宗旨相结合。
风险分析/风险评估是一种“时间点“度量。威胁和脆弱性不断变化,风险评估需要定期进行以支持持续改进。
安全在不断变化。因此,随着时间的推移,任何已实施的安全解决方案都需要进行更新。
如果已使用的控制措施不能持续改进,则应该将其替换,从而为安全提供可扩展的改进控制措施。
可以使用风险成熟度模型(risk maturity model, RMM)评估企业风险管理(enterprise risk management, ERM)计划。
RMM 从成熟、可持续和可重复方面评估风险管理流程的关键指标和活动。
RMM 系统有多个,每个系统都规定了各种方法来实现更高的风险管理能力。
它们通常将风险成熟度评估与五级模型相关联(类似于能力成熟度模型,参见第20 章)。
典型的RMM 级别如下:
(1) 初始级(ad hoc)——所有组织开始进行风险管理时的混乱状态。
(2) 预备级(preliminary)——初步尝试遵守风险管理流程,但是每个部门执行的风险评估可能各不相同。
(3) 定义级(defined)——在整个组织范围内采用通用或者标准化的风险框架。
(4) 集成级(integrated)——风险管理操作被集成到业务流程中,收集有效性指标数据,风险被视为业务战略决策中的一个要素。
(5) 优化级(optimized)——风险管理侧重于实现目标,而不仅仅是对外部威胁做出响应;
增加战略规划是为了业务成功,而不只是避免事故;并将吸取的经验教训重新纳入风险管理过程。
一个经常被忽视的风险域是遗留设备风险,这些风险可能是EOL和/或EOSL 。
•生产期终止(end-of-life, EOL)是指制造商不再生产产品的时间点。
在EOL之后,组织可能还会继续提供一段时间的服务与支持,但不会销售或分发新版本。
EOL产品应在出现故障或支持期终止(end-of-support, EOS)或服务期终止(end-of-service life,EOSL)之前进行更换。
•EOL有时被认为或用作EOSL的同义词。
服务期终止(EOSL)或支持期终止(EOS)系统是指那些不能再从供应商处获得更新和支持的系统。
如果组织继续使用EOSL系统,那么受到破坏的风险就会很高,因为未来出现的任何漏洞都将永远不会被修补或修复。
为维护安全的环境,必须移除EOSL系统。
虽然仅因为供应商终止支持而放弃仍然有效的解决方案的做法最初看起来似乎不具有成本效益或实用性,
但如果不这样做,那么安全管理工作方面的花费可能会远远超过开发和部署当前系统的替代产品的成本。
例如,Adobe Flash Player于2020年12月31日达到其EOSL, 应按照Adobe的建议将其卸载。
2.2.13 风险框架
风险框架是关于如何评估、解决和监控风险的指南或方法。
美国国家标准与技术研究院(NIST)创建了风险管理框架(risk management framework, RMF)和网络安全框架(cybersecurity framework, CSF)。
这些都是美国政府建立和维护安全的指南,不过CSF是为关键基础设施和商业组织设计的,而RMF则是为联邦机构制定的强制性要求。
RMF创建于2010年,CSF创建于2014年。
CSF以一个框架核心为基础,该框架核心由五个功能组成:识别、保护、检测、响应和恢复。
CSF并不是检查清单或程序,它是为支持和改进安全而需要持续执行的操作活动的规定。
CSF更像是一个改进系统而不是其所规定的风险管理流程或安全基础设施。
RMF是联邦机构的强制性安全要求,NIST SP 800-37 Rev.2 对其进行了定义。
这是CISSP考试参考的主要风险框架。
RMF中有六个循环性阶段(见图2.5):
准备
通过建立管理安全和隐私风险的上下文和优先级,准备从组织级和系统级的角度执行RMF 。
分类
根据对损失影响的分析,对系统以及系统处理、存储和传输的信息进行分类。
选择
为系统选择一组初始控制并根据需要定制控制,以根据风险评估将风险降低到可接受的水平。
实施
实施控制并描述如何在系统及其操作环境中使用控制。
评估
评估控制以确定控制是否正确实施,是否按预期运行以及是否产生满足安全和隐私要求的预期结果。
授权
在确定组织运营和资产、个人、其他组织和国家/地区面临的风险是可接受的基础上,授权系统或共同控制。
监控
持续监控系统和相关控制,包括评估控制有效性,记录系统和操作环境的变化,
进行风险评估和影响分析,以及报告系统的安全和隐私状况。
这六个阶段将在组织的整个生命周期中按颠序重复执行。
RMF 旨在作为一种风险管理流程来识别和应对威胁。
通过使用RMF, 可以建立安全基础设施并持续改进安全环境的过程。
NIST的官方出版物中有更多关于RMF的信息,建议完整阅读该出版物,以全面了解RMF。
本章前面关于风险管理的大部分信息也都来自RMF 。
风险管理方面的另一个重要指南是ISO/IEC 31000“ 风险管理-指南”文档。
这个文档是对风险管理理念的高层次概述,许多人从阅读中受益。
这份ISO 指南适用于任何类型的组织,无论是政府还是私营部门。
与其配套的指南文件——
ISO/IEC31004“ 风险管理-ISO 31000 实施指南”
ISO/IEC27005“信息技术-安全技术-信息安全风险管理”
尽管CISSP 考试的重点是NIST风险管理框架,但你可能想要了解现实世界中使用的其他风险管理框架。
请参考以下内容以供未来研究。
•Treadway 委员会的COSO企业风险管理-综合框架
•ISACA 的IT风险框架
•可操作的关键威胁、资产和脆弱性评估(Operationally Critical Threat, Asset, and Vulnerability Evaluation, OCTAVE)
•信息风险因素分析(Factor Analysis of information Risk, FAIR)
•威胁代理风险评估(Threat Agent Risk Assessment, TARA)
重要的是理解当前存在许多被公共认可的框架并选择一个符合组织需求和风格的框架。
2.3 社会工程
社会工程是一种利用人类天性和人类行为的攻击形式。
人员是安全方面的薄弱环节,因为他们可能会犯错误,会被愚弄而造成损害或故意违反公司安全。
社会工程攻击利用的是人类的特性,例如对他人的基本信任、提供帮助的愿望或炫耀的倾向。
必须考虑人员给组织带来的风险并实施安全策略以最小化这些风险并处理这些风险。
社会工程攻击有两种主要形式:
1.说服某人执行未经授权的操作
2.说服某人泄露机密信息。
在几乎所有情况下,在社会工程中,攻击者都会试图说服受害者执行某些活动或泄露他们不应该泄露的信息。
成功攻击的结果是信息泄露或攻击者被授予对安全环境的逻辑或物理访问权限。
以下是一些常见的社会工程攻击的示例场景。
•一个网站声称允许对其产品和服务进行免费的临时访问,但需要更改Web浏览器和/或防火墙才能下载访问软件。
这些更改可能会降低安全保护或鼓励受害者安装恶意浏览器辅助对象(BHO)(也称为插件、扩展、附加组件)。
•服务台接到一个自称是部门经理的人员来电,该人目前正在另一个城市参加销售会议。
来电者声称忘记了密码,需要重置密码,以便其远程登录以下载重要的演示文稿。
•一个看起来像维修技术人员的人声称收到了关于建筑物中出现设备故障的服务电话。
“维修技术人员“确信可以从你的办公室工作区域内访问该设备,并要求获得维修系统的访问权限。
•如果员工收到一个来电,来电者要求与某个被指定姓名的同事进行交谈,而目前或以前没有此人在组织工作,那这可能是一个诡计。
因为来电者的信息不正确,所以要么让你透露实际员工的姓名,要么说服你”提供帮助”。
•当论坛上的联系人提出个人问题(例如你的教育、经历和兴趣)时,他们可能正专注于了解密码重置问题的答案。
其中一些示例也可能是合法且良性的事件,但你可以看出它们如何掩盖攻击者的动机和目的。
社会工程人员试图使攻击看起来尽可能正常和普遍,从而掩盖和隐藏他们的真实意图。
每当发生安全破坏事件时,都应进行调查以确定受影响的内容以及攻击是否还在持续进行。
应对人员进行再次培训,以检测和避免未来类似的社会工程攻击。
尽管社会工程攻击主要针对人,但攻击的结果可能是:泄露私人的或机密的材料,对设施造成物理损坏或远程访问IT环境。
因此,任何未遂的或成功的社会工程违规行为都应得到彻底调查和响应。
防御社会工程攻击的方法包括:
•对人员进行培训,介绍社会工程攻击以及如何识别常见的攻击特征。
•通过电话为人员执行活动时需要进行身份认证。
•定义受限信息,这些信息绝对不能通过电话或标准电子邮件等纯文本通信方式传达。
•始终验证维修人员的身份凭证并验证是否有授权人员拨打了真实的服务电话。
•切勿在未通过至少两个独立且受信任的来源验证信息的情况下,执行来自电子邮件的指令。
•与任何你不认识或不认识你的人打交道时,无论是面对面、通过电话还是通过互联网/网络,都需要谨慎行事。
如果多个员工报告了相同的奇怪事件,例如电话或电子邮件,则应调查该联系内容是什么,是谁发起的以及意图或目的是什么。
防御社会工程攻击最重要的措施是用户教育和意识培训。
相比于毫无准备的情况,适量的猜测和怀疑将帮助用户发现或注意到更多的社会上程攻击尝试。
培训应包括角色扮演和演练,以展示大量各种形式的社会工程攻击示例。
但请记住,攻击者会不断改变他们的方法并改进其攻击手段。
因此,必须与时俱进地掌握新发现的社会工程攻击手段以防御这种以人为中心的威胁。
用户应在入职组织时接受培训,并且应定期接受巩固培训。
培训形式可能很简单,比如由管理员或培训官员向他们发送电子邮件以提醒其有义威胁。
2.3.1 社会工程原理
社会工程之所以如此有效,是因为我们是人类。社会工程攻击的原理是关注人性的各个方面并加以利用。
尽管并非每个目标都会遭受攻击,但我们大多数人都容易受到以下一种或多种常见社会工程原理的影响。
1. 权威
权威是一种有效的技巧,因为大多数人可能会顺从地响应权威。
关键是让目标相信攻击者是拥有有效内部或外部权限的人。
一些攻击者在口头上宣称他们的权威,而其他攻击者则通过特定服装或制服来呈现权威。
例如,一封使用伪造CEO 电子邮箱发送的电子邮件通知员工,
他们必须访问特定的通用资源定位器/通用资源指示符来填写重要的人力资源文档。
当受害者盲目地执行所谓来自权威人士的指示时,这种方法就是有效的。
2. 恐吓
恐吓有时可以被视为权威原理的衍生品。
恐吓利用权威、信任甚至威胁伤害来推动某人执行命令或指示。
通常,恐吓的重点是在未明确定义的操作或响应指令的情况下利用不确定性。
例如,在之前的CEO和人力资源部文件的电子邮件中加入一条声明,声称如果员工不及时填写表格,将面临处罚。
处罚可能是失去星期五的休闲时光、不能享受星期二的美食、减薪,甚至解雇。
3 .共识
共识或社会认同是利用一个人的自然倾向的行为。
人们倾向于模仿他人正在做的事情或过去做过的事情。
例如,调酒师经常向他们存放小费的罐子里放一些钱,看起来好像是之前的客户对他们的服务很赞赏。
在这项社会工程原理中,攻击者试图让受害者相信,为了与社会规范或以前发生过的事件保持一致,特定的行为或响应是必要的。
例如,攻击者声称当前不在办公室的一名员工曾承诺在购买时提供很大的折扣,并且现在必须与作为销售人员的你进行交易。
4. 稀缺性
稀缺性是一种用于使某人相信某个目标因其稀缺性而具有更高价值的技术。
这可能与仅少量生产的产品或有限的机会相关,也可能与大部分库存售出后剩下的少数产品有关。
例如,攻击者声称你最喜欢的球队的最后一场比赛只剩下两张门票,如果观赏比赛的是其他人而不是你,那就太遗憾了。
如果你现在不购买门票,就会失去观赏机会。这一原则通常与紧迫性原理相关。
5. 熟悉
熟悉或喜欢是一种社会工程原理,它试图利用一个人对熟悉事物的固有信任。
攻击者经常试图表现出与目标人员有共同的联系或关系,例如共同的朋友或经历,或者使用外观来假冒另一个公司或个人的身份。
如果目标人员相信消息来自一个已知的实体,比如一个朋友或他们的银行,目标人员就更有可能相信该内容,甚至采取行动或进行回复。
例如一个攻击者使用钓鱼(vishing)攻击,并将来电ID伪造为医生办公室。
6. 信任
在信任这一社会工程原则中,攻击者努力与受害者建立关系。
这可能需要几秒钟或几个月的时间,但最终攻击者试图使用关系值(受害者对攻击者的信任)来说服受害者透露信息或执行违反公司安全的行为。
例如,当你在街上走的时候,一个攻击者走近你,此时他似乎从地上捡起一张100 美元的钞票。
攻击者说,既然钱被发现时你们俩距离很近,你们应该平分。
他们问你是否有零钱来平分被发现的钱。
因为攻击者让你拿着钱,而他们四处寻找失主,这可能会使你建立起对陌生人的信任,所以你愿意从钱包里拿出现金交给他们。
但是直到后来你才意识到这100美元是假的,你被抢劫了。
7. 紧追性
紧迫性通常与稀缺性相呼应,因为稀缺性代表错失的风险更大,所以迅速采取行动的需求就会增加。
紧迫性通常被用作一种方法,试图在目标人员有时间仔细考虑或拒绝服从之前,从目标人员那里获得快速反应。
例如,攻击者通过商业电子邮件泄露(BEC)使用发票诈骗来说服你立即支付发票,
理由无非是基本的商业服务即将被切断,或者公司将被报告给收款机构。
2.3.2 获取信息
获取信息是指从系统或人员那里收集或汇聚信息的活动。
在社会工程的背景下,它被用作一种研究方法,以制作更有效的借口。
借口是精心制作的虚假陈述,听起来可信,目的是说服你采取行动或作出有利于攻击者的回应。
本章涵盖的所有社会工程技术都可以用作伤害目标受害者的武器,也可以用作获取更多信息(或访问)的手段。
因此,社会工程既是侦察工具,又是攻击工具。通过社会工程收集的数据可用于支持物理或逻辑/技术攻击。
社会工程人员对目标对象使用的任何收集信息的手段或方法都是获取信息。
任何可以从目标对象收集、归拢或搜刮到的事实、真相或细节,
都可以用来形成一个更完整、更可信的借口或虚假故事,进而提升下一层次或下一阶段攻击的成功概率。
要知道,许多网络攻击类似于实际的战争攻击。攻击者对目标敌人了解得越多,制订的攻击计划就越有效。
通常可以采取同样的措施来防范获取信息的事件和社会工程。
这些措施包括对信息进行分类,控制敏感数据的移动,监控尝试权限滥用的行为,培训人员,以及向安全团队报告任何可疑活动。
2.3.3 前置词
前置词是在其他通信的开头或标题中添加的一个术语、表达式或短语。
通常使用前置词是为了进一步完善或建立社会工程攻击的借口,例如垃圾邮件、恶作剧和网络钓鱼。
攻击者可以在攻击消息的主题前面加上RE:或FW:(分别表示“关于“和“转发”),
以使接收方认为通信是先前对话的继续,而不是攻击的第一次接触。
其他常用的前置词语包括“外部”“私人”和“内部“。
前置词攻击还可用于欺骗过滤器,如垃圾邮件过滤器、反恶意软件、防火墙和入侵检测系统(IDS) 。
这可以通过安全、过滤、授权、验证、确认或批准等方式实现。
甚至可以插入其他电子邮件标题值,
例如“X-Spam-Category: LEGIT" 或“X-Spam-Condition: SAFE", 这可能会欺骗垃圾邮件并蒙蔽过滤器。
2.3.4 网络钓鱼(phishing)
网络钓鱼是一种社会工程攻击形式,主要是从任何潜在的目标窃取凭证或身份信息。
它源于"钓”取信息的方式。
网络钓鱼可以使用各种通信媒体以多种方式进行,包括:
•电子邮件和网络;
•在面对面的交流中或通过电话;
•甚至通过更传统的通信媒介,例如邮局或快递包裹。
攻击者无差别地将网络钓鱼电子邮件当作垃圾邮件发送,不知道谁会收到它们,只是希望某些用户会作出回应。
网络钓鱼电子邮件有时会通知用户一个虚假问题,并声称如果用户不采取行动,公司将锁定用户的账户。
发件人电子邮件地址通常被伪装成合法的,但回复电子邮件地址是由攻击者控制的账户。
复杂的攻击会包含一个指向虚假网站的链接,该网站看起来合法但却会捕获用户凭证并将其传递给攻击者。
有时网络钓鱼的目标是在用户系统上安装恶意软件。
该消息可能包含受感染的文件附件或一个指向网站的链接,该网站在用户不知情的情况下进行了恶意的偷渡下载。
为了防御网络钓鱼攻击,最终用户应接受以下培训:
•警惕意外的电子邮件或来自未知发件人的电子邮件。
•切勿打开意外的电子邮件附件。
•切勿通过电子邮件分享敏感信息。
•避免点击电子邮件、即时消息或社交网络消息中收到的任何链接。
如果消息宣称来自已知的来源,例如经常访问的网站,则用户应使用预先建立的书签或通过名称搜索站点来访问目标站点。
如果他们访问了其在网站上的账户后,在线消息或警报系统中没有出现重复的消息,则原始消息可能是攻击或伪造的。
应将此类虚假通信全部报告给目标组织,然后应删除该消息。
如果攻击与你的组织或雇主有关,也应向那里的安全团队报告。
组织应考虑通过公司系统授予员工访问个人电子邮件和社交网络的权限所带来的后果和增加的风险。
一些公司选择在使用公司设备或通过公司控制的网络连接时阻止访问个人互联网通信。
这样即使个人遭受了网络钓鱼攻击,也可以降低组织的风险。
网络钓鱼模拟器是一种用于评估员工抵抗或参与网络钓鱼活动的能力的工具。
安全经理或渗透测试人员会精心设计一次网络钓鱼攻击,这样受害者的任何点击都会被重定向到一个通知,
该通知声明网络钓鱼消息是模拟的,员工可能需要参加额外的培训以免陷入真正的攻击。
2.3.5 鱼叉式网络钓鱼(spear phishing)
鱼叉式网络钓鱼是一种更有针对性的网络钓鱼形式,其中信息是专门针对一个特定用户群体制作的。
通常,攻击者使用被盗的客户数据库发送虚假消息,这些虚假消息经过精心设计,
看起来像是来自受破坏企业的通信,但具有伪造的源地址和不正确的URI/URL 。
攻击者期望,已经与组织建立在线/数字关系的人更有可能落入虚假通信中。
上一节“网络钓鱼”中讨论的所有概念和防御措施都适用于鱼叉式网络钓鱼。
鱼叉式网络钓鱼也可以精心设计,让人觉得它是由组织的CEO 或其他高层办公室发起的。
这种形式的鱼叉式网络钓鱼通常被称为商业电子邮件泄露(BEC)。
BEC通常专注于说服会计或财务部门的成员根据指示转移资金或支付发票,这些指示似乎来自老板、经理或高管。
在过去几年里,BEC诈骗了组织数十亿美元。BEC也被称为欺诈CEO 或欺骗CEO。
与大多数形式的社会工程一样,防范鱼叉式网络钓鱼时应做到以下几点:
•用价值、重要性或敏感程度对信息、数据和资产打标签。
•培训人员基于标签来正确处理相关资产。
•要求澄清或确认任何看似异常、偏离流程或对组织有过度风险的行为。
需要注意的一些恶意做法包括:
•请求使用预付礼品卡支付账单或发票
•更改接线细节(尤其是在最后一分钟)
•请求购买对请求者而言不合规又急需的产品
在确认可疑BEC时,不要使用与BEC相同的通信媒介。
可以打电话,去他们的办公室,给他们的手机发短信或使用公司批准的内部消息服务。
不妨与请求者建立第二次“带外“联系,以进一步确认消息是合法的还是虚假的。
2.3.6 网络钓鲸(whaling)
网络钓鲸是鱼叉式网络钓鱼的一种变体,针对的是特定的高价值人员(按照头衔、行业、媒体报告等),
如首席执行官(CEO)和其他C-层高管、管理员或者高净值客户。
网络钓鲸要求攻击者进行更多的研究、计划和开发以成功欺职受害者。
因为这些高层人员通常很清楚他们是高价值的攻击目标。
2.3.7 短信钓鱼(smishing, 即时消息垃圾邮件)
短消息服务(SMS)网络钓鱼或短信钓鱼是一种社会工程攻击,
它发生在标准文本消息服务之上或通过标准文本消息服务进行。
有几个短信钓鱼威胁需要警惕,包括:
•要求响应或回复的短信。在某些情况下,回复可能会引发强制扣费事件。
强制扣费是指对你的移动服务计划收取虚假或未经授权的费用。
•短信可能包含指向网络钓鱼或诈骗网站的超链接/URI/URL,或触发恶意代码软件的安装。
•短信可能包含让你参与对话的借口。
•短信可能包含电话号码。在拨打电话之前,请务必研究电话号码,尤其是来自未知来源的电话号码。
有些电话号码的结构与本地或国内号码相同,但实际上可能是长途电话,
并不包含在你的通话服务或计划中,拨打它们时可能会产生连接费和每分钟高昂的通话费。
虽然短信钓鱼指的是基于SMS的攻击,
但它有时也可用于指通过多媒体消息服务(MMS) 、富媒体通信服务(RCS) 、Google Hangouts 、Android Messenger、
Facebook Messenger、微信、Apple/iPhone iMessages 、WhatsApp 、Slack、Discord、Microsoft Teams 等。
2.3.8 语音网络钓鱼(vishing)
语音网络钓鱼(vishing, 即基于语音的网络钓鱼)或SplT(互联网电话垃圾邮件)是通过任何电话或语音通信系统进行的网络钓鱼。
这包括传统电话线、IP 语音(VoIP) 服务和移动电话。
大多数发起语音网络钓鱼活动的攻击者都使用VoIP技术来支持他们的攻击。
VoIP允许攻击者位于世界任何地方,向受害者拨打免费电话,并能够伪造或冒用原始呼叫ID 。
语音网络钓鱼呼叫可以显示任何来源的呼叫ID或电话号码,攻击者会使用其认为可能让受害者接听电话的来源。
一些攻击者只是复制你的区号和前缀,以诱使受害者认为呼叫来自邻居或其他本地实体。
语音网络钓鱼只是另一种形式的网络钓鱼攻击。
语音网络钓鱼涉及伪装显示的呼叫ID和攻击者的虚假借口。
始终假设来电ID是错误的或至少是不正确的。
2.3.9 垃圾邮件(spam)
垃圾邮件是任何类型的不受欢迎和未经请求的电子邮件。
不过,垃圾邮件不只是不受欢迎的广告,它还可能包括恶意内容和攻击向量。
垃圾邮件经常被用作社会工程攻击的载体。
垃圾邮件是一个问题,其产生的原因有很多。
•一些垃圾邮件带有恶意代码,如病毒、逻辑炸弹、勒索软件或特洛伊木马。
•一些垃圾邮件带有社会工程攻击(也称为恶作剧信息)。
•不需要的电子邮件会浪费你的时间,而你需要在其中寻找合法的邮件消息。
•垃圾邮件浪费互联网资源:存储容量、计算周期和吞吐量。
针对垃圾邮件的主要控制措施是垃圾电子邮件过滤器。
这些电子邮件过滤器可以检查邮件的标题、主题和内容,以查找将其识别为已知垃圾邮件类型的关键字或短语,
然后采取适当的措施来丢弃、隔离或阻止邮件。
反垃圾邮件软件是反恶意软件主题的一个变体。
它专门监视电子邮件通信中的垃圾邮件和其他形式的不需要的电子邮件,以阻止恶作剧、身份盗用、资源浪费和潜在的恶意软件分发。
反垃圾邮件软件通常可以安装在电子邮件服务器上以保护整个组织,也可以安装在本地客户端系统上以供用户进行补充过滤。
除了客户端应用程序或客户端垃圾邮件过滤器之外,还有企业级垃圾邮件工具,
包括发件人策略框架(SPF) 、域密钥识别邮件(DKIM) 以及域消息身份认证报告和一致性(DMARC)。
管理垃圾邮件时要解决的另一个重要问题是虚假的电子邮件。
虚假的电子邮件是具有虚假或伪造源地址的邮件。DMARC可用于过滤虚假的消息。
垃圾邮件最常与电子邮件相关联,但垃圾邮件也存在于即时消息(IM) 、SMS 、USENET(网络新闻传输协议)和Web 内容(如在线讨论、沦坛、评论相博客)中。
如果未能阻止垃圾邮件,则会:
•浪费资源消耗带宽
•分散工作人员的生产活动注意力
•使用户和系统遭遇恶意软件。
2.3.10 肩窥(shoulder surfing)
肩窥是一种通常发生在现实世界或以面对面形式发生的社会工程攻击。
当有人能够看到用户的键盘或显示器时,就会发生肩窥。
防止肩窥的措施:
•按敏感度级别将员工分组并使用上锁的门限制员工进入建筑物的某些区域。
•用户不应将其显示器放置在通过窗户(从外部)或人行道/门口(针对内部问题)可见的方向。
•员工也不应该在公共场所处理敏感数据。
•应在键入字符时使用密码字段来屏蔽字符。
•使用屏幕过滤器,它将视野几乎限制在垂直方向。
2.3.11 发票诈骗(invoice scam)
发票诈骗是一种社会工程攻击,通常通过提供虚假发票然后强烈诱使付款,以期从组织或个人那里窃取资金。
攻击者经常试图以财务部门或会计团体的成员为目标。一些发票诈骗实际上是变相的鱼叉式网络钓鱼诈骗。
社会工程攻击者也可能通过语音连接来配合发票诈骗方法的使用。
这种攻击类似于某些形式的BEC概念。
事实上,一些发票诈骗会与BEC相结合,因此发送给会计工作人员的发票看起来似乎是由CEO发送的。
这种攻击元素的交织增加了发票的合法性,因而有可能说服目标支付发票。
为了防止发票诈骗,必须告知员工他们应该通过哪些适当的渠道接收发票以及确认任何发票实际有效的方法。
为产品和服务下订单的员工与支付发票的员工之间应存在职责分离。
还应该有第三个小组来审计和管理这两个小组成员的活动。
所有潜在的收购都应由主管进行审查和批准,然后由该主管将收购通知发送至应付账款部门。
当发票到达时,应将其与基于批准收购的预期账单进行比较。
任何非预期或其他异常的发票都应引发与主管或其他财务主管的面对面讨论。
发现任何欺诈性发票时应向行政部门报告。
通过数字传输诈骗发票和邮寄诈骗发票的行为都被视为欺诈罪和潜在盗窃罪。
通过美国邮政服务发送虚假发票的行为也可能被视为邮政欺诈。
2.3.12 恶作剧(hoax)
恶作剧是一种社会工程,旨在说服目标执行会导致问题或降低其IT安全性的操作。
恶作剧可以是一封电子邮件,宣称一些迫在眉睫的威胁正在互联网上传播,你必须执行某些任务以保护自己。
恶作剧经常声称不采取行动的应对方式会造成伤害。
受害者可能会被指示删除文件、更改配置设置或安装欺诈性安全软件,这会导致操作系统受损、无法启动操作系统或安全防御能力降低。
此外,电子邮件恶作剧通常鼓励受害者将信息转发给所有联系人,以便“传播信息"。
恶作剧通常是在没有可验证来源的情况下实施欺骗的。
每当你遇到个潜在的恶作剧,或者只是担心一个声称的威胁是真实的,请进行探究。
2.3.13 假冒和伪装(impersonation & masquerading)
假冒是假冒他人身份的行为。这可以通过个人、电话、电子邮件、登录某人的账户或通过任何其他通信方式进行。
假冒也可被称为伪装、欺骗,甚至是身份欺诈。
在某些情况下,假冒被定义为更精细和复杂的攻击,而伪装则是业余的和更简单的。
这种区别就好像为派对租用猫王服装(即伪装)与成为职业猫王模仿者之间的区别。
针对物理位置假冒的防御措施包括:
使用通行证和安保人员,并要求在所有入口处出示和验证ID。
如果非公司人员要访问设施,应预先安排访问,并向安保人员提供合理且确认的通知,告知将有非公司员工访问。
访客所在的组织应提供详细的身份信息,包括带照片的身份证件。
当访客到达时,应将其身份与提供的凭证进行比较。在大多数安全的环境中,不允许访客随意行走。
相反,必须由护送人员全程陪伴访客在公司的安全范围内活动。
2.3.14 尾随和捎带(tailgating & piggybacking)
当一个未经授权的实体利用一个合法员工的授权,在该员工并不知情的情况下进入一个设施时,就发生了尾随行为。
这种攻击可能发生在这样的情况:
工作人员使用他们的有效凭证进行解锁并打开了一扇门,然后在门关闭的过程中走进了大楼,
这就使攻击者有机会阻止门关闭,并在受害者没有看到的情况下溜进去。
尾随是一种攻击行为,这种攻击并不需要获得受害者的同意,因为他们走进大楼时对身后发生的事情是毫不知情的。
针对尾随的防御措施:
每当用户解锁或打开一扇门时,他们都应该在离开前确保门是关闭着的。
这个措施本身就可消除尾随现象,不过它确实要求员工改变他们的行为。
还有一种社交性压力会要求你为走在你身后的人员开门,不过这种礼貌行为不应该延伸到安全入口,
即使你认为走在自己身后的人是你认识的。
公司策略应侧重于改变用户行为以提高安全性,但要意识到人性是难以违背的。
因此,应实施其他措施来进行尾随防护。
这可以包括:使用访问控制门厅(以前称为陷阱)、安全摄像头和保安人员。
安全摄像头不仅有预防的作用,还可起到威慑作用,不过,记录尾随事件的做法有助于追踪肇事者以及确定哪些员工需要更多安全培训。
安保人员可以监控入口,以确保只有获得了有效授权的人员能通过安全检查站。
一个类似于尾随的问题是捎带。
当未经授权的实体通过诱骗获得受害者的同意并在合法工作人员的授权下进入设施时,就发生了捎带。
当入侵者拿着一个大盒子或大量文件假装需要帮助并要求某人“撑住门”时,就会发生这种情况。
入侵者的目标是在攻击者获得访问权限时分散受害者的注意力,以防止受害者意识到攻击者没有提供自己的凭证。
这种策略取决于大多数人的善良本性,他们相信这个借口尤其是当攻击者看起来“穿着适宜”时。
当有人请求帮助打开安全门时,用户应要求其提供授权证明或替他们刷门禁卡。
或者,工作人员也可将人员引导到由保安控制的主要入口或叫保安处理这种情况。
此外,访问控制门厅、旋转门和安全摄像头的使用对于防止捎带也很有用。
这些控制措施减少了外部人员通过虚张声势的方式进入组织安全区域的机会。
2.3.15 垃圾箱搜寻(dumpster diving)
垃圾箱搜寻是通过挖掘垃圾、废弃设备或废弃地点来获取有关目标组织
或个人的信息的行为。典型的收集内容包括旧日历、通话洁单、手写的会议记录、废弃表格、
产品盒、用户手册、便利贴、打印的报告或打印机的测试表。几乎任何具有轻敞内部价值或
敏感性的东西都是可以通过垃圾箱搜寻发现的宝藏。通过垃圾箱搜寻收集的材料可用千制作
更可信的借口。
为了防止垃圾箱搜寻,或者至少降低其对攻击者的价值,所有文件在丢弃之前都应该被
切碎和/或焚烧。此外,任何存储介质都不应被丢弃在垃圾箱中,应使用安全的处置技术或服
务。安全的存储介质处理方式通常包括焚烧、切碎或碎裂。
2.3.16 身份欺诈(identity fraud)
身份欺诈和身份盗窃是经常互换使用的术语。
美国司法部(DoJ)表示“身份盗窃和身份欺诈指的是所有类型的以欺诈或欺骗的方式非法获取和使用他人的个人数据的犯罪,通常是为了获得经济利益”。
身份欺诈和身份盗窃既可以是社会工程攻击的目的(即窃取PII) ,也可以是用于促成社会工程攻击的工具。
身份盗窃是窃取某人身份的行为。
具体而言,可以指攻击者最开始进行的信息收集或诱骗行为,包括以盗窃或者以其他方式获取用户名、电子邮件、密码、秘密问题的答案、信用卡号、社会保险号、医疗保健服务号以及其他相关的和有关联的事件信息。
身份盗窃的第一个定义是实际盗窃某人的账户或财务状况的凭证和信息。
身份盗窃的第二个定义是那些被盗的凭证和详细信息被用来接管某人的账户。
这可能包括:
•在某一在线服务上登录其账户;
•对其信用卡、ATM 卡或借记卡进行虚假收费;
•对其支票账户开出虚假支票;
•使用受害者的社会安全号码以受害者的名义开设新的信用额度。
当攻击者窃取并使用受害者的凭证时,这被称为凭证劫持。
身份盗窃的第二个定义也与身份欺诈的定义非常相似。欺诈是指将虚假的东西称作真实的。
身份欺诈是指通过使用从受害者那里窃取的信息,虚假地声称自己是他人。
身份欺诈是为了个人或经济利益而进行的违法假冒或故意欺骗。
身份欺诈的例子包括:
•以他人的社会保险号码就业,
•以他人的名义开通电话服务或公用设施,
•使用他人的健康保险获得医疗服务。
可以将身份盗窃和身份欺诈看成一类欺骗形式。
欺骗指的是任何隐藏有效身份的行为,通常通过使用其他身份来实现。
除了以人为中心的欺骗(即身份欺诈)概念外,欺骗是黑客在技术上的常见策略。
黑客经常仿冒电子邮件地址、IP地址、媒体访问控制(MAC)地址、地址解析协议(ARP)通信、Wi-Fi 网络、网站、手机应用程序等。
本书的其他部分介绍了这些以及其他与欺骗相关的主题。
身份盗窃和身份欺诈也与假冒有关。假冒是以某人的身份出现的行为。
这可能是通过使用被盗的凭证登录其账户或在打电话时声称自己是其他人来实现的。
作为身份盗窃/欺诈的当前或未来的受害者,你应该采取行动减少自己的脆弱性,
增加发现此类攻击的机会,并提高对此类不公正行为的防御能力。
2.3.17 误植域名(typo squatting)
误植域名是一种在用户错误输入目标资源的域名或IP地址时捕获和重定向流量的做法。
这是一种社会工程攻击,它利用了一个人错误输入完全限定域名(FQDN)或地址的可能性。
恶意站点抢注者会预测URL拼写错误,然后注册这些域名以将流量引导到他们自己的站点。
这可以出于竞争或恶意目的而进行。
用于拼写错误的变体包括:
•常见的拼写错误(如googel.com) 、
•输入错误(如gooogle.com) 、
•名称或单词的变体(例如,复数形式,如googles.com)
•不同的顶级域名(TLD)(如google.edu) 。
URL劫持还可以指某种显示链接或广告的做法,这些链接或广告似乎指向知名产品、服务或网站,但在用户单击时会将用户重定向到备用位置、服务或产品。
这可以通过发布站点和页面并利用搜索引擎优化(SEO)使你的内容出现在搜索结果中更靠前的位置来实现,
或者通过使用广告软件将合法广告和链接替换为导向另一位置或恶意位置的广告和链接来实现。
点击劫持是一种将用户在网页上的点击或选择重定向到备用的、通常是恶意的目标(而不是计划和期望位置)的方法。
实现方法:
(1)有些技术会更改原始网页的代码,以使其包含某种脚本,该脚本在鼠标单击或选择发生时自动将有效URL替换为备用URL。
(2)在显示的页面上添加不可见或隐藏的覆盖、框架或图像映射。用户看到的是原始页面,但任何鼠标点击或选择都会被浮动框架捕获并重定向到恶意目标。
点击劫持可用于执行网络钓鱼攻击、劫持和路径攻击。
2.3.18 影响力运动(influence campaign)
影响力运动是试图引导、调整或改变公众舆论的社会工程攻击。
黑客可能会对个人或组织发起此类攻击,但大多数影响力活动似乎都是由民族国家针对其真正的或其所认为的外部敌人发起的。
影响力运动与散布虚假信息、鼓动、错误信息、"假新闻”,甚至与Doxing活动有关。
误导性、不完整、精心编制与修改过的信息可作为影响力运动的一部分,以调整读者和观众对影响者的概念、思想和意识形态的看法。
几个世纪以来,入侵者一直在使用这些策略,让民众反对自己的政府。
在当前的数字信息时代,影响力运动比以往任何时候都更容易发起,而且一些犯罪者就是本国的。
现代的影响力运动不需要依赖印刷品的分发,而是可以通过数字方式将宣传信息直接传递给目标对象。
Doxing是指收集有关个人或组织(也可以包括政府和军队)的信息,以便公开披露收集的数据,以指向对目标的感知。
Doxing可能包括隐满与攻击者的意图相矛盾的信息。Doxing可以伪造或更改信息,从而对目标进行虚假指控。
不幸的是,Doxing已经成为针对个人和组织的有效工具,被黑客、黑客活动分子、记者和政府等使用。
1. 混合战争(hybrid warfare)
各国不再使用传统的动能武器来限制对真正的或假想的敌人的攻击。
现在,他们将传统的军事战略与现代能力相结合,包括社会工程、数字影响力运动、心理战、政治战术和网络战争能力。
这就是所谓的混合战争。一些实体使用非线性战争来指代这个概念。
务必认识到,当国家感觉受到威胁或决定首先发动攻击时,他们将使用一切可用的工具或武器。
相比于过去的战争,如今,混合作战战术的使用使得每个人都面临着更大的风险。
现在,有了网络战争和影响力运动,每个人都可能成为目标并可能受到伤害。
请记住,在混合战争中,伤害不仅仅是身体上的,它还可能损害声誉、财务、数字基础设施和人际关系。
2. 社交媒体(social media)
社交媒体已经成为民族国家手中的一件武器,因为他们对目标发动混合战争。
在过去的十年中,我们已经看到一些国家,包括我们自己的国家,参与了基于社交媒体的影响力运动。
你应该意识到,你不能简单地假设你在社交网络上看到的内容是准确、有效或完整的。
即使该内容被你的朋友引用,被主流媒体引用,看起来也与你自己的期望一致,
你还是不得不对通过你的数字通信设备到达你身边的一切事物持怀疑态度。
国内外对手对社交媒体的使用和滥用将社会工程攻击概念带到了一个全新的水平。
当执行不属于其岗位职责的工作任务时,员工很容易通过与社交媒体互动来浪费时间和系统资源。
公司可接受的使用策略(AUP)应表明员工在工作时需要专注于工作,而不是把时间花费在个人或与工作无关的任务上。
通过社交媒体,员工可以有意或无意地将内部、机密、专有或PII数据分发给外部人员。
这可以通过输入消息或在参与聊天时透露机密信息来完成,也可通过分发或发布敏感文档来实现。
对社交媒体问题的应对措施包括:在防火墙中添加IP 地址块和域名系统(DNS)查询的解析过滤器来阻止人员对社交媒体网站的访问。
违规者应受到谴责,甚至被解雇。
2.4 建立和维护安全意识、教育和培训计划
为成功实施安全解决力案,必须改变用户行为。
这些改变主要包括:改变常规工作活动以遵从安全策略中规定的标准、指南和程序。
行为修正涉及用户方所完成的一定层次的学习。
为开发和管理安全意识培养、教育和培训,所有相关项目的知识传递都必须明确标识,并制订展示、公开、协同和实施程序。
2.4.1 安全意识
实施安全培训的一个前提条件是建立安全意识。
建立安全意识的目标是让用户将安全放到首位并认可这一点。
安全意识在整个组织中建立了通用的安全认知基线或基础,并聚焦于所有员工都必须理解的与安全相关的关键或基本的内容和问题。
安全意识的培养不仅可以通过课堂上的教学演示来进行,也可通过工作环境中的提示信息(比如海报、新闻通讯文章和屏幕保护程序等)来进行。
安全意识建立了对安全认知的最小化的通用标准或基础。
所有人员都应充分认识到自身的安全责任和义务。
他们通过接受培训,知道该做什么和不该做什么。
用户必须了解的安全意识问题包括:规避浪费、欺诈和未经授权的活动。
组织的所有成员,从高级管理人员到临时的实习生,都需要构建同样的安全意识水平。
组织中的安全意识程序应该与它的安全策略、事故处理计划、业务连续性和灾难恢复程序相关联。
为确保其有效性,安全意识建立程序必须及时、有创造性且经常更新。
安全意识程序还应理解企业文化如何影响员工及整个组织的安全。
如果员工没有看到C-级管理人员执行安全策略和标准,特别是在安全意识层面,那么他们可能会觉得自己没有义务遵守这些策略和标准。
2.4.2 培训
培训是指教导员工执行他们的工作任务和遵守安全策略。
培训通常由组织主办,面向具有类似岗位职能的员工群体。
所有新员工都需要某种程度的培训,这样他们才会遵守安全策略中规定的所有标准、指南和程序。
培训是一项需要持续进行的活动,每个员工在任职期间都必须持续接受培训。培训是一种管理性安全控制。
随着时间的推移,开展安全意识和培训的方法和技术都应得到修订和改进以便最大限度地提高收益。
这就需要对培训指标进行收集与评估。
改进后的安全意识和培训计划可能包括学习后的测试,也包括监控工作一致性的改进,以及停机时间、安全事件或错误的降低。
这可以被视为一种程序有效性评估。
安全意识和培训通常由内部提供,这意味着这些教学工具都在组织内创建和部署。
然而,下一个知识传播层次通常是从外部第三方获得的。
2.4.3 教育
教育是一项更详细的上作,学生/用户学习的内容比他们完成其工作任务实际需要知道的内容多得多。
教育最常与寻求资质认证或工作晋升的用户相关联。个人在应聘安全专家时常遇到的要求之一就是教育经历。
安全专业人员需要掌握大量的安全知识并对整个组织的本地环境有广泛的了解,而不局限千了解他们的具体工作任务。
2.4.4 改进
以下是提高安全意识和培训的技巧。
•改变培训的目标重点。有时关注个人,有时关注客户,有时关注组织。
•改变培训主题顺序或重点。可将某次培训聚焦于社会工程,然后将下一次培训聚佳在移动设备安全,还可将之后的培训聚焦在家居和旅行安全。
•使用多种演示方法,如现场介绍、预先录制的视频、计算机软件/模拟软件、虚拟现实(VR)体验、非现场培训、互动式网站,或指定阅读准备好的课件或现成的书籍。
•通过角色扮演的方式,让参与者扮演攻击者和防御者,并且允许不同的人提供与攻击的防御或应对相关的想法。
发展和鼓励安全带头人。这些人在项目中,如在开发、领导或培训等中,发挥带头作用,
通过同级领导、行为示范和社会鼓励来启动、支持和鼓励安全知识的采用和实践。
安全带头人通常是团队中的一员,他决定(或被指派)负责将安全概念运用和集成到团队的工作活动中。
安全带头人通常是非安全人员,他们负责鼓励他人支持和采用更多的安全实践和行为。
软件开发中经常出现安全带头人,不过安全带头人这个概念在任意部门的任何一组员工中都能发挥作用。
通常可以通过游戏化的方式来提升安令意识和改进培训。
游戏化是一种通过将游戏的常见元素融入其他活动,例如安全合规和行为改变,来鼓励合规性和参与度的方法。
这可以包括奖励合规行为和潜在地惩罚违规行为。
游戏玩法的许多方面(源自纸牌游戏、棋盘游戏、运动、视频游戏等)都可以融入安全培训中并被采用,
例如得分、获得成绩或徽章、与他人竞争/合作、遵循一套通用/标准规则、有明确的目标、寻求奖励、开发团队故事/经验、避免陷阱或负面游戏事件。
运用得当的游戏动态可以提高员工对培训的参与度,增加课程的组织应用,
扩充员工对概念应用的理解,使工作流程更高效,整合更多的团体活动(如众筹和头脑风暴),增强知识记忆,并减少员工的冷漠情绪。
除了游戏化的方式之外,改进安全培训的方法还包括夺旗演习、模拟网络钓鱼、基于计算机的培训(CBT)和基于角色的培训等。
2.4.5 有效性评估
必须对所有培训材料进行定期的内容审查,这很重要。
审查有助于确保培训材料和演示文稿与业务目标、组织使命和安全目标保持一致。
这种对培训材料的定期评估还提供了调整重点、添加/删除主题以及将新的培训技术集成到课件中的机会。
此外,应该采用大胆而巧妙的新方法和技巧来展现安全意识和培训,以保持内容的新鲜感和相关性。
如果不能定期检查内容的相关性,材料就会过时,员工则可能倾向于自己制订的指南和程序。
安全治理团队的责任是建立安全策略,并为进一步实施这些策略提供培训和教育。
处理人员问题的解决方案应包括:验证所有人员是否参加了关于标准的基础性安全行为和要求的安全意识培训,
评估用户的访问和活动日志,并判定违规行为是故意的、被迫的、意外的,还是出于无知的。
当用户破坏规则时,就意味着违反了策略。
用户必须接受有关组织策略的培训,并了解他们在遵守这些安全规则方面的具体责任。
如果发生违反规定的行为,应进行内部调查,查明其是意外事故还是故意事件。
如果事故是意外发生的,应培训员工如何在未来避免此类事故,并可能需要实施新的控制措施。
如果事故是故意引发的,则事件的严重性可能决定了一系列控制措施,包括重新培训、调任和解雇。
违反策略的一个实例是,通过社交网络将公司内部备忘录发送给外部实体。
根据备忘录的内容,这个操作可能是轻微违规(例如,根据员工的说法,之所以会对外发布备忘录,是因为其内容幽默或者没有实际意义)或重大问题(例如发布备忘录以披露公司机密信息或与客户有关的私人信息)。
违反公司策略的行为并不总是源于事故或员工的疏忽,也不总是故意的恶意选择。
事实上,许多对公司安全的内部破坏是由恶意的第三方蓄意操纵的结果。
应该持续进行或者在可持续的基础上开展培训和安全意识计划有效性评估。
不要仅仅因为员工被登记为参加过或完成了培训活动,就想当然地认为他们真的学到了什么,或者将改变他们的行为。
应该使用一些验证手段来判断培训是有效益的还是在浪费时间和资源。
在有些情况下,可以在培训课程结束后立即对员工进行测验或测试。
应在三到六个月后再进行一次后续测试,以检查他们是否记住了培训中所提到的信息。
应审查事件和事件日志,了解由员工行为和习惯导致的安全违规发生率,以查看培训演示前后事件的发生率或趋势是否有任何明显差异。
有效的培训(和可教化的员工)将通过用户行为的显著变化(特别是安全违规事件的减少)得到证实。
如果员工在几个月后的安全测验中获得高分,则表明其记住了安全概念。
这些评估过程的组合可以帮助确定培训或安全意识计划是否有效,并降低安全事件发生率以及相关的响应和管理成本。
一个设计良好、引人入胜且成功的安全培训计划应该可以显著降低与员工相关的安全事件管理成本,并有望获得远超培训计划本身成本的收益。
因此,这将是一个良好的安全投资回报(ROSI) 。