终端安全威胁识别：构建场景进行风险分析

2023-11-23 理论教育版权反馈

【摘要】：识别终端安全威胁的主要目的是构建终端安全威胁场景，进行更为有效的风险分析。威胁识别活动中需要识别实际威胁和潜在威胁。终端安全管理对象使用中存在关联关系，因此，在构建威胁场景时要全面考虑。表5-5 信息扩散安全威胁场景分析示意表（续）识别出终端威胁后，需要通过判断威胁出现的频率，对于威胁的影响程度进行评估，进而为相关风险定级提供参考。

终端安全威胁识别主要是识别对被评估组织终端资产直接或间接构成破坏可能性的因素。威胁是构成信息安全风险不可缺少的要素之一，当终端资产存在脆弱性且相应的安全控制措施缺失或薄弱的条件下，威胁因素通过某种途径作用在特定的终端资产上，破坏其一个或多个安全特定，产生安全事件。

识别终端安全威胁的主要目的是构建终端安全威胁场景，进行更为有效的风险分析。

威胁识别活动中需要识别实际威胁和潜在威胁。

实际威胁：指的是被评估组织近期内曾经实际发生过的威胁。

潜在威胁：指的是根据当前总体威胁态势可识别的被评估组织潜在的威胁。

威胁场景的实质是为每个关键资产或关键资产类别与其所面临的实际和潜在的威胁建立对应关系，这样做的好处是排除那些不可能存在的“关键资产-威胁”对，避免在风险识别过程中浪费时间和人力。

在威胁场景中不仅建立起了关键资产与其面临威胁之间的对应关系，还明确了威胁来源、途径和结果，有利于后续风险分析阶段中结合脆弱性和已有的安全控制措施进行影响和可能性分析。

为进行有效的风险分析，威胁场景构建过程中需遵循全场景、全过程和全方位原则，即：

1）全场景从业务的视角，分别用关键资产，威胁，包括主体、途径、方位、行为、结果，来构建一个围绕关键资产或关键资产类的全面的威胁场景。

2）全过程涉及终端资产使用全生命周期，包括入网阶段、运行阶段、维修阶段、报废阶段。

3）全方位不仅考虑内部环境，还要考虑外部环境和移动计算环境；不仅考虑到技术因素，还要考虑到管理的因素。

终端资产可以分为终端资产、带有移动介质的终端资产和终端信息资产三大类，以下将分别为三大关键资产类构建威胁场景。

【场景1】针对带有移动介质的终端的威胁场景。

终端安全管理对象使用中存在关联关系，因此，在构建威胁场景时要全面考虑。本场景重点分析了带有移动介质使用过程的终端所面临的威胁（图5-3）。

移动介质在终端使用过程中，需要面对以下的威胁，但不限于这些威胁。

（1）移动存储介质（注册）可以从文件保险箱中操作文件

1）注册过的移动存储介质是可以直接访问受保护的文件，该过程属于重要文件可能离网的合法方式之一。

2）移动存储介质不区分使用权限，可能存在信息扩散。

图5-3 带有移动介质的终端的威胁场景

（2）文件保险箱限制非授权用户访问

√ 文件保险箱中的文件一经放入就会受到严格限制，不可以自主公开，需要采用相关流程申请，经过审批之后才能提供给非授权用户

√ 文件保险箱中的文件与用户身份相关，非信息拥有者不可以查看

√ 重要文件没有放入文件保险箱可能存在非授权用户的操作和外泄

（3）授权用户从文件服务器获取共享的授权文件

√ 授权用户通过服务器共享授权文件只能在文件保险箱中打开

（4）移动存储介质（非注册）在Agent上进行操作

√ 非注册的移动存储介质在Agent操作可能带来信息外泄

√ 非注册的移动存储介质在Agent操作可能带来病毒/木马

√ 非注册的移动存储介质在Agent操作可能带来文件的非法摆渡

（5）信息非授权用户在Agent上的文件操作受到限制

√ 信息非授权用户不可以查看文件保险箱中非授权的内容

√ 信息非授权用户可能查看和操作终端上没有放入文件保险箱中的文件

√ 信息非授权用户可能通过其他方式操作和传递终端本地文件

针对带有移动介质的终端的威胁场景分析见表5-3。

表5-3 针对带有移动介质的终端的威胁场景分析示意表

【场景2】业务专网中的终端安全威胁场景分析（重点从终端的使用环境角度进行分析）。

终端处在不同的应用环境中所面临的安全威胁有所不同，以下基于终端在业务专网中的使用进行威胁分析（图5-4）。

图5-4 业务专网中终端的威胁场景

业务专网正常使用过程中，可能存在（但是不限于）以下内容的威胁：

（1）资产合法性威胁

√ 资产是否符合登记信息的内容

√ 资产是否配属登记信息关联的人员

（2）资产合规性威胁

√ 资产是否安装了规定的软件

√ 资产是否安装了规定的防病毒工具

√ 资产是否满足网络安全对于操作系统的要求

√ 资产是否升级了防病毒工具的病毒库

（3）终端行为违规

√ 终端使用者是否操作了未经授权的文件(www.chuimin.cn)

√ 终端是否同时连通内外网

√ 终端使用者是否运行了对终端或者网络有不良影响的进程

√ 终端使用者是否开启了对终端或者网络有不良影响的端口

√ 终端使用者是否访问了受限的网络

√ 终端使用者是否连接了可能对终端或者网络有不良影响的外设

√ 终端使用者是否设置了本地共享

√ 终端使用者是否访问远程共享

√ 终端使用者是否占用了过多的网络流量

√ 终端使用者是否执行了拨号操作

√ 终端使用者是否占用了过多的系统资源

√ 终端使用者是否使用了非授权的网络资源

（4）操作系统漏洞威胁

√ 操作系统面对补丁升级不完整威胁

√ 操作系统面对漏洞不解决威胁

√ 操作系统面对口令不及时修改威胁

√ 操作系统面对口令复杂度不足威胁

√ 操作系统面对用户账号变更威胁

√ 操作系统面对用户权限变更威胁

√ 操作系统面对使用者暂时离开他人使用的威胁

针对业务专网中的终端安全威胁场景分析见表5-4。

表5-4 针对业务专网中的终端安全威胁场景分析示意表

（续）

【场景3】信息扩散安全威胁场景分析。

信息扩散和泄密场景（图5-5）中，包含（但是不限于）以下的威胁：

√ 信息非授权用户非法访问重要信息

√ 重要信息非法修改威胁

√ 重要信息非法传递威胁

√ 重要信息违规访问威胁

√ 重要信息违规修改威胁

√ 重要信息违规传递威胁

√ 重要信息违规打印威胁

√ 重要信息违规外网发布威胁

信息的来源包括终端自己产生的信息和外部进入的信息（如从主管机关复制带入的信息）。

信息分为涉密信息、工作秘密信息、内部非公开信息和内部公开信息4类。其中涉密信息属于国家及各级保密机构管理范围，内部非公开信息和内部公开信息不是管理重点，工作秘密信息是信息防扩散管理的重点。

图5-5 信息扩散的威胁场景

场景分析要覆盖信息自身生命周期。

信息扩散安全威胁场景分析见表5-5。

表5-5 信息扩散安全威胁场景分析示意表

（续）

识别出终端威胁后，需要通过判断威胁出现的频率，对于威胁的影响程度进行评估，进而为相关风险定级提供参考。这个过程通常是根据经验和（或）有关的统计数据来进行判断。一般需要综合考虑以下3个方面，以形成在某种评估环境中各种威胁出现的频率：

1）以往安全事件报告中出现过的威胁及其频率的统计。

2）实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计。

3）近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。

可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。

识别终端威胁所采用的工具和方法主要是人工访谈和工具这两种。人工访谈主要需要记录单，威胁识别工具通常采用安全审计工具、终端安全防护系统、漏洞扫描。

终端安全威胁识别：构建场景进行风险分析

相关推荐