使用 OCTAVE 进行网络安全威胁建模
介绍
假设您的工作是领导一个任务小组,确保一家拥有 300 多名员工的企业的网络安全。您的企业是一个多层次的组织,拥有自己的计算基础设施,能够运行和评估漏洞评估。您应该从哪里开始?下一步该做什么?您如何确保没有遗漏任何风险?
对于如此艰巨的任务,必须采用系统且久经考验的方法。OCTAVE (运营关键威胁、资产和漏洞评估)提供的正是这种方法 — 它是一个全面且记录良好的正式风险评估框架,可让您全面、系统地评估并解决组织的 IT 风险。
OCTAVE 的背景
OCTAVE 是一种灵活的方法,允许由运营和 IT 人员组成的小团队共同努力解决组织的安全需求。其核心是帮助团队以有组织、系统的方式从员工那里获取知识,以确定当前的安全状态、关键资产的风险并制定安全策略。OCTAVE 于 2001 年由卡内基梅隆大学 (CMU) 为美国国防部开发,因此二十年来已被证明是行之有效的。
如果标准 OCTAVE 不适合你的情况,那么了解一下 OCTAVE 的几个变体会对你有所帮助。OCTAVE -S针对的是分析由对组织有广泛了解的团队执行的情况,因此假定不需要知识获取研讨会。OCTAVE Allegro旨在更加精简,甚至适合由没有广泛组织参与的个人管理。请注意,尽管从时间上看 Allegro 是在 S 之后出现的,而 S 是在原始 OCTAVE 之后出现的,但它们都无法取代其他方法。每种方法都有自己的优点和适用情况。事实上,在某些情况下,混合方法最为合适。
注:最近,OCTAVE Forte发布了,其目的是为了更加适应和强大。您可以在此处了解更多信息。
实现 OCTAVE
在本指南中,您将找到有关如何使用 OCTAVE 的高级概述。真正深入研究如何实现 OCTAVE 的细节需要几卷书和数百页。您可以在CMU 网页上的OCTAVE 相关资产下找到这些指南:
有关中级详细程度,请参阅 Pluralsight 课程使用 OCTAVE 方法执行威胁建模。
实施 OCTAVE 方法包括三个阶段。
第 1 阶段:构建基于资产的威胁概况。在此阶段,分析团队确定哪些信息相关资产对组织很重要,以及目前如何保护这些资产。此阶段有四个流程。它们是:
流程 1:识别企业知识(例如,创建和分发资产调查问卷,从高层管理人员收集知识)
流程 2:识别运营领域知识(例如,创建和分发资产调查问卷,从运营领域管理中收集知识)
流程 3:识别员工知识(例如,创建和分发资产调查问卷,收集员工的知识)
流程 4:建立安全要求(例如,结合流程 1-3 中的不同观点来创建资产和威胁的综合图景)
第一阶段完成后,您的团队将拥有一份经过充分研究的安全需求列表。
第二阶段:识别基础设施漏洞。此阶段的目标是识别重要的基础设施漏洞以及制定解决这些漏洞的政策和实践。
过程5:将高优先级信息资产映射到信息基础设施(例如,确定组织信息基础设施的配置,检查数据流和所有访问路径)
流程 6:执行基础设施漏洞评估(例如,选择入侵场景并检查基础设施)
阶段 3:制定安全策略和计划。在此阶段,您将创建一个按优先级排序的风险列表,然后将其转化为总体安全风险管理策略,并持续使用。
流程7:进行多维风险分析(例如,确定潜在入侵场景中的脆弱点,检查已验证的入侵场景所暴露的资产)
流程 8:制定保护策略(例如,确定候选缓解方法,制定全面的计划来管理安全风险)
结论
完成上述阶段后,您将拥有一个全面的安全风险管理计划,可定期和持续使用。要了解有关 OCTAVE 的更多信息,请参加 Pluralsight 课程使用 OCTAVE 方法执行威胁建模。
免责声明:本内容来源于第三方作者授权、网友推荐或互联网整理,旨在为广大用户提供学习与参考之用。所有文本和图片版权归原创网站或作者本人所有,其观点并不代表本站立场。如有任何版权侵犯或转载不当之情况,请与我们取得联系,我们将尽快进行相关处理与修改。感谢您的理解与支持!
请先 登录后发表评论 ~