套用安全性風險管理法則

Overview

發佈日期: 2004 年 10 月 15 日 | 更新日期: 2006 年 3 月 15 日


本頁內容

本單元內容
目標
適用於
如何使用本單元
簡介
案例概述
識別安全性風險
安全性風險之分析與優先處理
總結
其他資訊

本單元內容

本單元提供可行的範例,示範如何使用「安全性風險管理法則 (SRMD)」 來分析及識別安全性風險。本指引中的單元<瞭解安全性風險管理法則>內詳細說明 SRMD,SRMD 經證明是用來識別及處理組織中潛在安全性問題的有效方法。本單元的範例採用稱為 Contoso Inc 的組織,它是一家市調公司,擁有兩個主要據點及數千名員工。單元中識別並依優先順序排列了這個組織所面臨的潛在性安全性問題。

目標

透過此單元即可:

  • 識別資訊技術、安全性的潛在威脅及其類似的可能性。

  • 識別資產的價值,包括這些資產在受損或破壞後的間接價值。

  • 使用 SRMD 識別及依優先順序排列組織內的潛在安全性問題。


適用於

本單元適用於下列產品及技術

  • 所有 IT 基礎結構


如何使用本單元

本單元提供指引,以協助您說明及套用<瞭解安全性風險管理法則>單元中的資訊。請閱讀本單元,以獲得如何在一般組織中使用 SRMD 的概觀。

若要充分瞭解本單元:


簡介

「安全性風險管理法則 (SRMD)」是詳細的程序,對於判斷哪些威脅及弱點對特定組織最具潛在的影響幫助很大。由於每家公司都有不同的商業需求,因此要建立對各種環境會造成相同影響的一份弱點清單是不可能的。

在<瞭解安全性風險管理法則>單元中詳細討論了關於這一點的程序。本單元會將這個程序套用到一般客戶。為了替這個應用範例提供適當的背景,將提供一些關於目標環境的深入細節。本單元總結時,所提出的特定風險均會經過完整地定義、說明及分析。

案例概述

解決方案是以一家稱為 Contoso Ltd. 的市調公司為中心。Contoso 有兩處辦公室:總公司位於喬治亞州的亞特蘭大,第二個辦公室位於麻州的波士頓。Contoso 是相當大型的企業,擁有數千名使用電腦資源的員工。Contoso 報告去年的營收達八億 二千九百萬美元。

該公司的基礎結構已完全升級到 Microsoft® Windows® 2000 Server 作業系統,但其用戶端調配情形仍維持在混合狀態。公司目前混合使用 Microsoft Windows 98 SR2、Microsoft Windows NT® Workstation 4.0 版、Windows 2000以及 Windows XP。

系統管理模型

Contoso 將公司的系統管理群組區分成幾個專門負責特定技術的部門。其中一個系統管理員群組會監督所有涉及網域的管理,包括網域控制站的管理。另外有第二個群組會管理公司的基礎結構服務,例如:「Windows 網際網路名稱服務 (WINS)」、「動態主機設定通訊協定 (DHCP)」和「網域名稱系統 (DNS)」,以及組織中的檔案及列印伺服器。

此外,有一個 Web 服務群組會處理環境中所有 Internet Information Services (IIS) 伺服器的管理。IIS 是使用「超文字傳輸通訊協定 (HTTP)」及「檔案傳輸通訊協定(FTP)」的 Microsoft 網頁伺服器軟體。下表詳述了系統管理員群組。

[表 1]:Contoso 系統管理員群組

群組名稱

責任

網域工程

網域管理
網域控制站管理
DNS

操作

WINS
DHCP
檔案服務
列印服務

Web 服務

IIS 管理

基礎結構配置

網路設計

Contoso 有兩個以 T1 線路相連的資料中心。每個辦公室都有一部份的工程及操作人員提供網路基礎結構服務。所有網頁伺服器均位於亞特蘭大的主要資料中心。

每一個地點都設有每秒 100 MB (Mbps) 的連線連到所有伺服器,以及 1O Mbps 的連線連到所有用戶端工作站。伺服器分散在其所屬的子網路上。用戶端電腦則在不同的子網路上。所有電腦都能透過亞特蘭大的連線存取網際網路。

Active Directory 設計

Contoso 已部署單一 Windows 2000 Server 樹系,加上一個空的根目錄及單一子網域。空的根網域是個不同的網域,只包含其網域內各個網域控制站的電腦帳戶及預設的使用者帳戶。

如果想要有多個子網域,平均分配在各地區之間,且由一個中央群組管理的話,則可建立空的根網域。空的根網域不會提供任何額外的安全性,但可以藉由分隔「企業系統管理員」與區域網域系統管理員,以防止無心的錯誤影響到整個樹系。Contoso 建立了空的根目錄,因為它寄望未來可能會到其他國家設立分公司。

下圖顯示高階網域的圖解。

Contoso, Ltd. 的 Active Directory 設計

[圖 1]
Contoso, Ltd. 的 Active Directory 設計

Contoso 也將它的網路分成兩個 Microsoft Active Directory® 目錄服務網站 — 亞特蘭大及波士頓。具彈性的「單一主機操作 (FSMO)」 角色由這兩個網站均分。

每個網站都有一些正在執行與 DNS、DHCP 及檔案和列印伺服器相整合的 Active Directory 的網域控制站。亞特蘭大掌控整個組織的 WINS 伺服器。組織中執行 IIS 的伺服器電腦大多位於亞特蘭大,但有些較小部門的網頁伺服器則位於波士頓。

Contoso 目前正在升級其內部網路。該公司正遷移到切換型的網路拓蹼,但在公司的一些建築內仍有許多電腦是以集線器連接。

Contoso Ltd. 的服務配置

[圖 2]
Contoso Ltd. 的服務配置


上圖顯示 Contoso 內以伺服器為主服務分佈的情形,但沒有精確地呈現組織內的伺服器總數。

商業需求

如同前面所提到的,Contoso 是一家市調公司。市場調查是專注在規劃及控制涉及引導商品及服務從製造者流向客戶的活動總數,以符合特定市場需求的產業,這些活動包括產品包裝、定價、促銷及實體配送。

為了瞭解市場有哪些需求,市調人員必須儘可能地瞭解他們的客戶。為了協助達到這個目的,Contoso 提供市調人員有關其目標市場的詳細資訊。

Contoso 大部份的行銷資訊都儲存在組織內的 IIS 伺服器中。Contoso 的市調人員在為客戶收集詳細資訊時,會使用內部市調網頁伺服器。其中有些資訊也放在檔案共用上,但是在這些檔案共用上的資訊只是可自內部網路伺服器上取得的資訊子集。

Contoso 想要確保它的內部資料是安全的,而且能一直保持安全。市場調查是競爭激烈的行業,該公司的研究資料是其優於同業的主要競爭優勢。有鑑於此,保持公司市調資料的高度安全是組織的首要工作。

為了處理 Contoso 外部連線能力與其周邊網路的安全性,Contoso 已著手進行另一項專案。這些考量不在本專案的範圍內。

識別安全性風險

任何安全性專案的第一步都是定義需要解決的安全性風險。安全性風險是以下項目的組合:資產、會影響這些資產的威脅,以及可以用某種方式加以利用的資產弱點。用房子來比喻這些關係類型很恰當。

房子就是資產。它有價值而且應該受到保護。小偷是房子的威脅者,因為他可能損壞房子或偷東西。房子的窗戶是必要的功能;但是任何一扇打開的窗戶都變成了弱點,因為小偷可以利用這個弱點進入房子。這個簡單的範例顯示出威脅者可能利用弱點接近資產。

要徹底保護組織中電腦環境的第一步,是要識別環境中的資產、可能影響環境的威脅,以及識別到的資產有哪些弱點。在組織中遵循這個程序,有助於建立可充足分析及排列優先順序的一組安全性風險。

識別資產

資產可以包括各種項目。本單元僅討論電腦資產子集。識別這些資產在某些組織內可以很容易,但在其他倚賴採購程序且正在使用資產追蹤機制的組織內則非常困難。

比起瞭解在組織內部署的伺服器總數更重要的是,瞭解這些伺服器所提供的功能。例如:Contoso 是一家市調公司,它使用網頁伺服器讓員工存取市場資料。公司判定這些電腦對公司而言比列印伺服器更重要。但是,Contoso 也判定在其環境中,不同的網頁伺服器對整個組織會有不同程度的重要性。

此外,資產不僅僅是實體上的硬體。在電腦環境中,應該評估的潛在資產還包括服務,例如由 DNS 伺服器提供的名稱服務。資產也應包括使用者帳戶,例如服務帳戶或管理者帳戶。

排列資產的優先順序

雖然識別資產是一種性質上的程序,但是當您在判定每一台伺服器或伺服器群組的潛在價值時,應牢記組織業務目標的整體利益。如此一來,就可以替每一台伺服器或伺服器群組定義出資產優先順序 (AP)。在這個程序中要考慮的主要因素包括:

  • 資產在財務上的價值。

  • 建置資產的成本。

  • 保護資產的成本。

  • 資產之於競爭力的價值。

  • 修復資產的成本。

使用相同的基準對組織內所有資產進行等級分類是有困難的。有鑑於此,將它們細分為相似的技術之後再分等級可能比較可行。利用這種方式來處理,能更容易地比較出組織中使用相同基準的不同資產所具有的相對價值。

建立資產值

在識別資產時,另一項極為重要的工作就是判定每一個資源的「資產值」(Asset Value,AV)。AV 就是資產的貨幣值。在判定「資產值」時,有項重要的工作是記錄項目的數量,包括位於這些資產上所有資料的實際價值及商業價值。

實際價值很容易就可以算出。這個數量產生自下列成本:

  • 硬體成本

  • 軟體成本

  • 支援成本

  • 更換成本

包含在這些資產上的資料其商業價值可能難以用數字表示。資料的價值可以基於資料對公司整體財務目標的貢獻,或基於資料對外部人員或組織的價值而定。這個價值一般說來很具爭議性,但應該能夠提供遺失資料與類似資產上的資料相較下,所造成的相對影響。資料的價值通常遠遠超過硬體本身的價值。

資產的間接價值可能是最難量化的。這個數字應該是公司面對負面報導、法律訴訟,或者由於這項資產的遺失或危害而導致營運損失等所能承受的損失值。此外,這個值也包括因資產遺失而導致損失後,公司進行更換或修復所需的成本。

最後,應評估資料對外部組織的價值。就像間接商業價值一樣,這項價值也難以計算。這個數字應該反映出外部單位,願意對資產上包含實際資料所願支付的貨幣價值。

資產值是貨幣值,可用於計算資產的損失期望值。計算資產值時,應加總資產的實際值、資產提供的直接商業價值、資產提供的間接商業價值,以及資產對外部組織的價值。

如同前面所提到的,這個數字很難加以決定。伺服器的實際價值只是電腦總值的一部份。資產帶給組織的真正價值是透過資產的功能或它所包含的資料所提供。

Contoso 的資產清單

在安全性風險分析程序中,需要識別及分級組織的資產,以便對整體安全性風險陳述提供意見,並作為一種方法以計算資產對組織的相對價值。安全性風險分析程序提供一個方法,可識別風險及評估可能導致需要調整安全防護措施的可能損失。

Contoso 已識別出多個資產群組,那些都是它想在專案的第一個階段中處理的資產 — 其中一個是 Windows 2000 基礎結構。此群組中包括網域控制站、檔案及列印伺服器、IIS 伺服器及基礎結構伺服器。Contoso 又進一步定義了基礎結構伺服器,細分為 DNS、DHCP 及 WINS 服務。

這些伺服器均已依照上列準則分等。在這個程序中,「網域工程」、「操作」、「Web 服務」及擴充安全性小組為每一個伺服器群組決定初整體的資產優先順序 (AP) 等級。為了做這樣的處理,小組依下列 1 到 10 的基準定出等級,將這個基準指定給那些對公司很重要的資產:

  • 1 — 伺服器提供基本功能,但對公司沒有財務上的影響。

  • 3 — 伺服器儲存重要資訊,但資料可以快速及容易地復原。

  • 5 — 伺服器包含重要資料,但需要一些時間才能復原。

  • 8 — 伺服器包含對公司營業目標重要的資訊。遺失這項設備會對所有使用者的產能造成很大的影響。

  • 10 — 伺服器對公司營業影響很大。遺失這項設備會導致喪失競爭優勢。

下表顯示套用到部份 Contoso 資產的資產優先順序等級。這不是一份完整的資產清單,但它是在 Contoso 環境中進行整體分級的範例。

[表 2]:Contoso 資產優先順序

伺服器分類

資產優先順序 (AP)

根網域控制站

8

企業系統管理員帳戶

10

子網域控制站

8

北美網域系統管理員帳戶

10

北美網域使用者帳戶

5

根 DNS 服務

4

子 DNS 服務

5

WINS 伺服器

3

DHCP 伺服器

1

檔案及列印伺服器

8

研究 IIS 伺服器

10

部門 IIS 伺服器

6

人力資源 IIS 伺服器

7


此外,還針對下表中的每一台伺服器進行了資產評估。

在本解決方案附隨的 Excel 活頁簿 "JA0401.xls" 中可以檢視這些值的更多細目。

[表 3]:Contoso 資產評估 (以美元計)

伺服器分類

實際價值

額外價值

資產值 (AV)

單一根網域控制站

$18,000

$10,000

$28,000

企業系統管理員帳戶

$0

$829,000,000

$829,000,000

單一子網域控制站

$18,000

$50,000

$68,000

北美網域系統管理員帳戶

$0

$829,000,000

$829,000,000

北美網域使用者帳戶

$0

$1,000

$1,000

根 DNS 服務

$18,000

$30,000

$48,000

子 DNS 服務

$18,000

$30,000

$48,000

WINS 伺服器

$18,000

$0

$18,000

DHCP 伺服器

$18,000

$0

$18,000

檔案及列印伺服器

$40,000

$480,000

$520,000

研究 IIS 伺服器

$46,000

$550,000

$596,000

部門 IIS 伺服器

$32,000

$50,000

$82,000

人力資源 IIS 伺服器

$32,000

$300,000

$332,000

瞭解資產優先順序及資產值

公司資產可以用許多不同的方式加以分級。本節詳述用於決定 Contoso 資產等級的準則。下列資訊說明在這個特定的案例中所做的決定。您的案例可能有所不同,且根據商業需要及基本條件可能會算出不同的值。這些值完全是想像的,提供這些值的目的在於呈現 Contoso 獨特環境中所執行之程序的概觀。

根網域控制站

根網域控制站是基礎結構的重要部份,但是它們包含的資料大多很容易就可以重建。Contoso 在它的根網域中有數個網域控制站,做為它所提供服務的備援。它們對公司能提供的直接財務利益不多,但卻握有很大的權力。基於這些原因,這些電腦的資產優先順序被定為 8。

根網域控制站上只有少數對外具有財務價值的資料,但危害這些伺服器卻會限制使用者資訊。有鑑於此,它們的商業資料價值被定為約 $10,000 美元。包括硬體成本在內,根網域控制站的資產總值估計為 $28,000 美元。

這些數字是單一網域控制站的價值,而非整體網域服務的優先順序。網域及企業系統管理員帳戶的評估方式是將它們當作其本身的資源,以計算其相關風險。

Contoso 可以另外針對可能削減所有網域功能的任何風險,評估整體網域服務的優先順序及價值。但這被視為不在此專案的範圍內。

企業系統管理員帳戶

Enterprise Admins 群組中的帳戶是組織中最重要的帳戶。企業系統管理員可以取得樹系中任何電腦的控制權。這些帳戶應該在必要時才使用,而且應該具有組織中最高的安全性。

由於 Enterprise Admins 群組的權力如此的大,所以這些資產的優先順序分級為 10。喪失這些帳戶的控制權可能導致組織災難。

Enterprise Admins 群組中的帳戶價值很高。它的值相當於所有儲存於且受 Windows 2000 樹系保護的資料總值。有鑑於此,企業系統管理員帳戶的價值被定為相等於組織去年的營收 — $829,000,000。保護 Enterprise Admins 群組的程度應該就像整個公司的命脈全取決於該群組的安全性一樣。

子網域控制站

子網域控制站包含關於組織中使用者的重要資訊,包括使用者的密碼。遺失或危害到這些資訊對公司的影響甚鉅。Contoso 已在所有據點提供多個網域控制站,以減少單一失敗的影響層面。因為如此一來,就可以容易地復原單一網域控制站的損失。綜合這些因素之後,幫助了 Contoso 將子網域控制站的資產優先順序分級定為 8。

子網域控制站資料的價值被定為 $50,000 美元。這是根據外部組織願意支付的使用者電話號碼及電子郵件地址數量所得出的預估值。包括硬體價值在內,子網域控制站的資產值估算為 $68,000 美元。

就像根網域控制站一樣,這些數字並沒有考慮網域帳戶的危害或所有網域服務的損失。這個估算值純粹集中於單一網域控制站所提供的資料及功能。

北美網域系統管理員帳戶

Contoso 有個子網域叫做「北美」。這個網域包含大部分的公司資產,包括伺服器、資料及帳戶。雖然在帳戶數量上比 Enterprise Admins 群組少,但北美 Domain Admins 群組中的帳戶卻有很大的權力。

因為網域系統管理員對網域中的所有資源具有完整控制權,因此北美網域系統管理員帳戶的優先順序分級為 10。雖然危害到其中一個帳戶只比危害到 Enterprise Admins 群組中的帳戶稍微嚴重一些,但兩者都可能導致組織中的所有電腦受到危害。

如同前面所提到的,在 Domain Admins 群組中的帳戶價值很高。有鑑於此,再次將北美 Domain Admins 群組中的帳戶價值評定為相等於組織去年的收益。

北美網域使用者帳戶

網域系統管理員不是組織中唯一重要的帳戶。雖然使用者帳戶無法像網域系統管理員一樣提供如此大的權力,但是它是攻擊者可以用於突襲組織的另一個據點。使用者帳戶的穩定性及完整性是 Active Directory 的主要考量之一。有鑑於此,使用者帳戶的優先順序分級為 5。

單一使用者帳戶的實際價值很少。會有一些還原帳戶需要執行的系統管理工作,以及少數遺失的功能。但站在所有資產的立場來看,這是其中一個最難定價的項目。重建帳戶及彌補產量流失的成本,有助於將使用者帳戶的資產值估計約為 $1,000 美元。

根 DNS 服務

根 DNS 伺服器提供許多功能,但卻很難重建。這些伺服器中的資料對外提供的資訊很少,而遺失這類資料對整體影響很小。但是,一旦 DNS 伺服器中毒,使用者會被重新導向其他位置,並且失去存取所需資源的能力。基於這些原因,根 DNS 伺服器的資產優先順序被指定為 4。

純 DNS 伺服器沒有包含任何商業資料。但是,如果這些服務遭到任意地擾亂,則功能性及產量有可能會流失。以估算還原功能性及更正任何問題所需的時間,加上產量流失的預估來看,根 DNS 服務的額外價值估計約為 $30,000 美元。包括硬體價值在內,DNS 伺服器的資產值估計為 $48,000 美元。

請注意,Contoso DNS 伺服器是當作網域控制站的一部份執行,但公司已決定將其視為不同的服務。

子 DNS 伺服器

子 DNS 伺服器包含關於所有伺服器、用戶端工作站及部份網路服務的資訊,它們都在這個子網域內,而且容易遭受有心人士的破壞。伺服器不會直接影響公司的營利,即使它們在維護 Contoso 網路順利運作這方面的價值很高。由於在這些伺服器中儲存的資料很容易就能在 DNS 伺服器上重建,所以這些伺服器的資產優先順序定為 5。

就像根一樣,純 DNS 伺服器不含任何商業資料。但是,如果這些服務遭到任意地擾亂,則功能性及產量有可能會流失。以估算還原功能性及更正任何問題所需的時間,加上產量流失的預估來看,DNS 服務的額外價值估計約為 $30,000 美元。包括硬體價值在內,DNS 伺服器的資產值估計為 $48,000 美元。

同樣地請注意,Contoso DNS 伺服器是當作網域控制站的一部份執行,但該公司已決定將其視為不同的服務。

WINS 伺服器

WINS 伺服器包含的資訊與 DNS 伺服器中包含的資訊類似。但是,WINS 伺服器主要限制為供 Contoso 環境中一些仍在執行 Windows 98 及 Windows NT Workstation 4.0的舊版用戶端工作站使用。在此情況下,由於伺服器資料很容易就能重建,所以再次將它們的資產優先順序定為 3。

WINS 伺服器沒有包含任何商業資料。WINS 伺服器包含的資訊只有環境中各個主機的網路基本輸入輸出系統 (NetBIOS) 名稱資訊。產量流失會造成環境中所有 WINS 服務的流失,但是因為有備援,所以能減輕這種風險。WINS 伺服器的資產總值估計為 $18,000 美元。

請注意,這不包含整個組織中的 WINS 服務價值,只是單一 WINS 伺服器的價值。

DHCP 伺服器

DHCP 伺服器包含提供價值給另一個組織的一些資訊。這些伺服器很容易就能重建,而且對公司沒有任何直接利益。基於這些原因,它們的資產優先順序定為 1。

DHCP 伺服器只包含關於電腦與其 IP 位址的資訊,以及一些 DHCP 領域資訊。這些伺服器不含任何提供商業價值的資訊,雖然它們的確提供了商業功能。Contoso 在它的環境中設置了多台 DHCP 伺服器,而且在建立它們的 DHCP 領域時,利用了 80/20 的規則,以容許 DHCP 伺服器的遺失。因為此一情形,遺失單一伺服器的影響就能大幅降低。在此情況下,單一 DHCP 伺服器的資產值估計為 $18,000 美元。

請注意,這不包含整個組織中的 DHCP 服務價值,只是單一 DHCP 伺服器的價值。

檔案及列印伺服器

檔案及列印伺服器包含大量的公司智慧財產。遺失這些電腦對公司及其競爭者而言都算損失慘重。重建這些伺服器中的資料成本很高。基於這些因素,Contoso 的檔案及列印伺服器被指定的資產優先順序為 8。

保留在每一台檔案及列印伺服器中的資料價值平均每台為 $200,000 美元。這是根據資料目前帶給組織的價值,以及用來產生資料所需的成本算出的值。

研究 IIS 伺服器

Contoso 內的研究 IIS 伺服器會公佈大部分的市調資料給公司內部使用者。這些伺服器包含的資料賦予了公司主要的競爭優勢。基於這些原因,研究 IIS 伺服器很重要,因此它的資產優先順序被指定為 10。

每一台研究 IIS 伺服器都包含經評定為 $450,000 美元的資料。這也是根據資料目前帶給組織的價值,以及產生資料所需的成本計算得出。此外,這個資料的價值經過估算對外部組織而言約值 $80,000 美元。這個值加上硬體成本之後,得出每一台專門處理市調資料的 IIS 伺服器資產值為 $596,000 美元。

部門 IIS 伺服器

部門 IIS 伺服器也包含 Contoso 目前與未來專案中的重要資料,但含有純商業價值的資料卻不多。這些伺服器主要當作通訊媒介使用。基於這些原因,部門 IIS 伺服器的資產優先順序定為 6。

部門 IIS 伺服器內含的資料每台平均值 $50,000 美元。如同前面所提到的,這是根據資料目前帶給組織的價值,以及用來產生資料所需的成本算出的值。包括硬體成本在內,部門 IIS 伺服器的資產值為 $82,000 美元。

人力資源 IIS 伺服器

人力資源 IIS 伺服器是另一個後端人力資源系統的前端伺服器。這些伺服器很容易就能重建,而且沒有儲存大量的重要商業資料。但是,開發這些伺服器成本很高,因此它們的資產優先順序定為 7。

在 IIS 伺服器上的商業資訊價值定為 $100,000 美元。此資訊包含大量的個人資料及內部公司資訊,且是根據這些資料與資訊對外部組織具有的價值估算出來的。此外,還估算了 $200,000 美元的價值用來處理因為這筆資訊的外漏而導致的任何潛在法律訴訟案件或負面報導。包括 IIS 伺服器的硬體價值在內,這些資產的資產值估計為 $332,000 美元。

識別威脅

在識別及評估 Contoso 安全性專案中必須納入的資產值之後,下一步是決定哪些威脅需要加以處理,才能保護資產的安全。威脅發生的形式有很多種,每個威脅對公司資產會帶來不同的風險。組織內的資產威脅在數量上沒有限制。在<定義 Windows 2000 安全性景觀>單元中會詳細討論這些威脅。簡單來說,威脅可以分成三個主要的類別 — 天然、機械及人為。

在 Contoso 環境中識別到的威脅

在保護 Windows 2000 安全的專案中,Contoso 決定只考慮潛在的惡意攻擊。為了協助減少意外誤用系統環境所產生的威脅,均施行了公司的作業程序及訓練政策。Contoso 的實體網路設計及系統需求也有助於減少機械上的威脅。此外,Contoso 已發展出一些定義明確的緊急應變計劃,以防受到天然災害侵襲。

藉由減少將要在安全性專案中處理的威脅數量,您可以更容易地完全瞭解攻擊層面及所需的專案界限,以建立您自己的安全性原則及程序。但是,設定這些界限也可能表示需要額外的專案才能完全解決組織環境中的所有威脅。

安全性風險分析 — 判定風險的可能性

判定特定風險的可能性對安全性風險分析的整體程序十分重要。在建立組織的安全性風險陳述時,這些數字將有助於判定每個風險的危急性。

Contoso 將風險可能性 (TP) 定義為發生潛在威脅的可能性。它發展出一套適用於高度威脅的基準,然後以 0 到 1.0 的等級來加以排列。根據這個基準,排名為 1 的威脅發生的可能性很低,另一個排名為 1.0 的威脅則絕對會發生,詳如下表中的說明。

[表 4]:Contoso 的威脅可能性

威脅

可能性

火災

.05

水災

.025

風災

.025

地震

.001

電力中斷

.0002

硬體故障

.1

網路失敗

.3

無知的使用者

.2

惡意程式碼 (病毒)

.6

工業間諜

.1

內部攻擊者

.6

外部攻擊者

.4


針對內部攻擊者與外部攻擊者而排名的可能性,是綜合了 2002 年 《Computer Crime and Security Survey》(英文),以及 Contoso 去年經驗的結果而定出。

雖然這只是能加以識別的部份威脅,但是它卻顯示出如何根據過去的經驗、環境條件、地理及組織的產業來發展出一份清單。

安全性評估

與大部份的資訊系統專案一樣,規劃安全性專案的最佳方法是調查現有的景觀。您應該檢閱原則及程序,並調查實體、周邊、網路、主機、應用程式及資料層級上使用技術的情況。安全性評估有很多目標,因此您可以執行以達到這些目標的事情種類也很多。其中包括:

  • 操作評估。

  • 滲入測試。

  • 弱點評估。

  • 非法入侵偵測稽核。

有許多 Microsoft 協力廠商都有提供這些服務。如需取得 Microsoft 認證夥伴的清單,請參閱:http://directory.microsoft.com/resourcedirectory/Solutions.aspx。這裡進一步詳述三種安全性評估種類。

操作評估

安全性始於定義明確的原則。保護組織安全的第一步應該是徹底檢閱組織中明文規定的原則。操作評估通常會產生公司原則及程序的詳細調查。部份操作評估可能擴展到高階技術的使用。

操作評估的目標在於協助組織識別目前的安全性狀態及操作管理的整備情形。此外,它應該也有助於識別一般及特定的建議,這些建議可以增進安全性整備情形,並減少組織的整體擁有成本 (Total Cost of Ownership,TCO)。

滲入測試

滲入測試可以協助識別未經授權的個人可進入組織的方式。其中可包括:

  • 掃描外部資源,以識別潛在的危害目標。

  • 撥接攻擊,以識別利用電話進行不受保護的存取。攻擊撥接程式是駭客用來取得未經授權的數據機電話號碼存取權的一種工具。

  • 偵測攻擊,以識別任何外部可用的主機。可以運用這些機器,執行進一步的測試。

  • 驅動攻擊,它是相當新的概念,指的是嘗試尋找組織中有無不安全無線存取點的程序。

  • 社交工程是用來尋找可能被騙來透露其密碼的個人,或尋找某些會不小心提供機密資訊的安全性資訊表單。

  • 建置滲入是用來判斷對機能的實體存取權是否可以很容易地被取得。

這些測試對於提高組織對安全性原則的注意力十分有用。執行滲入測試最大的考量之一是找到一家聲譽良好的外部組織來執行測試。在開始執行滲入測試之前應該先獲得書面核准。在大部份的公司中,像這類未經授權的動作可能就是結束營業的理由。

弱點評估

弱點評估將滲入測試往前再推一步。弱點評估會定義所有可能進入組織的點,而非識別一些潛在的存取路徑。在組織內,安全專案小組會藉由識別其他內部資產缺點來繼續執行弱點評估。這種測試通常由在所有電腦上都具有系統管理權限的內部資源來執行。

弱點是資訊系統或其元件中的缺點 (例如系統安全性程序、硬體設計及內部控制項等),這些缺點一旦遭受利用,就會引發與資訊相關的災難。弱點的存在通常是因為資產目前的設定所致。當資產的設定變更時,您應該重新執行弱點評估,以驗證更新後的系統,並確保系統仍是安全的。

弱點會產生自深度防禦模型中的任何一點。此模型提供一套可用以防止資源受到外部及內部威脅的策略。深度防禦 (有時也稱為深度安全性或多層式安全性) 一詞來自軍事術語,用來說明安全對策的層層鋪設,以形成具有凝聚力的安全性環境,而不存在任何一個失敗點。這個模型包括處理與人員、程序或技術有關的問題,而且藉由使用這個評估策略可以加以識別。

可使用工具或手動程序來執行弱點掃描。也可以使用自動化掃描來識別每台電腦或網路元件。在識別出潛在目標之後,掃描會執行一連串的測試,以判定資產中有哪些潛在的弱點。

手動掃描可運用評估工具所提供的資訊來取得關於目標環境更詳細的資訊。藉由更進一步,手動程序便可識別自動化程序中不明顯的缺點區域。

非法入侵偵測稽核

非法入侵偵測稽核通常結合了許多其他測試的結果,並且會確認組織的非法入侵偵測工具是否如預期般地運作。執行非法入侵偵測稽核的人員會利用從操作評估獲得的資訊來瞭解組織內目前施行的原則及程序。滲入測試結果會提供執行測試的人員或群組有關組織曝光在哪些不同區域中的概觀。弱點評估會讓群組瞭解組織內目前存在的問題。

受雇來執行非法入侵偵測稽核的協力廠商可以利用所有這些資訊,嘗試從組織外入侵。與弱點評估最大的不同是這項測試通常是由不具系統管理權利的外部單位來執行。如果可以順利完成這項程序,則目標公司必須重新評估其非法入侵偵測系統實施方式。如果滲入順利發生,則執行測試的群組會在組織內重新執行這項程序,以繼續判定它在沒有警示非法入侵偵測系統或管理員的情況下,可以獲得哪些進一步的資訊。

非法入侵偵測稽核是最詳盡的測試,應該只由聲譽良好的組織來完成。這類測試需要獲得最高層的管理者同意才行,而且在開始進行之前,必須完整地評估這類測試的整個影響。

弱點評估工具

有些公司會想購買弱點評估工具,而不仰賴協力廠商執行掃描。這兩種方式各有優缺點。讓協力廠商檢閱公司的基礎結構好處很多。但是,這項程序的費用可能是受限的因素。

如果組織想要自己使用弱點評估工具,則必須考慮下列問題,才能確保評估工具包含下述儘可能多的功能。

弱點資料庫列示

弱點評估工具應該能夠使用多種弱點列示的來源。例如,這些來源可能包括 Microsoft 安全性佈告欄、常見弱點與曝光度資料庫、CERT 協調中心或 BugTraq 等。

更新能力

工具應該自動更新它的測試結果。工具所掃描的弱點清單,以及它執行的測試只有在供最新的更新時才是最有效的。使用需要手動更新的工具來掃描會增加系統管理員無法檢查所有可能性的機會。

自訂能力

工具應該具有自訂能力。每個環境都不盡相同。有些弱點是某些組織願意容忍的,因為其環境設定就是如此。這類的組織可能不想在每次識別出已知問題時,就接到警示。此外,這些組織可能有些在其他環境中不常見的特定項目要調查。

網路安全性

弱點掃描工具應該檢查網路安全性。在這些測試當中,工具應該掃描是否有開放的入口可以識別出未受適當保護的服務。

主機安全性

工具應該檢查主機作業系統上的安全性。這包括掃描正在執行及分析電腦上各個群組與帳戶的非必要服務,以及伺服器上的非必要公用程式。它應該確保已將適當的存取控制清單 (ACL) 套用到事件記錄、已適當地管制登錄權限,以及只賦予必要的使用者權限指派。

應用程式安全性

應用程式安全性也應該包含在測試中。這包括基準作業系統設定值、網域控制站及網域設定值的掃描,以及網頁伺服器的掃描。尤其是當組織中使用 IIS 時,工具更應該監視 IIS Metabase 的設定值,這些設定值包含關於 IIS 伺服器的設定資訊;工具也應該確認 inetpub 目錄已被移到另一個磁碟區,以及 IIS 鎖定工具和 URLScan 已在執行。

資料安全性

弱點掃描程式應該檢查資料的安全性。要考慮的項目包括核心作業系統檔案、Service Pack 層級、已安裝的 Hotfix、ACL,以及檔案共用權限的安全性。Hotfix 是由用來解決產品缺點的一或多個檔案所組成的累計套件。它們會處理特定的客戶狀況,但在沒有獲得 Microsoft 書面正式同意的情況下,不得將它們散發到客戶組織外。

安全性 Hotfix 則稍有不同,因為它們必須立即套用到符合指定準則的任何伺服器。安全性 Hotfix 不需要獲得正式同意,就可以視需要散發。

排列優先順序

最後,工具應該能夠協助定義已識別出需要優先處理的問題。例如,Microsoft Security Response Center 會根據其處理的弱點來識別修補程式,然後為每個程式指定一個等級。此中心是 Microsoft 業務單位,負責調查及矯正與 Microsoft 產品有關的所有安全性漏洞。

這些分級包括嚴重、重要、中級及低弱點。雖然這些分級很普通,但卻可以幫助組織以優先順序排列應該立即套用的修補程式,以及應該如何在不同的設備群組來處理它們。

安全性風險分析程序的觀點

在安全性風險分析程序中,需要使用不同的準則來評估每一個弱點。這些觀點有助於判定組織遭受每一種威脅時所暴露的整體風險。藉由建立每位攻擊者、削弱點、弱點及資產組合的簡要風險陳述,即可做到這點。雖然這似乎需要花很多功夫,但卻有助於完整地定義需要處理的所有問題,這也是組織整體安全性專案的一部份。

風險陳述

建立安全性風險陳述時,應該個別地處理每一種可能性,並說明每一項風險的特定結果。如果結果不只一種,則風險陳述可能太廣,應該定義得更細。

每個風險陳述應該都有一個導致某種後果的條件。如同在<定義 Windows 2000 安全性景觀>單元中所見到的,您發展的安全性風險陳述應該以下列格式為基礎:

如果威脅者使用工具、技巧或方法來利用弱點,則遺失資產的機密性、完整性或可用性可能產生影響。

判定危急性因素

危急性因素是指藉由利用有問題的弱點來攻擊特定的削弱點時,對資產造成的損失衡量標準。特定的弱點可能會有數個不同的削弱點可以用來攻擊資產。每一個削弱點對目標電腦會有不同的影響。有鑑於此,可能需要進行一些研究來評估每個弱點的潛在削弱點。

危急性因素應該以 1 到 10 的等級加以衡量,其中 1 指出削弱點產生的影響很小,10 則指出會發生無法挽救的龐大損失。

判定利用已識別的弱點所需的努力

努力是指攻擊者要利用特定削弱點需要的工作、知識或經驗。利用特定削弱點的努力程度應該根據攻擊的簡易性來衡量。有各式各樣的惡意攻擊者。有些人是「指令碼生手」,即不太懂得如何攻擊及為何運作,但知道什麼工具可以幫助他們獲得資訊,有些人則是真正的「破解者」,具有高深安全性技術知識。破解者是指克服電腦系統的安全措施,而獲得未授權存取的人。

特定削弱點的努力應該使用與危急性因素相同的等級加以衡量。1 到 10,其中 1 指出要利用特定的削弱點只需一點點的技能,而 10 指出需要經驗豐富的安全性程式設計者技能才行。

判定弱點因素

弱點因素是衡量易受特定形式攻擊影響的標準。

資產的弱點因素也應以 1 到 10 的等級加以衡量,其中 1 指出特定的資產很難受到弱點的影響,而 10 指出資產極易受到特定問題的影響。

在 Contoso 環境中識別到的前幾個弱點

Contoso 在其網路上使用弱點掃描工具來識別與設定有關的主要問題。工具最後產生了一長串的項目清單,其中依優先順序將弱點排列為高、中或低風險。Contoso 決定在安全性專案的這個階段期間,要立即嘗試解決「高」及「中」風險的弱點。

有幾個弱點可以分組成較大的種類。這些弱點分組將隨著識別到的特定弱點一起討論。此外,每個弱點都有努力、危急性及弱點因素的分級。

緩衝區溢位

在 Contoso 環境中所使用的弱點掃描程式識別出許多伺服器易受 IIS 相關緩衝區溢位的影響。緩衝區溢位是攻擊者可以用來取得系統存取權的削弱點。特別是工具識別出 Code Red 病毒利用的是未修補的 ida/idq 緩衝區溢位。病毒是獨立且自我複製的程式,通常會耗用記憶體,進而導致電腦當機。

風險陳述

如果攻擊者使用 Code Red 來利用 ida/idq 弱點,則遺失研究 IIS 伺服器的完整性及可用性可能會導致網路流量增加。

由於需要替每個弱點資產建立風險陳述,因此應該針對部門或人力資源 IIS 伺服器建立類似的風險陳述。

危急性因素

Code Red 最初在 2001 年 7 月 17 日被發現。這隻病蟲以驚人的速度在網際網路上傳播,在 14 個小時內造成近 36 萬台伺服器中毒。它一路上破壞了網頁伺服器,造成額外流量遽增,充爆了許多公司網路。

由於它對公司環境的潛在影響如此大,因此 Contoso 安全性小組針對組織中所有的 IIS 伺服器都給了 Code Red 達到9 的危急性因素。

努力

Code Red 很難建立。ida/idq 溢位是相當複雜的弱點,因此原本就很難利用。但是,由於 Code Red 的性質,它卻極易傳播。Code Red 病毒會自己傳播,因此想利用這個削弱點不需要什麼技能或甚至完全不需要。有鑑於此,利用這個削弱點所需的努力被指定為等級 1。

弱點因素

Contoso 在公司的兩個伺服器網域地點繼續看見 Code Red 的感染。在建置程序期間,公司的伺服器遭受感染是很常見的,甚至在可以完全修補電腦之前也常見到。有鑑於此,處理已知的 IIS 緩衝區溢位是 Contoso 最大的顧慮之一。

因為 Code Red 仍繼續感染組織內的伺服器,因此目前的伺服器建置程序很容易受到病毒的攻擊。但是安全性小組成員正在修補這個特定的問題。Contoso 網頁伺服器的弱點因素被指定為等級 8。

NetBIOS 列舉

掃描程式識別出所有區域都容易受到 NetBIOS 列舉的攻擊。NetBIOS 會使用預設的共用進行介入通訊。依預設值,任何人都可以連線到這個共用 — 不需要使用者名稱或密碼。雖然只是連線到這個共用並不會賦予這些人檢視檔案或控制程序的權利,但卻有可能讓他們檢視到大量的系統資訊。

藉由建立 Null 連線,即沒有使用者名稱或密碼的連線,連到電腦上的 IPC$ 共用,潛在的攻擊者就可以使用常見的公用程式來檢視項目,例如:

  • 帳戶名稱。

  • 群組。

  • 共用。

  • 帳戶註解欄位。

  • 帳戶上次登入時間。

  • 帳戶上次密碼變更。

這些只是少數容易檢視到的項目,但它們卻代表無需使用者名稱或密碼就可以獲得該類的資訊。

風險陳述

如果攻擊者使用 NetBIOS 列舉工具來利用 Null 工作階段,則遺失北美網域控制站的機密性可能會導致未經授權的使用者能夠取得帳戶資訊。

也應該會針對根網域控制站建立相似的陳述。

危急性因素

使用 Null 工作階段的 NetBIOS 列舉會產生很大的安全性缺口。若無法防止未經授權的使用者檢視所有使用者帳戶名稱、帳戶註解、群組及共用,組織將面臨極大的風險;它會讓攻擊者看見許多帳戶名稱,亦即使用者名稱/密碼組合的一半。

由於使用者名稱受到危害會有潛在的影響,因此 Contoso 針對公司的所有網域控制站都將 NetBIOS 列舉的 CF 分級為 6。Contoso 未在成員伺服器上建立特定的使用者帳戶,但是因為成員伺服器確實包含了可被列舉的共用,所以可以建立不同的風險陳述。Contoso 並沒有將它視為主要威脅,因此將成員伺服器的危急性因素等級定為 3。

努力

列舉特定主機相關 NetBIOS 資訊所需的努力相當少。在網際網路上有許多免費的工具會在目標電腦上建立了 Null 工作段之後,自動執行這項功能。

Contoso 將利用這項弱點所盡的努力分級為 2。

弱點因素

Contoso 環境目前未實施任何對策來防止成員伺服器或網域控制站上的 NetBIOS 列舉。有鑑於此,所有伺服器的 VF 分級為 10。

SNMP 列舉

掃描工具發現電腦上啟用了「簡易網路管理通訊協定 (SNMP)」,而它正在使用預設的「公開」字串。

Contoso 在 Windows 2000 伺服器上使用 SNMP 服務來報告事件。公司一直都有使用公開字串,因此很有興趣探索除了一般硬體監視之外,SNMP 也可以用來傳回電腦其他方面的資訊,包括:

  • 帳戶名稱。

  • 共用名稱。

  • 共用路徑及註解。

  • 執行中的服務。

  • 開放的連接埠。

風險陳述

如果攻擊者使用 SNMP 列舉工具來利用公開社群字串,則遺失北美網域控制站的機密性可能會導致未經授權的使用者能夠取得帳戶資訊。

也應該會針對根網域控制站建立相似的陳述。

危急性因素

SNMP 列舉會提供大量資訊,而且可能是危險的,尤其是若有特定的社群字串被賦予了寫入目標伺服器的能力則更是危險。由於此一設定,Contoso 替所有伺服器都指定了等級 6 的 CF。

如果 Contoso 還有任何可撰寫的 SNMP 社群字串,則必須建立另一個不同的風險陳述。

努力

使用網際網路上許多免費軟體或共用軟體工具容易就可以利用SNMP 列舉。Contoso 評估使用這些工具的努力為 a 2。

弱點因素

Contoso 在公司中大部分的伺服器上都啟用了 SNMP,且公司有個預設的社群字串名稱叫做 public。有鑑於此,組織十分容易遭到攻擊。Contoso 將 SNMP 列舉的 VF 指定為 10。

DNS 列舉

弱點評估識別出 DNS 伺服器並未限制區域轉送。在沒有保護這項 DNS 功能的情況下,攻擊者很容易就可以從組織的 DNS 伺服器取得資料。

Contoso 在 Windows 2000 中使用與 DNS 整合的 Active Directory。DNS 保存了與網域有關的大量資訊,包括伺服器名稱及「網際網路通訊協定 (IP)」 位址、在網路上執行的服務,以及掌控特定伺服器的伺服器,例如通用類別目錄及 DC。

風險陳述

如果攻擊者使用 nslookup 來利用解除鎖定的區域轉送,則遺失北美 DNS 的機密性可能會導致電腦及服務的識別資料外漏。

也應該針對根 DNS 伺服器建立相似的陳述。

危急性因素

DNS 列舉會提供關於環境中各個主機與服務的大量資訊,但不包含關於特定使用者或公司重要資料的資訊。有鑑於此,Contoso 將網路控制站的 CF 因素指定為 2。

努力

使用大多數任何作業系統上包含在的工具就可以執行 DNS 列舉。Contoso 評估使用這些工具的努力為 a 1。

弱點因素

由於 Contoso 在它的環境中沒有保護 DNS 區域轉送的安全,所以將 DNS 列舉的 VF 分級為 7。

弱性密碼

Contoso 所選擇的評估工具擁有額外的功能可讓 Contoso 針對使用者帳戶執行基本字典型攻擊,以識別弱性密碼。此外,它會檢查「安全性帳戶管理員 (SAM)」資料庫中的密碼雜湊,以判定是否有任何空白或重複的密碼。如果識別出大量的重複密碼,則攻擊者會判定那些就是在組織中建立新帳戶時所使用的預設密碼。

在 SAM 中的資訊都經過加密,但是根據雜湊卻很容易可以識別出空白或重複的密碼,甚至不必嘗試破解密碼就能做到。因為 Contoso 沒有定義帳戶鎖定原則,所以嘗試可以不限次數地猜解密碼。掃描工具發現許多密碼單純是由任何字典中可以找到的常見字所組成,這只需幾分鐘的時間就可以破解。

風險陳述

如果攻擊者發動劇烈的強制密碼攻擊來利用缺少密碼原則這一點,則遺失企業系統管理員帳戶的完整性及機密性可能會導致攻擊者能夠取得組織的未授權存取權。

應該針對 Domain Admins 群組以及一般使用者帳戶,產生相似的風險陳述。

危急性因素

弱性密碼是任何系統管理員的致命傷。弱性密碼會讓攻擊者快速取得使用者帳戶及密碼的組合。因為此一情況,所以 Contoso 指定此問題為 10 之 CF。

努力

使用網際網路上可以取得的字典式攻擊工具很容易就可以猜解弱性密碼。Contoso 評估使用這些工具的努力為 a 2。

弱點因素

因為 Contoso 沒有實施密碼原則,也沒有稽核任何登入失敗,所以將弱性密碼的弱點因素分級為 10。

未加密的伺服器訊息區流量

弱點掃描程式偵測到 Contoso 的伺服器正在使用「伺服器訊息區 (SMB)」通訊的預設值。

依預設值,Windows NT LAN Manager (NTLM) 的挑戰/回應在網路上從未經過 LanManager (LM) 驗證或 NTLM 雜湊。但是,已有工具可以監視這項交換的流量,並使用劇烈的強制方式來推得原始 LM 雜湊值。

取得雜湊之後,可以用許多不同的公用程式將雜湊破解成純文字密碼。

風險陳述

如果攻擊者使用 SMB 監聽器來利用未加密的 SMB 流量,則遺失企業管理帳戶的完整性及機密性可能會導致攻擊者能夠取得未經授權的組織存取權。

應該針對 Domain Admins 群組以及一般使用者帳戶,產生相似的風險陳述。

危急性因素

藉由破解密碼,攻擊者可以獲得未經授權的檔案及服務存取權,這些無法從 Null 工作階段取得。因為此一情況,所以 Contoso 指定此問題為 10 之 CF。

努力

可購買公開銷售的工具來提供這項功能。但是,這個工具必須能夠隨機檢視所有流量。處在切換式網路上可以大幅降低這個可能性。因為 Contoso 目前正在升級網路基礎結構,所以將使用這個工具的努力分級為 5。

弱點因素

因為 Contoso 沒有施行密碼原則,所以使用 SMB 擷取技術可以快速地取得許多短密碼。這個狀況使得安全性小組將這些問題的 VF 指定為 10。

無效的稽核

許多已掃描的伺服器沒有將稽核設定啟用到足以識別潛在攻擊的層級。例如,「稽核帳戶登入」設定並未啟用,這項設定可以協助識別對密碼發動的劇烈強制攻擊。

風險陳述

如果攻擊者使用可停用稽核功能的工具來利用無效的稽核,則遺失北美網域控制站的完整性,可能會導致攻擊者能夠取得無法偵測到的遠端系統存取權。

應該針對北美網域控制站、所有 IIS 伺服器、DHCP 伺服器、WINS 伺服器及檔案/列印伺服器產生相似的風險陳述。

危急性因素

攻擊者可透過使用資源套件公用程式,例如 auditpol,來利用不良的稽核設定。Auditpol 可讓攻擊者全面停用稽核。Contoso 將這個削弱點的 CF 指定為等級 3,因為實際上沒有資料受到危害,但是這個狀況卻會阻礙對非預期攻擊的調查。

努力

使用 auditpol 的努力需要攻擊者在系統上取得工具並獲得系統管理存取權。這個工具很容易執行,但由於需要系統管理員存取權,所以將這個削弱點的努力指定為等級 4。

弱點因素

因為 Contoso 沒有施行稽核原則,而且目前沒有稽核任何安全性事件,所以安全性專案小組將這個削弱點的 VF 指定為 9。

未經檢查的 DoS 攻擊

「拒絕服務 (DoS)」型的攻擊是防止使用者存取資源的任何攻擊。DoS 攻擊有很多種,但是其中一些最常見的攻擊會影響個別電腦的 IIS 或「傳輸控制通訊協定暨網際網路通訊協定 (TCP/IP)」堆疊。

掃描工具識別出可以對電腦進行數個變更,以防止它們遭受 TCP/IP 為主的 DoS 攻擊。

風險陳述

如果攻擊者使用 DoS 攻擊來利用 TCP/IP DoS 弱點,則遺失根網域控制站的可用性可能會導致產能的損失。

應該針對北美網域控制站、所有 IIS 伺服器、DHCP 伺服器、WINS 伺服器及檔案/印列伺服器產生相似的風險陳述。

危急性因素

TCP/IP DoS 攻擊會導致系統完全無法使用。有鑑於此,Contoso 將此攻擊的 CF 指定為 8。

努力

有許多易用的圖形化公用程式能提供這項功能給攻擊者使用。有鑑於此,利用這個特定弱點所需的努力被指定為等級 1。

弱點因素

因為 Contoso 目前沒有實施因應 TCP/IP DoS 攻擊的對策,所以將這個削弱點的弱點因素分級為 9。

IIS 目錄巡行

掃描 IIS 伺服器後識別出一個常見的目錄巡行問題。這個弱點的削弱點讓攻擊者不僅能夠檢視諸如目標電腦上的目錄配置及檔案內容等資訊,而且在許多情況下,還能讓攻擊者寫入檔案並在伺服器上執行命令。

風險陳述

如果攻擊者使用雙解碼攻擊來利用 URL 定規化問題,則遺失研究 IIS 伺服器的完整性及機密性可能會導致攻擊者能夠獲得在伺服器上檢視檔案系統及執行命令的能力。

也應該針對部門及人力資源 IIS 伺服器建立相似的風險陳述。

危急性因素

IIS 目錄巡行削弱點可以變得十分危險,因為它們可讓遠端使用者從網頁伺服器發動一些系統命令。但是,IIS 5.0 版限制了這些命令的內容只能以 IUSR 帳戶的身分執行。儘管如此,這種攻擊所帶來的風險還是很大,促使 Contoso 將它的 CF 指定為 7。

努力

利用 IIS 目錄巡行的努力相當少。使用數種不同的工具都能利用 IIS 目錄巡行,而其中最簡單的一種就是網頁瀏覽器。有鑑於此,利用這個削弱點的努力被指定為等級 2。

弱點因素

因為 Contoso 有很多 IIS 伺服器並沒有最新的修補程式,也不是根據 IIS 最佳實例建置而成,所以公司將 IIS 伺服器上這個削弱點的 VF 指定為等級 9。

安全性風險之分析與優先處理

分析

在完成各種評估之後,收集了足夠的資訊可以開始分析安全性風險,並根據它們在 Contoso 環境中的影響及曝光程度排列優先順序。在建立風險陳述之前,把所有資訊合併到一個表格會很有幫助。Contoso 的風險分析中的這一部份顯示在下表中。

[表 5]:Contoso 風險評估摘要

威脅

TP

削弱點

CF

E

弱點

VF

資產

AP

惡意程式碼

.6

Code Red

9

1

ida/idq 弱點

8

研究 IIS 伺服器

10

惡意程式碼

.6

Code Red

9

1

ida/idq 弱點

8

部門 IIS 伺服器

6

惡意程式碼

.6

Code Red

9

1

ida/idq 弱點

8

人力資源 IIS 伺服器

7

攻擊者

.6

NetBIOS 列舉工具

6

2

Null 工作階段

10

根網域控制站

8

攻擊者

.6

NetBIOS 列舉工具

6

2

Null 工作階段

10

北美網域控制站

8

攻擊者

.6

SNMP 列舉工具

6

2

公開社群字串

10

根網域控制站

8

攻擊者

.6

SNMP 列舉工具

6

2

公開社群字串

10

北美網域控制站

8

攻擊者

.6

Nslookup

2

1

解除鎖定區域轉送

7

根 DNS

4

攻擊者

.6

Nslookup

2

1

解除鎖定區域轉送

7

北美 DNS

5

攻擊者

.6

劇烈的強制密碼攻擊

10

2

缺少密碼原則

10

企業系統管理員帳戶

10

攻擊者

.6

劇烈的強制密碼攻擊

10

2

缺少密碼原則

10

北美網域系統管理員帳戶

10

攻擊者

.6

劇烈的強制密碼攻擊

10

2

缺少密碼原則

10

北美使用者帳戶

5

攻擊者

.6

SMB 監聽器

10

5

未加密的 SMB 流量

10

企業系統管理員帳戶

10

攻擊者

.6

SMB 監聽器

10

5

未加密的 SMB 流量

10

北美網域系統管理員帳戶

10

攻擊者

.6

SMB 監聽器

10

5

未加密的 SMB 流量

10

北美使用者帳戶

5

攻擊者

.6

可以停用稽核的工具

3

4

無效的稽核

9

根網域控制站

8

攻擊者

.6

可以停用稽核的工具

3

4

無效的稽核

9

北美網域控制站

8

攻擊者

.6

可以停用稽核的工具

3

4

無效的稽核

9

研究 IIS 伺服器

10

攻擊者

.6

可以停用稽核的工具

3

4

無效的稽核

9

部門 IIS 伺服器

6

攻擊者

.6

可以停用稽核的工具

3

4

無效的稽核

9

人力資源 IIS 伺服器

7

攻擊者

.6

可以停用稽核的工具

3

4

無效的稽核

9

檔案/列印伺服器

8

攻擊者

.6

可以停用稽核的工具

3

4

無效的稽核

9

WINS 伺服器

3

攻擊者

.6

可以停用稽核的工具

3

4

無效的稽核

9

DHCP 伺服器

1

攻擊者

.6

DoS 攻擊

8

1

TCP/IP DoS 弱點

9

根網域控制站

8

攻擊者

.6

DoS 攻擊

8

1

TCP/IP DoS 弱點

9

北美網域控制站

8

攻擊者

.6

DoS 攻擊

8

1

TCP/IP DoS 弱點

9

研究 IIS 伺服器

10

攻擊者

.6

DoS 攻擊

8

1

TCP/IP DoS 弱點

9

部門 IIS 伺服器

6

攻擊者

.6

DoS 攻擊

8

1

TCP/IP DoS 弱點

9

人力資源 IIS 伺服器

7

攻擊者

.6

DoS 攻擊

8

1

TCP/IP DoS 弱點

9

檔案/列印伺服器

8

攻擊者

.6

DoS 攻擊

8

1

TCP/IP DoS 弱點

9

WINS 伺服器

3

攻擊者

.6

DoS 攻擊

8

1

TCP/IP DoS 弱點

9

DHCP 伺服器

1

攻擊者

.6

雙解碼攻擊

7

2

URL 定規化問題

9

研究 IIS 伺服器

10

攻擊者

.6

雙解碼攻擊

7

2

URL 定規化問題

9

部門 IIS 伺服器

6

攻擊者

.6

雙解碼攻擊

7

2

URL 定規化問題

9

人力資源 IIS 伺服器

7

威脅頻率層級

威脅頻率層級 (TL) 是預期發生攻擊的頻率、損失可能性,以及執行攻擊所需努力的衡量標準。這項衡量方式可以藉由將威脅可能性 (TP) 乘以風險因素 (RF) 得出。RF 是將攻擊的危急性因素 (CF) 除以執行削弱所需的努力 (E) 來算出。

影響因素

「影響因素 (IF)」 也說明了潛在的損失。這個數字的計算方式是將弱點因素 (VF) 乘以資產優先順序 (AP)。

曝光因素

最後,風險的「曝光因素 (EF)」可以藉由將 TL 乘以 IF 來算出。您可以比較所有風險的曝光因素,以判定組織中應該先處理哪些風險。

Contoso 風險分析

識別到的前幾大風險

下表總結透過整體安全性風險分析程序識別到的前幾大風險。曝光因素的計算使用下列公式:

EF = ((TF — IF) / 1000)

EF = (((TP — RF) — IF) / 1000)

EF = (((TP — (C / E)) — IF) / 1000)

其中最基本的形式變成:

EF = (((TP — (C / E)) — (VF — AP)) / 1000)

[表 6]:在 Contoso 環境中識別到的前幾大風險

弱點

資產

EF

劇烈的強制密碼攻擊

企業系統管理員帳戶

0.6

劇烈的強制密碼攻擊

北美網域系統管理員帳戶

0.6

DoS 攻擊

研究 IIS 伺服器

0.432

Code Red

研究 IIS 伺服器

0.432

DoS 攻擊

根網域控制站

0.3456

DoS 攻擊

北美網域控制站

0.3456

DoS 攻擊

檔案/列印伺服器

0.3456

Code Red

人力資源 IIS 伺服器

0.3024

DoS 攻擊

人力資源 IIS 伺服器

0.3024

劇烈的強制密碼攻擊

北美使用者帳戶

0.3

Code Red

部門 IIS 伺服器

0.2592

DoS 攻擊

部門 IIS 伺服器

0.2592

雙解碼攻擊

研究 IIS 伺服器

0.189

NetBIOS 列舉工具

根網域控制站

0.144

NetBIOS 列舉工具

北美網域控制站

0.144

其他定量分析工具

識別及以優先順序排列組織中的前幾大風險通常只是風險分析程序的開始。下一步是要判定處理組織中所識別到的各個風險所需的矯正或緩和步驟。雖然判定這點相當容易,但實作必要的矯正步驟可能會很難。

若要調整安全措施的成本,可能需要額外的資訊。下列程序可以協助判定實作特定矯正步驟,做為組織安全性專案一部份的價值。

單一損失期望值

「單一損失期望值(SLE)」 是為特定系統貼上價格標籤的方法。SLE 只代表一種風險元素:特定威脅事件的預期影響、財務上的影響或其他。計算 SLE 的方式是將某個給定威脅的曝光因素乘以資產的金融價值 (AV)。

例如,感染研究 IIS 伺服器的 Code Red,其影響的 SLE 計算方式是:將上述識別到的曝光因素 0.432 乘以研究 IIS 伺服器的 AV $596,000。

SLE = .432 X $596,000 = $257,472。

年度發生率

「年度發生率 (ARO)」是在一年的時間範圍內,威脅發生的可能性。例如,10 年發生一次的威脅,其 ARO 為 1/10 或 0.1;某一年發生 50 次的威脅,其 ARO 為 50.0。頻率值的可能範圍從 0.0 (預期不會發生威脅) 到某個整數,這個數字完全取決於威脅來源的類型及數量。在大型組織中,有些風險會發生數千次,導致 ARO 非常高。

在 Contoso 的環境中,Code Red 持續不斷在感染伺服器,因此 Contoso 去年看見它的 50 台伺服器中有 25 台曾被感染,因此 ARO 為 1/2 或 0.5。

年度損失期望值

「年度損失期望值 (ALE)」的計算方式是將單一損失期望值 (SLE) 乘以年度發生率 (ARO)。

若要有效地識別風險及規劃預算週期,以年度為期來計算損失預期值也許會有幫助。例如,前述 Code Red 的 ALE 是 $128, 736 美元,因為它具有一年 0.5 次的 ARO 會影響其中一台 Contoso 的 IIS 伺服器,其 SLE 為 $257,472 美元。如果將預期的威脅頻率 (ARO) 計入公式中,就能精確地指出風險對財務的影響。

安全措施的價值

如果可以建立安全措施的預估成本,並且估算出每年花在維護對策的循環成本,就可以判定實作每一項安全措施的整體價值。想要讓風險降低措施的成本利益分析變得有意義,這項程序就是它的基礎。

計算安全措施價值的方式是:將 ALE 減去對策的原始成本及對策的循環成本。根據上述風險分析的範例公式,如果估計要花 $20,000 美元的成本才能實作對策來解決識別到的威脅,且維護這項對策的年度成本是 $1,000 美元,則此項安全措施的價值是 128,736 ­ ($20,000 + $1,000) 或 $107,736 美元。

總結

本單元將安全性風險管理法則套用到一般客戶案例。針對套用的範例而提供的所有資訊都是實際資料;但是這些資訊只代表組織執行全套安全性風險評估所需整體資訊中的一部份。將整體風險評估表或所有安全性風險陳述包括在內能讓本單元中所提供的資訊輕易就能夠理解。有鑑於此,相關的範例都有特別強調,以供快速參照且容易理解。

SRMD 是數百種在組織內分類及分級風險的方法之一。這些資訊可以用來擴大現有的原則及程序,或協助組織首次建立這些標準。

本單元中的指引經過套用後,發展出一份列出使用特定的矯正步驟處理的風險清單。既然清單已經產生,那麼下一步就是識別保護列出的弱點所需的程序。

其他資訊

安全性風險分析是以 Microsoft Solutions Framework (MSF) 風險分析程序為基礎。如需 MSF 的相關資訊,請參閱:http://www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx

相關主題

下列是學習更多有關 Windows 2000 內特定弱點的重要參考資料:

《Hacking Exposed Windows 2000:Network Security Secrets & Solutions》(英文),Joel Scambray 及 Stuart McClure 著 (McGraw-Hill Professional Publishing, ISBN: 0072192623)


顯示: