论坛

通知事项
全部清除

威胁和漏洞列表  


太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

此威胁和漏洞列表可为在以下情况下实施风险评估提供帮助: ISO 27001 要么  ISO22301。此列表不是最终的列表–每个组织都必须添加自己的特定威胁和漏洞,这些威胁和漏洞会危害其资产的机密性,完整性和可用性。

威胁

以下是威胁列表–这不是确定的列表,必须针对各个组织进行调整:

  • 未经授权的人访问网络
  • 炸弹袭击
  • 炸弹威胁
  • 违反合同关系
  • 违反法律
  • 泄露机密信息
  • 隐藏用户身份
  • 第三方造成的损害
  • 渗透测试造成的损坏
  • 销毁记录
  • 灾难(人为原因)
  • 灾难(自然)
  • 信息披露
  • 密码泄露
  • 窃听
  • 挪用公款
  • 维护错误
  • 通讯链接失败
  • 伪造记录
  • 洪水
  • 舞弊
  • 工业间谍
  • 信息泄漏
  • 业务流程中断
  • 断电
  • 失去支持服务
  • 设备故障
  • 恶意代码
  • 滥用信息系统
  • 滥用审计工具
  • 污染
  • 社会工程学
  • 软件错误
  • 罢工
  • 恐怖袭击
  • 盗窃
  • 雷击
  • 信息系统中数据的意外更改
  • 未经授权访问信息系统
  • 未经授权更改记录
  • 未经授权安装软件
  • 未经授权的物理访问
  • 未经授权使用版权材料
  • 未经授权使用软件
  • 用户错误
  • 故意破坏

 

漏洞

以下是漏洞列表-这不是确定的列表,必须针对各个组织进行调整:

  • 复杂的用户界面
  • 默认密码未更改
  • 处置存储介质而不删除数据
  • 设备对电压变化的敏感性
  • 设备对水分和污染物的敏感性
  • 设备对温度的敏感性
  • 布线安全性不足
  • 容量管理不足
  • 变更管理不足
  • 信息分类不足
  • 对物理访问的控制不足
  • 维护不足
  • 网络管理不足
  • 备份不足或不定期
  • 密码管理不充分
  • 身体防护不足
  • 加密密钥保护不足
  • 旧设备更换不足
  • 安全意识不足
  • 职责划分不充分
  • 操作和测试设施的隔离不足
  • 员工监督不足
  • 供应商监督不足
  • 员工培训不足
  • 软件开发规范不完整
  • 软件测试不足
  • 缺乏访问控制策略
  • 缺乏整洁的办公桌和清晰的屏幕政策
  • 缺乏对输入和输出数据的控制
  • 缺乏内部文件
  • 内部审计缺乏或执行不力
  • 缺乏使用密码的政策
  • 缺乏终止雇佣关系时取消访问权的程序
  • 缺乏对移动设备的保护
  • 缺乏冗余
  • 缺乏用于识别和认证的系统
  • 缺乏对已处理数据的验证
  • 易受洪水侵袭的位置
  • 选择不良的测试数据
  • 单份
  • 一个人的力量太多
  • 不受控制的数据复制
  • 从互联网不受控制的下载
  • 不受控制地使用信息系统
  • 未记录的软件
  • 缺乏动力的员工
  • 未受保护的公共网络连接
  • 用户权限不定期审核
主题标签
2 回覆
太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

信息技术威胁和漏洞受众:要求,进行或参与IT风险评估的任何人。

介绍

威胁和漏洞不是一回事。威胁是指可能以负面方式影响宝贵资源的人或事件。漏洞是指资源或其环境的质量,可以实现威胁。武装银行抢劫案就是威胁的一个例子。银行出纳员就是有价值的资源的一个例子,这种资源在银行抢劫中可能很脆弱。强盗和柜员之间的防弹玻璃否认强盗射杀柜员的机会。该威胁仍然存在,但是其保护机制(玻璃杯)减轻了其有害影响之一(开枪)。

在系统和网络安全中,威胁仍然存在,但可以通过正确使用安全功能和步骤来缓解。缓解是指为防止威胁产生负面影响而采取的任何措施,或者是在无法采取全面预防措施的情况下限制损害的任何措施,或者旨在提高恢复工作的速度或效率。

硬件和软件系统及其处理的数据可能容易受到各种威胁的攻击。安全功能和过程的选择不仅必须基于一般的安全目标,而且还必须根据系统所面临的威胁来考虑所讨论系统的特定漏洞。过度保护是可能的,这只会浪费资源并给用户带来不便。

如您所见,威胁与漏洞之间存在联系。有时,检查每种潜在威胁并确定您的脆弱程度(例如火灾,洪水,地震)较为容易。在其他情况下,无需特别考虑威胁即可轻松查找潜在漏洞(例如,设备安装不当,介质故障,数据输入错误)。为了进行完整的风险评估,必须同时考虑这两种观点。威胁和漏洞在下面的列表中混合在一起,可以统称为潜在的“安全问题”。

为了便于讨论和使用,关注点可以分为四类。 环境因素  问题包括不希望出现的特定地点的偶然事件,例如闪电,灰尘和喷头的启动。 物理 关注的问题包括针对特定地点的不良人员行为,无论是有意还是无意的行为,例如盗窃,故意破坏和绊倒危险。 网站支持 关注的方面包括基础站点方面,例如电力,电话服务和气候控制。作为系统设计和管理的一部分,这三类问题通常无法解决-作为设施设计和维护的一部分,它们可以更适当地解决,从而涵盖了所有存在的系统。

最后一个类别 技术 问题包括隐患的系统特定情况,例如系统操作不当,恶意软件和线路窃听。实际的威胁很少:未经训练的恶意用户和系统灾难。探索向这些用户和事件开放的许多途径(漏洞),并考虑防止这些事件和/或提供快速恢复的方法,这将更为有用。

以下列表旨在用作任何IT风险评估的起点。必须针对特定站点或系统评估每个潜在问题,以确定其适用范围。事件发生的可能性,再加上事件的预期影响以及适当缓解措施的成本,将产生应解决的安全问题的优先列表。

环境因素  (特定于站点的意外机会)

  • 洪水
  • 海啸
  • 地震
  • 火山喷发
  • 闪电
  • 恶劣天气
  • 抽烟
  • 灰尘
  • 昆虫
  • 鼠类
  • 化学烟雾
  • 喷淋头激活
  • 漏水-管道破裂,屋顶孔洞,冷凝水
  • 爆炸-附近的煤气管线,化工厂,油库,弹药库
  • 振动-附近的铁轨,飞机交通,建筑工地
  • 电磁干扰-无线电接收不良或工作站显示抖动提示
  • 静电放电-通过“火花”接地物体建议

物理 (针对特定地点的不当人员操作)

  • 未经授权的设施访问
  • 盗窃
  • 故意破坏
  • 破坏
  • 勒索
  • 恐怖主义/炸弹威胁
  • 劳工动乱-员工和支持承包商
  • 战争/内乱
  • 运输不当-设备掉落,淹没,暴露于天气中或在运输过程中受到X射线照射
  • 不正确的安装/存放-暴露于颠簸,撞击或天气的设备
  • 溢出/滴落-设备附近允许的有害物质(例如食物,液体)
  • 磁铁/磁性工具-可以擦除数据或损坏敏感设备
  • 碰撞-叉车,汽车,飞机,轮椅
  • 绊倒危险/跌倒-设备构成人员危险
  • 火灾隐患-易燃材料存放在附近

网站支持 (基础站点方面)

  • 停电
  • 极端/不稳定的温度
  • 极端/不稳定的湿度
  • 不安全的环境-不适合人类居住
  • 设备不可访问性-阻止进入
  • 无法断电-在火灾,洪水等情况下
  • 电气噪声/接地不良-由闪烁的灯光或工作站显示抖动提示
  • 维护不当-落后于计划的不合格支持或预防性维护
  • 人员不可用-无法联系操作或支持人员
  • 电话故障-无法从外部联系站点,无法拨打电话,完全无法使用服务
  • 灭火不当-水,泡沫,PKP,哈龙
  • 垃圾处理不当-以未经授权的方式释放敏感数据

技术 (特定于系统的阴险情况)

  • 程序不正确/不充分-可预见的事件不受完整,准确的文档和培训的支持
  • 操作不当-操作设备超出容量或超出制造商的限制
  • 硬件配置不正确-在安装过程中以指定方式以外的其他方式配置了指定的硬件
  • 软件配置不正确-在安装过程中以指定方式以外的其他方式配置了指定软件
  • 未经授权的硬件/修改-添加非指定的硬件或进行未经授权的硬件修改
  • 未经授权的软件/修改-添加非规定的软件或进行未经授权的软件修改
  • 未经授权的软件复制-创建有效许可证未涵盖的许可软件副本
  • 未经授权的逻辑访问-获得未获得访问授权的系统的使用(与获得对硬件的物理访问相反)
  • 渎职行为(超出授权范围)-获得超出授权范围的系统使用权
  • 未经批准的使用/超出许可范围-将经许可的系统资源用于未经许可的目的(简历,教堂公告,与工作无关的电子邮件或Internet浏览)或超出用户许可协议
  • 过度分类或分类不足-以较高或较低的敏感性级别标记资源
  • 恶意软件-旨在以任何方式降低系统性能,修改或破坏数据,窃取资源或破坏安全性的软件
  • 硬件错误/故障[功能]-停止提供所需用户服务/资源的硬件
  • 硬件错误/故障[安全性]-停止提供所需安全性服务/资源的硬件
  • 软件错误/故障[功能]-停止提供所需用户服务/资源的软件
  • 软件错误/故障[安全]-停止提供所需安全服务/资源的软件
  • 介质故障-停止以可检索/完整的方式保留已存储信息的存储介质
  • 数据保留-以可检索/完整的方式保留存储的信息的时间长于所需的存储介质(无法完全擦除)
  • 对象重用-为用户提供存储对象(例如内存或磁盘空间)的系统,其中包含属于另一个用户的有用信息
  • 通信失败/过载-停止提供服务或无法以请求的容量提供服务的通信设施
  • 通信错误-提供不准确服务的通信设施
  • 数据输入错误-接受错误数据为合法的系统
  • 意外的软件修改/删除-删除或以其他方式使必要的软件不可用
  • 意外数据修改/删除-删除或以其他方式使所需数据不可用
  • 意外数据泄露-疏忽向未经授权的用户泄露敏感数据
  • 抵赖-参与流程或交易,但拒绝这样做
  • 伪装-参与流程或交易,但冒充其他用户
  • 消息播放-记录合法的传输以便以后重传,以尝试获得未经授权的特权
  • 邮件泛洪-生成大量传输,以试图使系统或服务由于过载而无法使用
  • 线路窃听-以未经授权的方式连接到通信设施,以尝试收集有用的信息
  • 电子散发-与所有电子设备相关的带有信息的杂散发射(由TEMPEST设备或屏蔽层阻止)
  • 地理位置-一种无意中泄露用户当前物理位置的系统

    注意:上面的技术关注列表在某种程度上是通用的,但在系统设计期间很有用,并且在系统审核期间仍可使用。特定于系统的漏洞的详细列表将是如此冗长且动态,以至于无法管理-应使用自动化工具来识别特定于操作系统,应用程序和中间件的漏洞。

 

回复
太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

信息安全 漏洞 是使组织面临风险的弱点。了解您的漏洞是管理风险的第一步。

雇员

1.社交互动
2.客户互动
3.讨论公共场所的工作
4.将数据带出办公室(纸,手机,笔记本电脑)
5.通过电子邮件发送文件和数据
6.邮寄和传真文件
7.安装未经授权的软件和应用
8.删除或禁用安全工具
9.允许未经授权的人员进入办公室(尾随)
10.打开垃圾邮件
11.将个人设备连接到公司网络
12.记下密码和敏感数据
13.丢失身份证等安全设备
14.缺乏信息安全意识
15.键控数据

前员工

1.为竞争对手工作的前雇员
2.前雇员保留公司数据
3.前雇员讨论公司事务

技术

1.社交网络
2.文件共享
3.快速的技术变革
4.旧版系统
5.在手机等移动设备上存储数据
6.互联网浏览器

硬件

1.对灰尘,热和湿气的敏感性
2.硬件设计缺陷
3.过时的硬件
4.硬件配置错误

软件

1.测试不足
2.缺乏 审计追踪
3.软件错误和设计错误
4.未经检查的用户输入
5.不能考虑人为因素的软件
6.软件复杂性(软件)
7.软件即服务(放弃对数据的控制)
8.停业或更改所有权的软件供应商

网络

1.未受保护的网络通信
2.打开物理连接,IP和端口
3.不安全的网络架构
4.未使用的用户ID
5.过多的特权
6.不必要的作业和脚本执行
7. Wifi网络

IT管​​理

1. IT能力不足
2.缺少的安全补丁
3.事件和问题管理不足
4.配置错误和错过的安全通知
5.系统操作错误
6.缺乏定期审核
7.废物处置不当
8.变更管理不足
9.业务流程缺陷
10.商业规则不足
11.商业控制不力
12.无法考虑人为因素的过程
13.对安全审计过度自信
14.缺乏风险分析
15.快速的业务变化
16.连续性计划不足
17.宽松的招聘流程

合作伙伴和供应商

1.电信服务中断
2.中断电力,天然气,水等公用事业服务
3.硬件故障
4.软件故障
5.丢失的邮件和快递包裹
6.供应中断
7.与合作伙伴和供应商共享机密数据

顾客

1.客户进入安全区域
2.客户对数据的访问(即客户门户)

办公室和数据中心

1.容易发生自然灾害(例如地震)的地点
2.政治上不稳定的地方
3.受政府监视的地点
4.不可靠的电源
5.高犯罪率地区
6.同一地理位置的多个站点

回复
分享: