OCTAVEProcess6

阶段 6：抽样资产脆弱性评估 121 阶段阶段 6：抽样资产脆弱性评估：抽样资产脆弱性评估 Process 6: Evaluate Selected Components 描述描述 Description 目 的：识别技术上的脆弱性，并对结果进行总结和摘要 涉及人员：分析小组以及对方核心 IT 雇员。 数据流程图表数据流程图表 Data Flow Diagram 阶段阶段 6： 抽样资产脆弱性评 估 输入输入 分析小组和对方关键 IT 职员的知识技能 工具软件 脆弱性目录 网络拓扑结构图（包括 IP 地址） 需评估的基础资产 进行资产评估所选用的方法 输出输出 技术上的脆弱性 技术脆弱性摘要 工作表工作表 资产分类和抽样草表 阶段 6：抽样资产脆弱性评估 122 阶段阶段 6 实施指导方针实施指导方针 阶段阶段 6：抽样资产脆弱性评估：抽样资产脆弱性评估时间：时间：2 hr 3 hr 工程现场目标：工程现场目标： 技术脆弱性分析，并对最终结果进行总结 分析小组的任务：分析小组的任务： 工程负责人负责总体指导项目的实施，确保评估小组的所有成员都明确评估的实施步 骤和方法，同时确保项目附加成员明确评估步骤和方法并能够积极的参与工作。 各项工作需指派专门的记录人员，项目实施工程中获取的数据需经过一致认可后方可 填入工作表单中。 其它人员需积极参与工作，准确完成评估任务。 对方配合人员任务：对方配合人员任务： 如果对方的 IT 职员参与了脆弱性评估，他们必须对他们使用的评估工具和所得评估结果负 责，他们同样需要将他们的评估摘要提交我方的评估分析小组。 专家顾问团的任务：专家顾问团的任务： 如果专家顾问团成员参与了脆弱性评估，他们必须对他们使用的评估工具和所得评估结果 负责，他们同样需要将他们的评估摘要提交评估分析小组。 必需的设备和资料：必需的设备和资料： 投影仪或幻灯机 （可选） 阶段的介绍性幻灯片 （可选） 技术脆弱性评估的工具软件 抽样选择出的资产清单 阶段的工作表格：资产分类和抽样草表 现场工作结果总结和摘要：现场工作结果总结和摘要： 检测出的技术脆弱性 (O6.1) 指出的技术脆弱性摘要(O6.2) 技术脆弱性摘要 (O6.3) 阶段 6：抽样资产脆弱性评估 123 工程实施之前工程实施之前 Before the Workshop 步骤步骤描述描述工作表工作表 D6.1在抽样选定的资产 上运行脆弱性评估 的工具软件 由对方的 IT 职员和安全专家顾问协同操作。 在工程现场实施之前，由他们采用脆弱性评 估的工具软件，对脆弱性评估做简单总结摘 要。 - 工程实施现场工程实施现场 During the Workshop 步骤步骤描述描述工作表工作表 工程现场的基本了 解 现场负责人需确认每个成员都能够明确他们 的角色和责任，并且已经准备好需要的工作 需要的设备和资料。 - A6.1检测技术脆弱性并 进行结果总结和摘 要 由运行脆弱性评估工具软件的对方人员和专 家顾问针对各个关键资产提交脆弱性摘要并 负责向评估分析小组进行解释说明。每份脆 弱性摘要将被复审并进行恰当的修正。 资产分类和抽样草表 实施结果总结摘要现场负责人检查工作结果，查看每项工作是 否都已准确完成，并安排下阶段工作的时间 进度。 - 阶段 6：抽样资产脆弱性评估 124 阶段阶段 6 工程之前工程之前 D6.1 对选择的基础组件运行漏洞评估工具对选择的基础组件运行漏洞评估工具 活动中使用的工作表活动中使用的工作表活动的输出活动的输出活动时间活动时间 -技术漏洞(O6.1) 建议的技术漏洞摘要(O6.2) - 基本指南基本指南 在本活动中，IT 职员或外部专家执行漏洞评估，它们负责运行漏洞评估工具并在工程之前建立 详细的漏洞报表。 1.在使用漏洞评估工具之前，指定职员（IT 职员或外部专家）必须验证： 使用的是正确的工具 使用的工具的最新版本 得到的所有的许可以及所有受到影响的人员 在阶段 5 完成的任何其它活动项目 2.指派职员对在阶段 5 确定选择的基础设施组件运行漏洞评估工具。分析组的成员观察评估 或者适当的时候直接参与评估。如果指派的人员不能检查基础组件的技术漏洞，则需要记 录原因，阶段 6 的工作中必须与分析组讨论这些情况。 3.指派职员检查详细的工具产生的漏洞信息，解释结果，为每一个关键组件创建初步的技术 漏洞摘要。 每个组件的漏洞摘要包括下面的信息： 立即修复的漏洞(高重要性)的数目 尽快修复的漏洞(中等重要性)的数目 稍后修复的漏洞数量(低重要性)的数目 阶段 6：抽样资产脆弱性评估 125 阶段阶段 6 工程之前工程之前 D6.1 对选择的基础组件运行漏洞评估工具对选择的基础组件运行漏洞评估工具 额外的指南额外的指南 软件漏洞评估工具应该为每种选择的组件收集下列类型的信息： 漏洞名称 漏洞的描述 漏洞的重要性级别 修补漏洞需要的行为 注意在参考书目中列出了特定的漏洞工具。 漏洞评估工具检查已知的技术漏洞。漏洞的目录通常在 CVE 中使用。 在网络上运行漏洞评估工具之前应该确保具有适当的许可和管理允许。IT 部门应该有获得允许 的过程来使用漏洞评估工具。 初步的摘要的需求建立在假设漏洞评估不是所有分析组成员都执行基础上。软件评估工具生成 非常详细的报表，Checklists 和脚本需要相当的信息技术和安全专家使用，因此业务职员观察但 没有积极参与评估的现象经常出现。 记得一些分析组成员应当是没有日常正确配置和管理系统的业务人员，很多情况下，核心分析 组成员的技能会在附加的 IT 职员或外部专家执行漏洞评估时得到提高。IT 职员或外部专家执 行评估时初步的漏洞摘要需要与核心的分析组成员交流漏洞信息，摘要应该在工作中提交给分 析组。 如果核心分析组成员也积极参与漏洞评估，你可能要等到工作进行到分析和解释结果。 详细指南详细指南 漏洞严重级别的列表是在 OCTAVE 处理中使用的基本集合，严重级别指的是对漏洞采取的行为 的快慢，可以根据机构的需要调整漏洞的严重级别。 通常，严重级别应该尽量完整，具有适当长度，不保留副本。 阶段 6：抽样资产脆弱性评估 126 阶段阶段 6 工程工程 介绍介绍 活动中使用的工作表活动中使用的工作表活动的输出活动的输出活动时间活动时间 -15 分钟 基本指南基本指南 参与该项工作的是核心分析组成员以及附加的人员。 分析组的技能会在第 6 阶段工作时得到提高，附加的人员在工作之前进行漏洞评估，他们也参 与工程。 在本项工作中，需要提炼在工作之前提炼技术漏洞的总结摘要。 在工作开始的时候，领导者需要确信每个人明确自己的角色，此外，领导者回顾完成的工作以 及收集准备了所有必需的材料。 阶段 6：抽样资产脆弱性评估 127 A6.1检测技术脆弱性并进行结果总结和摘要检测技术脆弱性并进行结果总结和摘要 活动中使用的工作表活动中使用的工作表活动的输出活动的输出活动时间活动时间 每种关键资产的资产统计工作手册 (WK) 技术漏洞摘要 (O6.3)1 小时 30 分 钟 2 小时 30 分 钟 基本指南基本指南 在本工作中以小组的形式进行工作，回顾和提炼每个关键组件的技术漏洞的总结摘要。 1.选择一种进行了漏洞评估的关键资产，转到资产统计工作手册的漏洞摘要部分。 对每个评估的组件，首先检查执行评估的 IT 职员或外部专家建立的漏洞评估摘要，此摘要 包括每种评估的组件的下列信息： 立即修复的漏洞（高严重级漏洞）的数目 尽快修复的漏洞（中等严重级的漏洞）的数目 稍后修复的漏洞（低严重级的漏洞）的数目 2.对每一种选择的组件，检查和讨论识别的技术漏洞的总结摘要。引导评估的 IT 职员或外部 专家将领导摘要的讨论以及解释结果。 记得分析组包括信息技术职员以及业务职员，漏洞评估摘要必须让每个分析组成员理解： 发现的漏洞的类型以及何时需要关注 对关键资产的潜在影响 技术漏洞如何进行处理 分析组的每个人都需要明白漏洞的总结摘要，在讨论中，可以提议和组合摘要，漏洞摘要 可以使用作为参考的详细的漏洞报告。 阶段 6：抽样资产脆弱性评估 128 A6.1检测技术脆弱性并进行结果总结和摘要检测技术脆弱性并进行结果总结和摘要 基本指南（续）基本指南（续） 摘要被查看和提炼以后，抄写员要在资产统计工作手册的漏洞摘要部分的适当部分记录该 摘要。 你应该注意只有摘要在资产统计工作手册中做记录，工具生成的详细报表应该在评估后漏 洞被关注的时候保留和使用。 此外，对漏洞进行的特定行为以及推荐应该在资产统计手册的漏洞摘要部分做记录。 如果需要立即处理技术漏洞，确保分配行为以及为其指派职责。 3.在你查看和讨论漏洞摘要之后，应该执行在第四阶段创建的威胁统计的差距分析。转到关 键资产的资产统计工作手册（WK）的威胁与风险统计的部分。必须再次检查使用网络访问 的人类参与者的威胁树的未标记的分支，考虑下面的问题： 与关键资产的基本组件相关的技术漏洞是不是对资产的威胁是不能忽视的？(在威胁 和风险统计部分标记这些分支。) 当你达成统一意见时，抄写员应该在工作手册中的威胁树的适当分支进行标记。 4.完成对关键资产的本次活动时，转到下一个资产，直到为每一个资产完成本活动并在工作 手册中进行了摘要的记录。 阶段 6：抽样资产脆弱性评估 129 A6.1检测技术脆弱性并进行结果总结和摘要检测技术脆弱性并进行结果总结和摘要 额外的指南额外的指南 技术漏洞是可能导致未授权行为的系统的脆弱性，在很多情况下，不恰当的机构行为可能导致 技术漏洞的存在。 技术漏洞应用到网络服务、体系结构、操作系统和应用程序，技术漏洞通常分为三种类型： 1.设计漏洞 在硬件或软件的设计或描述时固有的漏洞，即使正确执行也会出现问题。 2.执行漏洞 由设计良好的硬件或软件在执行时的错误操作而导致的漏洞。 3.配置漏洞 对系统或组件进行配置和管理错误导致的漏洞。 此外，技术漏洞可被用来提炼目前使用的安全实践的图以及机构中的安全漏洞。技术漏洞可能 由用户对信息安全方针和实践关注不够、故意忽视已有的方针和实践、训练不足、不适当的信 任而引起的。 技术漏洞可以直接精炼目前的实践行为（可以查看附录 A 的实践目录、第 15 卷的信息技术安 全实践） ，应该寻找有助于更好理解安全问题的模式。在建立漏洞模式的时候应该仔细，确保不 是仅在一个或很少技术漏洞的基础上就得出结论。查看影响关键资产的技术漏洞以 在技术漏洞模式的基础上得出结论时，记住在资产统计工作手册的漏洞摘要部分记录任何特定 的行为或推荐。 技术漏洞也定义了威胁的人类制造者的访问关键资产的路径，每个感兴趣的系统都有几个关键 基础组件，它们是对关键信息的处理、存储或传输很重要的多种类型的设备。当你识别了一个 关键基础组件的技术漏洞时。 额外的指南（续）额外的指南（续） 高严重级的漏洞，按照定义，是需要立即处理的主要的脆弱性，如果威胁参与者开发了一个高 严重级的漏洞，会直接导致对关键资产安全需求违反。本阶段的一个输出是对所有高严重级的 漏洞的处理。低严重级漏洞，按照定义，是可以在迟些时候进行处理的脆弱性，这并不意味着 可以忽视它们。 OCTAVE 的输出包括保护策略和风险回避计划，在创建任一个输出时，应该考虑在管理漏洞时 应该作什么（查看在附录 A 中的行为目录的与漏洞管理相关的行为） 。漏洞管理处理过程包括： 检查一段时间中的计算基础设施的每一