什么是威胁模型?
威胁建模,定义为 OWASP, “工作来识别, 沟通, 在保护有价值的东西的背景下理解威胁和缓解". 它是一种围绕组织拥有哪些关键资产以及哪些是该组织可能面临的威胁进行结构化思考的方法. 的re are many different ways of applying threat modelling; in our latest podcast, 美高梅集团app下载讨论了一种更普遍的方法,适用于任何希望保护资产的公司.
定义关键资产
公司自己的临界度度量可能与攻击者的思维过程不匹配, 这意味着要理解什么是“关键资产”是很棘手的. 社交媒体账户可能并不被企业视为重要资产, 但它们经常成为攻击者的目标. 一个有用的起点是监管机构,他们往往会自己强制要求这样做. PCI遵从性 关于支付卡信息就是一个例子, but there are many others; financial services, 药品, 油气和许多其他行业都有自己的合规和监管考虑.
关键业务资产的常见示例是保存客户数据的数据库, 支付处理系统, 员工访问系统, 交易平台或交易所, 或企业资源计划(ERP)应用程序(你可以在美高梅集团app下载与Onapsis的联合研究中阅读更多关于ERP应用程序的威胁 ERP应用面临挑战).
了解攻击者想要什么
定义了关键资产之后,重要的是要理解这些资产的目标是什么. FIN7例如,该公司追踪的是支付卡数据和非公开信息. 的 格勒乌 被搜索的电子邮件,分析和内部文件. 叙利亚电子军(SEA)的目标是社交媒体账户.
这可能不是很明显,因为您的数据可能在更大的操作中作为垫脚石很有吸引力. 一些演员,如 Winnti伞, 瞄准游戏公司窃取密码材料,用于在随后的攻击中签署恶意软件. 事实上, 对手针对组织有各种各样的原因, 其中许多美高梅集团app下载在之前的博客中概述过 把你的目光放在奖品上.
了解威胁参与者的能力和意图
下一个阶段是了解威胁状况. 第一阶段将列出不同类型的威胁行动者,包括:
- 黑客行为主义者 比如Anonymous黑客入侵HBGary
- 内部人士 (包括故意的和意外的),比如美国国家安全局和英国税务海关总署的各种泄密.
- 主管个人的黑客 比如菲尼亚斯·费舍尔攻击黑客团队
- 犯罪集团年代,如 FIN7,调查支付卡数据和非公开信息.
- 民族国家的演员,例如 格勒乌该公司的数据分析和内部文件.
- 民族国家代理 比如叙利亚电子军(SEA)将社交媒体账户作为攻击目标.
对于每种类型的攻击者,您需要了解它们的能力和意图.
- 了解对手的战术、技术和程序(TTPs). 要了解一个群体的能力, 斜接丙氨酸&CK,它有助于将对手的活动映射到已知的技术和软件,是一个很好的资源.
- 考虑为什么特定类型的威胁行动者会以您的组织为目标? 他们希望得到什么? 他们的目标是什么??
开发场景
在确定关键资产和最有可能的对手之后,必须开发场景. 假设一个示例威胁参与者通常以组织的关键资产之一为目标,并使用已知的ttp绘制出典型的攻击路径. 这些场景可以是红队、紫队,甚至是桌面游戏.
这些场景最重要的方面是确定要减轻的安全控制, 防止和检测特定威胁行动者的谍报技术. 这使您能够发现控制中的差距,并制定出补救计划.
Summary
并非所有的组织都将成为一个民族国家或有组织犯罪集团的目标, 但他们的资产对对手的长期目标仍然有价值. 通过识别资产, 了解威胁情况和正在发展的情况, 组织能够了解他们的防御系统是如何对他们的资产进行最可能的威胁. 最重要的是,他们可以集中精力改善与他们面临的风险最相关的领域. 请查看播客以听到完整的讨论!
为了跟上最新的美高梅集团app下载威胁情报和新闻, 请在这里订阅美高梅集团app下载的威胁情报邮件.
