重要行業關鍵信息基礎設施網路安全威脅簡析

微軟的安全研究員HoWard與LeBlanc的著名論著《編寫安全的代碼（第二版）》（Writing Secure Code）一文中，對威脅作出如下定義：「威脅是可能會導致人們不希望結果的潛在事件。」 這一定義揭示了威脅的五個關鍵要素，即威脅實施者、威脅目標、實施威脅的方法、威脅可能造成的危害和威脅的潛在性。結合網路安全領域的攻防特徵，在網路安全威脅建模方面，威脅五要素可映射成威脅源、資產、攻擊方法、脆弱性和防禦手段這五個威脅本體。

基於以上五個威脅本體，可從以下三個方面對重要行業的關鍵信息基礎設施進行威脅分析：

（1）構建威脅源用戶畫像，對威脅源和攻擊意圖進行分析。

（2）對重要行業網路內部資產進行識別和分類。資產種類繁多，屬性不同，只有在統一的分類標準下，才能對資產面臨的威脅逐類分析。

（3）以資產視角構建全網的威脅和攻擊防禦視圖，發現威脅起效點和傳播路徑，並進行針對性防護。

GIF

威脅源用戶畫像構建

GIF

在信息安全領域，威脅被廣泛理解為利用脆弱性的威脅實體所帶來的危險。其中，威脅實體也被稱之為威脅主體，即可以對資產施加不利行為的實體，通俗地講，威脅主體是實施威脅的威脅源。

威脅主體是攻擊的發起者，它通過網路實體資產發動攻擊。參照威脅代理風險評估中對攻擊者的多維度描述，對威脅主體進行識別和劃分，這些攻擊者屬性特徵包括：意圖、技術水平、身份、層級、所屬地區以及所使用的攻擊方法等，具體屬性描述見下圖。

因重要行業系統所承載的信息和數據涉及國家的核心利益，對其安防不僅僅要考慮個人以及組織級別的威脅源，更要對國家級的威脅進行防護。因此對威脅源的劃分主要參考了美國國土安全對網路攻擊源能力描述：能力較高的威脅源起國、能力較低的威脅源起國、網路犯罪分子、黑客犯罪分子、恐怖分子。再根據重要行業網路內部人員是否具有動機劃分為內部惡意人員和內部無意人員。另外，重要行業網路除了民用應用資源外，還具備種類繁雜的重要行業系統，因此威脅源還包括各類資源故障所導致的系統問題。

在威脅源攻擊意圖方面，可基於保密性、完整性、可用性的基本安全屬性對威脅源意圖進行分析。美國國土安全評估網路攻擊源能力對網路攻擊源意圖劃分為：破壞關鍵基礎設施，中斷關鍵基礎設施運行，竊取情報、盜用知識產權，竊取敏感信息/PII，僅出現，分散式拒絕服務（DDos），網頁篡改。

結合重要行業實際網路環境的威脅主體，攻擊意圖可增加內部惡意行為、誤操作、軟硬體故障。

GIF

資產分類與脆弱性分析

GIF

對重要行業網路的資產按其特性歸納資產類型，總結每類資產可被威脅主體所利用的脆弱點。

資產分類

重要行業網路資產分類以OSI七層模型為基礎，結合網路安全等級保護2.0標準，將OSI七層模型映射到應用和數據安全、設備和計算安全、網路和通信安全、物理和環境安全。應用與數據層受到當前網路環境下的絕大多數攻擊，因此可將應用與數據分離，與實際應用場景相對應。從而形成應用安全、數據安全、設備與計算安全、網路和通信安全、物理與環境安全的基本分類。同時針對重要行業網路安全防護所需的安全設備，管理、維護和使用人員，以及重要行業環境所使用的特種設備，新增安全類、人員和特種行業設備這三大類。

最終形成如下資產分類如下

資產脆弱性分析

脆弱性是資產本身存在的，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產造成損害。而且如果系統足夠強健，嚴重的威脅也不會導致安全事件發生，並造成損失，威脅總是要利用資產的脆弱性才可能造成危害。

在重要行業網路環境中，脆弱性識別可以以資產為核心，在資產分類的基礎上，針對每一項需要保護的資產，從物理、網路、系統、應用等層次進行識別，識別可能被威脅利用的弱點，並對脆弱性的嚴重程度進行評估，通過該方式將資產與威脅對應起來。

通過參考MITRE的CAPEC攻擊分類方法，對每種攻擊利用的脆弱點都映射為相應的CWE編號，通過CWE對脆弱性的描述，將重要行業網路威脅對應的脆弱性劃分為五大類：已攻陷客體、安全配置、漏洞、人員管理、系統故障。

已攻陷客體：客體目標已經被攻陷並受控制在內網進行橫向滲透破壞。如已被木馬、蠕蟲感染的終端主機。

安全配置問題：由於配置不當導致的可利用缺陷。如口令強度不足，高危埠暴露等。

漏洞：在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。如永恆之藍（MS17-010）漏洞、struts2 s2-045漏洞等。

人員管理：個人安全意識的缺失，導致社會工程學對內部人員的利用。

系統故障：軟硬體設備故障或信息系統缺陷導致的不可預料脆弱點暴露。

GIF

基於威脅和攻擊防禦視圖的威脅分析

GIF

經上文對威脅源和資產的分析，結合重要行業實際網路環境，可構建如下威脅建模場景實例：能力高的威脅起源國通過永恆之藍漏洞對重要行業網路生產區的資料庫信息進行竊取。並基於該實例，從攻擊和防禦兩個視圖對威脅進行分析：

威脅視圖

威脅主體的來源和攻擊意圖：能力高的威脅起源國試圖竊取重要行業網路內的敏感信息。

基於重要行業網路內的資產劃分，分析目標資產的脆弱性，如存在安全配置中的埠暴露問題、遠程漏洞、人員安全意識淡薄、安全審計系統存在缺陷，利用以上脆弱點設計特定攻擊方法，對目標資產實施攻擊。

基於攻擊鏈模型，從脆弱點偵查、木馬製作、漏洞利用，到遠程登錄，直至竊取敏感信息成功，將攻擊過程串聯成威脅視圖。

攻擊防禦視圖

對網路資產的定期風險評估，識別網路隱患，對網路中存在的脆弱點進行加固。

通過檢測威脅主體相關攻擊源、攻擊意圖和攻擊方法，設計相應的聯動防禦策略。

針對攻擊行為發生所在的安全域信息如：管控網、生產區，提供安全域相應的防護設備及其所擁有的防護能力信息。

通過構建的威脅視圖和攻擊防禦視圖，在上文對威脅源和資產分析的基礎上，實現攻防兩個視角的威脅分析。

GIF

總結

GIF

全文首先在威脅源端，對威脅主體進行用戶畫像構建，劃分威脅源和攻擊意圖。然後對重要行業網路資產進行分類，總結資產可能存在的脆弱性。最後通過威脅和防禦兩個視圖實現威脅主體與受保護資產的管理，從攻防兩端構建威脅模型，以此模型支撐全網的安全防護體系建設。

NSFOCUS 巨人背後的安全專家

綠盟科技

行業BG第一業務本部

關注

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！