OCTAVEProcess6抽樣資產(chǎn)脆弱性評估MSE安全攻防培訓資料

1、階段 6：抽樣資產(chǎn)脆弱性評估階段 6：抽樣資產(chǎn)脆弱性評估Process 6: Evaluate Selected Components描述Description目的：識別技術上的脆弱性，并對結(jié)果進行總結(jié)和摘要涉及人員：分析小組以及對方核心IT 雇員。數(shù)據(jù)流程圖表Data Flow Diagram階段 6：抽樣資 產(chǎn)脆弱 性評估輸出輸入技術上的脆弱性技術脆弱性摘要分析小組和對方關鍵IT 職員的知識技能工具軟件脆弱性目錄網(wǎng)絡拓撲結(jié)構圖（包括IP 地址）需評估的基礎資產(chǎn)工作表進行資產(chǎn)評估所選用的方法資產(chǎn)分類和抽樣草表121(O6.3)階段 6：抽樣資產(chǎn)脆弱性評估階段 6 實施指導方針階段 6：抽樣資

2、產(chǎn)脆弱性評估時間： 2 hr 3 hr工程現(xiàn)場目標：技術脆弱性分析，并對最終結(jié)果進行總結(jié)分析小組的任務：工程負責人負責總體指導項目的實施， 確保評估小組的所有成員都明確評估的實施步驟和方法，同時確保項目附加成員明確評估步驟和方法并能夠積極的參與工作。各項工作需指派專門的記錄人員， 項目實施工程中獲取的數(shù)據(jù)需經(jīng)過一致認可后方可填入工作表單中。其它人員需積極參與工作，準確完成評估任務。對方配合人員任務：如果對方的 IT 職員參與了脆弱性評估，他們必須對他們使用的評估工具和所得評估結(jié)果負責，他們同樣需要將他們的評估摘要提交我方的評估分析小組。專家顧問團的任務：如果專家顧問團成員參與了脆弱性評估， 他

3、們必須對他們使用的評估工具和所得評估結(jié)果負責，他們同樣需要將他們的評估摘要提交評估分析小組。必需的設備和資料：投影儀或幻燈機（可選）階段的介紹性幻燈片（可選）技術脆弱性評估的工具軟件抽樣選擇出的資產(chǎn)清單階段的工作表格：資產(chǎn)分類和抽樣草表現(xiàn)場工作結(jié)果總結(jié)和摘要：檢測出的技術脆弱性(O6.1)指出的技術脆弱性摘要(O6.2)技術脆弱性摘要122階段 6：抽樣資產(chǎn)脆弱性評估步驟D6.1在抽樣選定的資產(chǎn)上運行脆弱性評估的工具軟件工程實施之前Before the Workshop描述工作表由對方的 IT 職員和安全專家顧問協(xié)同操作。-在工程現(xiàn)場實施之前，由他們采用脆弱性評估的工具軟件，對脆弱性評估做簡單

4、總結(jié)摘要。工程實施現(xiàn)場During the Workshop步驟描述工作表工程現(xiàn)場的基本了現(xiàn)場負責人需確認每個成員都能夠明確他們-解的角色和責任，并且已經(jīng)準備好需要的工作需要的設備和資料。A6.1檢測技術脆弱性并由運行脆弱性評估工具軟件的對方人員和專資產(chǎn)分類和抽樣草表進行結(jié)果總結(jié)和摘家顧問針對各個關鍵資產(chǎn)提交脆弱性摘要并要負責向評估分析小組進行解釋說明。每份脆弱性摘要將被復審并進行恰當?shù)男拚?。實施結(jié)果總結(jié)摘要現(xiàn)場負責人檢查工作結(jié)果，查看每項工作是-否都已準確完成，并安排下階段工作的時間進度。123階段 6：抽樣資產(chǎn)脆弱性評估階段 6 工程之前D6.1對選擇的基礎組件運行漏洞評估工具活動中使用的

5、工作表活動的輸出活動時間-技術漏洞 (O6.1)-建議的技術漏洞摘要(O6.2)基本指南在本活動中， IT 職員或外部專家執(zhí)行漏洞評估，它們負責運行漏洞評估工具并在工程之前建立詳細的漏洞報表。1. 在使用漏洞評估工具之前，指定職員（IT 職員或外部專家）必須驗證：使用的是正確的工具使用的工具的最新版本得到的所有的許可以及所有受到影響的人員在階段 5 完成的任何其它活動項目2. 指派職員對在階段 5 確定選擇的基礎設施組件運行漏洞評估工具。分析組的成員觀察評估或者適當?shù)臅r候直接參與評估。如果指派的人員不能檢查基礎組件的技術漏洞，則需要記錄原因，階段 6 的工作中必須與分析組討論這些情況。3. 指

6、派職員檢查詳細的工具產(chǎn)生的漏洞信息，解釋結(jié)果，為每一個關鍵組件創(chuàng)建初步的技術漏洞摘要。每個組件的漏洞摘要包括下面的信息：立即修復的漏洞 ( 高重要性 ) 的數(shù)目盡快修復的漏洞 ( 中等重要性 )的數(shù)目稍后修復的漏洞數(shù)量(低重要性 )的數(shù)目124階段 6：抽樣資產(chǎn)脆弱性評估階段 6 工程之前D6.1對選擇的基礎組件運行漏洞評估工具額外的指南軟件漏洞評估工具應該為每種選擇的組件收集下列類型的信息：漏洞名稱漏洞的描述漏洞的重要性級別修補漏洞需要的行為注意在參考書目中列出了特定的漏洞工具。漏洞評估工具檢查已知的技術漏洞。漏洞的目錄通常在CVE 中使用。在網(wǎng)絡上運行漏洞評估工具之前應該確保具有適當?shù)脑S可

7、和管理允許。IT 部門應該有獲得允許的過程來使用漏洞評估工具。初步的摘要的需求建立在假設漏洞評估不是所有分析組成員都執(zhí)行基礎上。軟件評估工具生成非常詳細的報表， Checklists 和腳本需要相當?shù)男畔⒓夹g和安全專家使用，因此業(yè)務職員觀察但沒有積極參與評估的現(xiàn)象經(jīng)常出現(xiàn)。記得一些分析組成員應當是沒有日常正確配置和管理系統(tǒng)的業(yè)務人員，很多情況下， 核心分析組成員的技能會在附加的IT 職員或外部專家執(zhí)行漏洞評估時得到提高。IT 職員或外部專家執(zhí)行評估時初步的漏洞摘要需要與核心的分析組成員交流漏洞信息，摘要應該在工作中提交給分析組。如果核心分析組成員也積極參與漏洞評估，你可能要等到工作進行到分析和

8、解釋結(jié)果。詳細指南漏洞嚴重級別的列表是在 OCTAVE 處理中使用的基本集合，嚴重級別指的是對漏洞采取的行為的快慢，可以根據(jù)機構的需要調(diào)整漏洞的嚴重級別。通常，嚴重級別應該盡量完整，具有適當長度，不保留副本。125階段 6：抽樣資產(chǎn)脆弱性評估階段 6工程介紹活動中使用的工作表活動的輸出活動時間-15 分鐘基本指南參與該項工作的是核心分析組成員以及附加的人員。分析組的技能會在第6 階段工作時得到提高，附加的人員在工作之前進行漏洞評估，他們也參與工程。在本項工作中，需要提煉在工作之前提煉技術漏洞的總結(jié)摘要。在工作開始的時候， 領導者需要確信每個人明確自己的角色， 此外，領導者回顧完成的工作以及收集

9、準備了所有必需的材料。126階段 6：抽樣資產(chǎn)脆弱性評估A6.1 檢測技術脆弱性并進行結(jié)果總結(jié)和摘要活動中使用的工作表活動的輸出活動時間每種關鍵資產(chǎn)的 資產(chǎn)統(tǒng)計工作手冊技術漏洞摘要 (O6.3)1小時 30分鐘(WK)2小時 30分鐘基本指南在本工作中以小組的形式進行工作，回顧和提煉每個關鍵組件的技術漏洞的總結(jié)摘要。1. 選擇一種進行了漏洞評估的關鍵資產(chǎn)，轉(zhuǎn)到資產(chǎn)統(tǒng)計工作手冊的漏洞摘要部分。對每個評估的組件，首先檢查執(zhí)行評估的 IT 職員或外部專家建立的漏洞評估摘要，此摘要包括每種評估的組件的下列信息：立即修復的漏洞（高嚴重級漏洞）的數(shù)目盡快修復的漏洞（中等嚴重級的漏洞）的數(shù)目稍后修復的漏洞（

10、低嚴重級的漏洞）的數(shù)目2.對每一種選擇的組件，檢查和討論識別的技術漏洞的總結(jié)摘要。引導評估的IT 職員或外部專家將領導摘要的討論以及解釋結(jié)果。記得分析組包括信息技術職員以及業(yè)務職員，漏洞評估摘要必須讓每個分析組成員理解：發(fā)現(xiàn)的漏洞的類型以及何時需要關注對關鍵資產(chǎn)的潛在影響技術漏洞如何進行處理分析組的每個人都需要明白漏洞的總結(jié)摘要，在討論中，可以提議和組合摘要，漏洞摘要可以使用作為參考的詳細的漏洞報告。127階段 6：抽樣資產(chǎn)脆弱性評估A6.1檢測技術脆弱性并進行結(jié)果總結(jié)和摘要基本指南（續(xù)）摘要被查看和提煉以后，抄寫員要在資產(chǎn)統(tǒng)計工作手冊的漏洞摘要部分的適當部分記錄該摘要。你應該注意只有摘要在資

11、產(chǎn)統(tǒng)計工作手冊中做記錄，工具生成的詳細報表應該在評估后漏洞被關注的時候保留和使用。此外，對漏洞進行的特定行為以及推薦應該在資產(chǎn)統(tǒng)計手冊的漏洞摘要部分做記錄。如果需要立即處理技術漏洞，確保分配行為以及為其指派職責。3. 在你查看和討論漏洞摘要之后，應該執(zhí)行在第四階段創(chuàng)建的威脅統(tǒng)計的差距分析。轉(zhuǎn)到關鍵資產(chǎn)的資產(chǎn)統(tǒng)計工作手冊（ WK ）的威脅與風險統(tǒng)計的部分。必須再次檢查使用網(wǎng)絡訪問的人類參與者的威脅樹的未標記的分支，考慮下面的問題：與關鍵資產(chǎn)的基本組件相關的技術漏洞是不是對資產(chǎn)的威脅是不能忽視的？( 在威脅和風險統(tǒng)計部分標記這些分支。)當你達成統(tǒng)一意見時，抄寫員應該在工作手冊中的威脅樹的適當分支進

12、行標記。4. 完成對關鍵資產(chǎn)的本次活動時，轉(zhuǎn)到下一個資產(chǎn)，直到為每一個資產(chǎn)完成本活動并在工作手冊中進行了摘要的記錄。128階段 6：抽樣資產(chǎn)脆弱性評估A6.1檢測技術脆弱性并進行結(jié)果總結(jié)和摘要額外的指南技術漏洞是可能導致未授權行為的系統(tǒng)的脆弱性， 在很多情況下， 不恰當?shù)臋C構行為可能導致技術漏洞的存在。技術漏洞應用到網(wǎng)絡服務、體系結(jié)構、操作系統(tǒng)和應用程序，技術漏洞通常分為三種類型：1. 設計漏洞 在硬件或軟件的設計或描述時固有的漏洞，即使正確執(zhí)行也會出現(xiàn)問題。2. 執(zhí)行漏洞 由設計良好的硬件或軟件在執(zhí)行時的錯誤操作而導致的漏洞。3. 配置漏洞 對系統(tǒng)或組件進行配置和管理錯誤導致的漏洞。此外，技

13、術漏洞可被用來提煉目前使用的安全實踐的圖以及機構中的安全漏洞。技術漏洞可能由用戶對信息安全方針和實踐關注不夠、故意忽視已有的方針和實踐、 訓練不足、 不適當?shù)男湃味鸬?。技術漏洞可以直接精煉目前的實踐行為（可以查看附錄A 的實踐目錄、第15 卷的信息技術安全實踐），應該尋找有助于更好理解安全問題的模式。在建立漏洞模式的時候應該仔細，確保不是僅在一個或很少技術漏洞的基礎上就得出結(jié)論。查看影響關鍵資產(chǎn)的技術漏洞以在技術漏洞模式的基礎上得出結(jié)論時，記住在資產(chǎn)統(tǒng)計工作手冊的漏洞摘要部分記錄任何特定的行為或推薦。技術漏洞也定義了威脅的人類制造者的訪問關鍵資產(chǎn)的路徑，每個感興趣的系統(tǒng)都有幾個關鍵基礎組件， 它們是對關鍵信息的處理、存儲或傳輸很重要的多種類型的設備。當你識別了一個關鍵基礎組件的技術漏洞時。額外的指南（續(xù)）高嚴重級的漏洞， 按照定義， 是需要立即處理的主要的脆弱性， 如果威脅參與者開發(fā)了一個高嚴重級的漏洞， 會直接導致對關鍵資產(chǎn)安全需求違反。 本階段的一個輸出是對所有高嚴重級的漏洞的處理。 低嚴重級漏洞，按照定義，是可以在遲些時候進行處理的脆弱性，這并不意味著可以忽視它們。OCTAVE 的輸出包括保護策略和風險回避計劃，在創(chuàng)建任一個輸出時，應該考慮在管理漏洞時應該作什么（查看在附錄A 中的行為目錄的與漏洞管理相關的行為）。漏洞管理處理過程包括：檢查一段時間中的計算基礎設