威胁建模中的评估问题列表
威胁建模中的评估问题列表
- 1.为什么需要评估问题列表?
- 2.评估问题列表项
- 访问控制
- 安全开发
- 业务连续性
- 加密
- 资产管理
- 法律问题
- 事件响应
- 网络
- 操作
- 物理和环境
- 调控
- 安全体系结构
- 供应商
1.为什么需要评估问题列表?
在企业中发现安全漏洞的最有效方法是,创建基础结构威胁模型。 它以一组评估问题开始。基础结构威胁模型有助于可视化企业是如何被访问、连接和保护的。 这样,可以更轻松地识别使用哪些安全控制来帮助减少或消除风险
此评估问题列表是一个很好的起点。 企业可以根据具体需要添加更多问题
2.评估问题列表项
访问控制
| 问题 | 覆盖领域 |
|---|---|
| 描述你如何限制对物理(如服务器、数据中心、办公室、敏感设备等)和逻辑企业资源(信息系统、网络和数据)的访问。 | + 域控制器类型和配置,如 Active Directory。 + 单点登录SSO。 + 两个或多个独立域之间的信任,即允许跨域访问(单向或双向)。 + 为用户分配访问权限或资源的过程,例如创建账户、分配权限等。 + 谁管理域控制器、SSO、为用户分配访问权限或资源? |
| 你如何建立并验证每个人的身份? | + 为每个用户类型创建和管理别名的流程(用户在系统中注册时,通常会创建一个唯一的用户名或别名)。 + 身份验证方法,如 MFA(多种身份验证) 或 SSO(单点登录)。 + 身份验证因素,如生物特征扫描、手机身份验证、智能卡和受信任的平台模块 (TPM,一种硬件安全模块,用于存储加密密钥和进行身份验证)。 + 谁管理别名、身份验证方法和因素? |
| 你如何判断谁可以访问企业资源? | + 使用的访问限制机制。 示例包括最小特权、责任分离、RBAC、玻璃破碎方案、供应商访问限制和组成员资格。 + 谁管理访问限制机制? |
| 描述每个用户类型的密码策略。 | + 每个用户类型的密码要求。 + 密码要求在用户、管理员账户、共享帐户和服务帐户方面的差异。 + 密码创建、修改和重置准则。 + 用于跟踪密码操作的日志记录和监视机制。 + 每个用户类型的密码到期策略。 + 密码尝试失败次数限制。 + 密码共享限制。 + 谁在企业中管理密码? |
| 你如何管理对在线社交帐户的访问? | + 用于社交媒体品牌的词头要求(确保社交媒体账户使用的用户名、头像和描述与品牌的一致性)。 + 社交媒体访问准则(内容创建者、编辑者和审核者的权限应有所不同)。 + 访问审核节奏(日志应定期检查)。 + 谁管理社交媒体帐户? |
| 你如何管理管理员用户、共享帐户、备用帐户和系统帐户? | + 每个帐户类型的审批流程(如管理员账户通常需要通过正式的申请和审批流程来创建和分配)。 + 到期日期或停用日期。 + 用于监视、记录和处理可疑活动的流程。 + 用于远程访问的帐户(管理员账户的远程访问应通过安全协议如VPN和多因素身份验证来保护)。 + 访问限制机制,如实时访问(实施实时访问控制机制,确保管理员在非工作时间或异常情况下不能访问系统)。 + 管理帐户限制,如仅在安全环境中使用它们。 + 谁管理这些类型的帐户和访问限制机制? |
| 描述资源访问请求的批准、审核和管理流程。 | + 初始请求处理(用户通过正式的请求系统如服务台、访问管理系统或自服务门户提交访问请求)、评审流程(需要经过请求者的部门经理或直接上级的审批)、初始培训要求(对于获得访问权限的用户,通常需要完成相关的初始培训,了解资源的使用规定和安全政策)和审核(定期审计访问权限,以确保其与当前的业务需求和角色相符)。 + 谁管理资源访问请求流程? |
安全开发
| 问题 | 覆盖领域 |
|---|---|
| 安全开发生命周期 (SDL)。 | + 安全培训、设计评审、威胁模型、工程安全要求和其他安全流程。 + 所使用的手动和自动工具。 + 工程团队如何报告和响应代码中的问题。 |
| 你如何处理和会审安全 bug? | + 用于帮助区分问题严重性的风险评估管理策略。 |
| 你如何保护源代码和修复 bug? | + 源代码安全分类。 + 用于保护源代码的访问控制。 + 安全 bug 的创建、审核、修复和存储流程。 + 用于管理安全问题的专用工作流。 + bug 严重性基线。 |
业务连续性
| 问题 | 覆盖领域 |
|---|---|
| 你如何确定企业中的所有关键资产? | + 识别需要备份的内容。 + 关键资产的概略列表。 |
| 描述备份和恢复流程 | + 完整的备份和恢复流程。 + 备份和恢复节奏(全备份/增量备份/差异备份)。 + 备份保持期(短期/长期)。 + 用于备份和恢复活动的监视和报告机制。 + 用于保护备份的加密。 |
| 描述灾难恢复计划。 | + 可用性和复原能力测试节奏(每年进行至少一次全面的灾难恢复演练,模拟灾难场景并测试所有恢复流程)。 + 恢复和还原审核节奏(每年进行一次灾难恢复计划的全面审计,检查恢复流程的有效性和符合性)。 + 热站点(一个备份的数据中心或设施,实时同步主数据中心的关键系统和数据。当主站点发生灾难时,热站点可以立即接管业务运营)和其他高可用性机制。 |
加密
| 问题 | 覆盖领域 |
|---|---|
| 描述用于创建、管理和保护加密密钥的系统。 | + PKI(公钥基础设施) 和 HSM(硬件安全模块) 物理与逻辑部署要求。(PKI 组件,如 CA证书颁发机构服务器,通常应部署在安全的机房中,采用物理访问控制措施,防止未经授权的访问;HSM 设备应部署在受控环境中,如数据中心,防止物理访问和篡改。通常具有防篡改设计和认证) + PKI 和 HSM 维护。 + 密钥轮换准则(根据安全政策和合规要求,定期轮换密钥。例如,可能每年或每两年轮换一次密钥)。 |
| 描述用于创建、管理和保护证书的系统。 | + 证书生命周期(证书生命周期管理包括从证书创建到最终撤销的整个过程)。 + 自签名证书准则(自签名证书适用于内部测试环境、开发环境和内部系统,而不适用于公共互联网)。 |
| 企业如何对企业数据进行中转、静态和使用保护? | + 所使用的加密做法和基线。 |
资产管理
| 问题 | 覆盖领域 |
|---|---|
| 描述数据保留策略。 | + 文件要保留多长时间。 |
| 描述企业如何处理、传输和销毁物理资产。 | + 传输或销毁期间的资产保护流程。 + 在处理期间采用的安全控制,如加密、锁定、内存擦除和受信任的供应商。 + 用于防止资产处理期间发生意外数据泄漏的系统,如DLP防泄漏系统。 |
| 描述逻辑和物理资产的分类和标记流程。 | + 资产标记和分类流程。 + 标记和分类评审节奏(每年进行一次全面的资产分类和标记审查,检查分类准确性和标签状况)。 + 用于评估风险或更改分类级别的流程(评估资产面临的风险,包括数据泄露、物理损坏或未经授权的访问)。 + 对员工进行数据分类培训。 + 用于在相同或更高分类级别的资产中存储已分类数据的流程(确保数据存储位置与数据分类级别匹配。例如,将高敏感性数据存储在高安全级别的服务器上)。 + 所使用的资产跟踪系统(实时跟踪资产的位置、状态和分类信息)。 + 资产分组。 + 基于分类级别的安全和隐私控制实现。 + 对每个管理流程的人的要求。 |
| 企业如何销毁不再需要的保密资产? | + 跨所有介质(如硬盘、磁带和磁盘)进行数据销毁的安全要求。 + 协助资产销毁的第三方系统或公司。 |
| 如果资产丢失、缺失或被运送到企业之外,会怎么样? | + 用于每个方案的工作流。 + 每个工作流完成前后的数据安全流程。 |
| 描述企业如何保护数据。 | + 对数据进行的静态、使用和中转加密。 + 数字签名、HMAC 和哈希的使用。 + 使用区块链和链下加密来防止窜通勾结。 + 此问题与“加密”类别下的另一个问题类似。 |
| 有什么机制来防止未经授权地共享和下载数据? | + 用于防止未经授权地共享和下载数据的安全控制。 示例包括通知、日志、共享评审流程或其他限制。 |
| 描述跨资产和服务的工作会话超时流程。 | + 旨在防止未经授权的访问的自动超时会话(根据资产和服务的敏感性设置不同的超时时间。高敏感性资产可能需要更短的超时时间)。 |
法律问题
| 问题 | 覆盖领域 |
|---|---|
| 员工和供应商如何遵守安全策略? | + 条款和条件、NDA、策略、协议以及员工和供应商签署的其他合同。 |
| 产品是否因加密功能而被禁止销往任何国家/地区? | + 因产品的加密功能而禁止销售产品的市场。 |
| 描述用于满足与企业资产相关的所有行业要求、法律要求、合同要求和监管合规性要求的流程。 | + 企业如何满足合规性要求。 + 合规性风险评估评审。 + 存在日志记录和监视机制。 + 用于每个用户类型的访问控制。 + 所使用的资产安全基线。 + 连接到网络的每个节点如何满足安全合规性要求。 + 为了强制执行合规性而就位的检测和保护系统。 + 用于满足监管合规性要求的特殊化设施运营。 + 谁管理要求合规性? + 此问题与“访问控制”、“运营”、“网络”和“安全体系结构”类别下的另一个问题类似。 |
事件响应
| 问题 | 覆盖领域 |
|---|---|
| 描述企业的事件响应流程。 | + 用于保护、检测和响应企业事件的策略。 + 企业如何将风险降到最低,包括避免丢失或销毁的步骤。 + 开展培训、桌面式练习(如钓鱼演练)和其他活动。 |
| 描述产品的事件响应流程。 | + 用于保护、检测和响应产品事件的策略。 + 企业如何将风险降到最低,包括避免丢失或销毁的步骤。 + 培训、桌面式练习和其他活动。 |
网络
| 问题 | 覆盖领域 |
|---|---|
| 描述网络如何处理和加密企业数据。 | + 每种数据分类类型的网络处理流程。 + 网络加密。 |
| 描述网络安全检测和保护控制的使用。 | + 每种数据分类类型的网络处理流程。 + 防火墙的使用和实现。 + VPN 的使用和实现。 + 日志记录与监视系统和功能。 + 网络访问限制。 + 防火墙入站和出站规则。 |
| 企业如何隔离网络? | + 信任区域级别的使用。 + 网络隔离策略,如外围网络、虚拟局域网 (VLAN) 和防火墙。 |
| 企业如何管理企业网络? | + VPN 和远程网络访问管理流程。 + 对带外连接点和终结点的允许规则和拒绝规则的配置。 + 网络身份验证。 + 更新后的网络图(定期更新网络拓扑图,反映网络架构的变化,包括新设备、修改的连接和网络划分)。 |
操作
| 问题 | 覆盖领域 |
|---|---|
| 企业如何防范漏洞? | + 防病毒 (AV) 的实现和强制执行详细信息。 + 第一方漏洞和渗透测试计划。 + 第三方漏洞和渗透测试计划。 |
| 企业如何验证终结点(网络上的任何一个设备或节点)安全运行状况? | + 移动设备管理 (MDM) 的实现和强制执行详细信息。 + 用于断开运行不正常的设备与企业之间连接的策略和系统。 |
| 企业如何更新终结点? | + 向所有终结点交付安全补丁的流程。 + 更新节奏。 |
| 描述用于保护企业的日志记录和监视系统 | + 安全事件标识、日志记录和监视实现。 + 情报平台的使用和配置详细信息。 + 安全事件引入工作流。 |
物理和环境
| 问题 | 覆盖领域 |
|---|---|
| 描述用于保护人员、资产和建筑物的物理安全控制。 | + 公司如何对其员工、资产和设施进行物理保护。 + 服务器机房安全和处理。 |
| 是否有特殊的流程来处理丢失或无人参与的企业设备? | + 参与流程。 + 擦除设备或将其放到存放位置的准则。 |
| 描述访客流程。 | + 访客登记流程。 + 陪伴要求。 |
| 企业准备如何应对自然灾害? | + 使用热站点。 + 高可用性控制。 |
调控
| 问题 | 覆盖领域 |
|---|---|
| 描述信息安全策略。 | + 企业如何创建、部署和维护信息安全策略。 + 策略内容。 + 用于跟踪这些策略的例外的流程。 |
| 描述风险管理计划。 | + 可用于强制执行每个安全策略的员工安全培训类型。 + 安全风险管理计划,其中包括如何在整个企业中处理风险。 |
安全体系结构
| 问题 | 覆盖领域 |
|---|---|
| 描述基础结构。 | + 了解基础结构是本地的(自有机房)、基于云(云供应商)的,还是两者的混合。 + 用于跨不同平台和操作系统提供可接受的安全级别的基线。 |
| 描述容器和 IoT 设备的基础结构。 | + IoT 和容器的使用。 + 用于网络访问、设备配置和数据处理的安全控制。 |
| 定义混合案例方案的其他安全控制 | + 用于保护基础结构的访问控制,尤其是在混合方案或基于云的方案中。 + 跨数据中心使用的硬件跟踪机制。 + 就位的备份机制。 + 网络安全控制。 + 测试和监视所使用的系统,尤其是在混合方案或基于云的方案中。 + 数据处理流程。 |
供应商
| 问题 | 覆盖领域 |
|---|---|
| 描述可以帮助你决定与谁有业务往来的第三方审核流程。 | + 公司如何处理第三方安全风险。 + 与供应商沟通问题的流程。 + 向供应商发送的调查表,以详细了解其安全流程。 |
| 每个供应商的服务级别协议是怎样的? | + 供应商更新其服务所需的时间。 + 需要多长时间才能收到支持团队的回复。 |