1、IIIT/CSACICS 35.240.01CCS L 60T/CSAC 0012023网络靶场 基于技战术模型的安全测评方法Cyber rangeSecurity test and evaluation method based on technology and tacticmodel2023-6-16 发布2023-6-16 实施中中国国网网络络空空间间安安全全协协会会发发 布布团体标准学兔兔 标准下载T/CSAC 0012023I目次前言.III1 范围.12 规范性引用文件.13 术语和定义.14 符号和缩略语.25 概述.25.1 攻击技战术模型概述.25.2 基于攻击技战术模型的
2、安全测评流程.36 确定测评实施方案.46.1 制定计划.46.2 组建团队.56.3 搭建测评环境.56.4 构建攻击技战术.76.5 体系化模拟.86.6 制定应急处置方案.87 测评执行.107.1 实施攻击测试.107.2 测评处置.108 风险量化计算.118.1 资产赋值.118.2 威胁识别.118.3 弱点识别.118.4 风险值计算原理.138.5 风险结果判定.139 防护能力量化计算.149.1 攻击检测能力识别.149.2 攻击阻断能力识别.1410 结果判定.1510.1 确定技术指标.1510.2 信息系统类判定准则.1510.3 安全产品类判定准则.1511 测评
3、总结.1711.1 测试反馈.1711.2 测评后处置.1711.3 差距报告.17附录A(资料性)ATT&CK 框架的战术阶段.18附录B(资料性)安全测评人员知识和技能要求.19学兔兔 标准下载T/CSAC 0012023II附录C(资料性)目标场景搭建步骤示例.22C.1 目标网络拓扑准备.22C.2 路由脚本配置及下发.22附录D(资料性)攻击场景特殊性要求.23D.1 概述.23D.2 企业场景.23D.3 工业控制系统场景.23D.4 移动终端场景.23D.5 金融行业场景.23附录E(资料性)安全产品检测评估统计表.25参考文献.26学兔兔 标准下载T/CSAC 0012023I
4、前言本文件按照 GB/T 1.12020标准化工作导则第 1 部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国网络空间安全协会提出并归口。本文件牵头起草单位:鹏城实验室本文件参与起草单位:中汽研软件测评(天津)有限公司、中国电信股份有限公司广东研究院、广州大学、哈尔滨工业大学(深圳)、北京升鑫网络科技有限公司、北京永信至诚科技股份有限公司、中国电子信息产业集团有限公司第六研究所、中汽创智科技有限公司、中国第一汽车集团公司、广东为辰信息科技有限公司、零束科技有限公司、重庆长安汽车股份有限公司、南方电网科学研究院有限
5、责任公司、兴唐通信科技有限公司、深圳供电局有限公司、中国联合网络通信有限公司、中国移动通信集团有限公司、中国信息通信研究院、北京天融信网络安全技术有限公司、安天科技集团股份有限公司、北京神州绿盟科技有限公司、奇安信科技集团股份有限公司、北京奇虎科技有限公司、湖南星汉数智科技有限公司、四川亿览态势科技有限公司、软极网络技术(北京)有限公司、北京丈八网络安全科技有限公司、新华三技术有限公司、浙江国利网安科技有限公司、电子科技大学、北京理工大学、北京邮电大学、上海交通大学、上海电力大学、电子科技大学广东电子信息工程研究院。本文件主要起草人:贾焰,方滨兴,鲁辉,韩伟红,贾世准,田志宏,李树栋,张曼,向
6、文丽,孙丽群,陶莎,蔡晶晶,陈俊,周密,林文辉,罗富财,苏申,周可,王珩,程度,卞建超,马兰,胡宁,顾钊铨,王晔,廖清,李润恒,安伦,王帅,金华敏,贺可勋,杨彦召,薛信钊,郭超,李影,孙琦,禹晶晶,赵焕宇、罗蕾,周鑫强,汪向阳,匡晓云,杨祎巍,孟琦,胡伟,孙强强,连耿雄,陈璐,刘伟,徐雷,陶冶,邱勤,徐天妮,谢玮,孟楠,石悦,李雪莹,王龑,吴潇,肖新光、李晨,肖岩军,宫智,孙翔,武鑫,张屹,王新宇,燕玮,王绍杰,薛金良,包贤晨,张凯,李炜。学兔兔 标准下载T/CSAC 00120231网络靶场基于技战术模型的安全测评方法1范围本文件描述了基于攻击技战术模型在网络靶场环境中对信息系统、安全产品等
7、对象进行安全测评的方法,包括基本概念、流程要求和评估方法。本文件适用于指导测评方基于网络靶场,按照攻击技战术模型开展安全测评工作。2规范性引用文件下列文件中的内容通过文中的规范化引用而构成本文必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 250692022信息安全技术术语3术语和定义GB/T 250692022 界定的以及下列术语和定义适用于本文件。3.1评估对象target of evaluation被评估的信息技术产品或系统及其相关的指南文档。3.2测试test使评估对象按预定方法/工具产生
8、特定行为,以获取证据来证明其安全确保措施是否有效的过程。3.3测试用例test case为测试某个特殊功能或性能而编制的一组测试输入、执行条件以及预期结果,其内容包括测试目标、测试环境、输入数据、测试步骤、预期结果、测试脚本等,用于核实某个测试对象是否满足某个特定要求。3.4目标网络target network依据试验需求目标,运用实物、虚拟与模拟三类建模技术在网络仿真平台上构建的,支持试验活动的仿真网络。3.5战术阶段tactical stage攻击技战术模型所抽象出来的攻击者进行攻击的不同阶段,每个战术阶段包含多项攻击技术。学兔兔 标准下载T/CSAC 001202323.6安全测评人员c
9、ybersecurity evaluation workforce从事网络安全测评工作,承担相应的工作职责,并具有相应的知识和技能的人员。3.7知识knowledge通过经验或教育获取的事实、信息、真理、原理或者领悟。来源:ISO/IEC17027:2014,2.563.8技能skill通过教育、培训、经验或其他方式完成任务或活动并获得预期结果的一种才能。来源:ISO/IEC17027:2014,2.743.9资产asset对个人、组织、政府具有价值的任何东西。3.10识别identify对某一评估要素进行标识域辨别的过程。3.11赋值assignment对识别清楚的评估要素根据已定的量化模型
10、给予定量数值的过程。4符号和缩略语下列缩略语适用于本文件。APT高级持续性威胁攻击(Advanced Persistent Threat)ATT&CK 对抗性战术、技术和常识(Adversarial Tactics,Techniques,and Common Knowledge)KVM基于内核的虚拟机(Kernel-based Virtual Machine)RDP远程桌面协议(Remote Desktop Protocol)SSH安全外壳协议(Secure Shell)VNC虚拟网络控制台(Virtual Network Console)5概述5.1攻击技战术模型概述攻击技战术模型,即 AT
11、T&CK 模型。ATT&CK 是由 MITRE 公司创建并持续维护的一个对抗战术和技术的知识库,全称 Adversarial Tactics,Techniques,and Common Knowledge,简称 ATT&CK。ATT&CK 是在洛克希德马丁公司提出的 Kill Chain 模型的基础上,构建的一套更细粒度、更易共享的知识模型和框架。ATT&CK 是一个基于黑客攻击实战结果建立的网络攻击战术和技术的知识体系,描述了网络攻击的行为模型,反映出整个攻击周期的各个阶段,ATT&CK 框架的战术阶段划分见附录 A。学兔兔 标准下载T/CSAC 00120233ATT&CK 包含三个核心部
12、分,即战术、技术和过程(TTPs),战术表示攻击者的目标,技术表示攻击者达成战术目标的方法与手段,过程显示攻击者如何执行某项技术。ATT&CK 模型是不断演化的,约 6 个月左右会更新 1 次。除非特别声明,在依照本文件进行安全测评时,均应以 ATT&CK 矩阵的当前版本为依据。5.2基于攻击技战术模型的安全测评流程基于攻击技战术模型的安全测评受到被测方实际业务、安全需求、系统规模等方面的影响,需明确评估目标、范围、工具、团队、环境、技术方案和相关应急措施等,制定安全测评计划,组建测评实施团队,搭建测评环境,构建面向评估对象的攻击技战术并进行体系化模拟,同时制定面向安全测评全流程的应急处置措施
13、,确定实施方案,为测评方具体开展测评工作提供指导。在测评启动之后,主要包括如下工作:a)制定计划:根据前期调研和收集的情况、测评方和被测方确定的目标范围等,明确双方职责,制定测评各个环节的工作计划和进度安排;b)组建团队:根据测试需求组建测评团队,明确团队分组及职责;c)搭建测评环境:在网络靶场环境中设计部署目标网络,作为开展安全测评的环境;d)构建攻击技战术:根据评估对象情况、信息收集分析情况等,制定攻击方案,利用 ATT&CK 框架作为评估“标尺”,覆盖 ATT&CK 框架中相应的攻击技战术。同时,根据场景区域、场景访问策略、场景节点、场景漏洞等,制定攻击线路。e)体系化模拟:对构建的攻击
14、战术和技术进行体系化模拟实现;f)测评执行:按照事前拟定的攻击方案,采用选定的攻击技战术对评估对象进行攻击测试;g)量化评估:对评估对象(信息系统、安全产品)的安全风险、安全防护能力等进行量化计算;h)结果判定:对测试结果通过与否进行判定。基于攻击技战术模型的安全测评流程如图 1 所示。学兔兔 标准下载T/CSAC 00120234图1基于攻击技战术模型的安全测评流程图6确定测评实施方案6.1制定计划6.1.1主要工作在制定测评计划时,测评方应做充分的调研与准备,应开展以下工作:a)测评方对评估对象进行情况收集,被测方应予以配合。情况收集包括以下内容:1)评估对象的拓扑结构或功能模块信息;2)
15、评估对象的软硬件配置信息;3)安全域划分信息、应用概况等环境搭建要素;4)其他用于安全测评的必要信息。b)由测评方和被测方召开会议,签订委托测评协议,明确评估目标、评估范围等;安全风险评估范围应为:被测方全部的信息及与信息处理相关的各类资产、管理机构,或者某个独立的信息系统、关键业务流程和部门;c)根据被测方实际需求和评估范围,应制定评估实施活动的总体计划,用于指导评估工作,具体包括组建团队、搭建测评环境、构建攻击技战术、体系化模拟、测评实施、量化评估、编制报告等环节的工作计划和时间进度安排等;d)应与被测方协商沟通测评计划表,提高测评效率。学兔兔 标准下载T/CSAC 001202356.1
16、.2双方职责在制定测评计划时,测评方与被测方应遵守各自的职责,为顺利开展安全测评创造良好条件。a)测评方职责:1)组建测评项目组;2)指出被测方应提供的基本资料;3)向被测方介绍安全测评工作流程和方法;4)向被测方说明测评工作可能带来的风险和规避方法;5)了解被测方的信息化建设以及评估对象的基本情况;6)初步分析系统的安全状况,准备测评工具和文档。b)被测方职责:1)向测评方介绍本单位的信息化建设及发展情况;2)提供测评方需要的相关资料;3)为安全测评人员的信息收集工作提供支持和协调,参与制定应急预案。6.2组建团队6.2.1总体要求根据测评项目要求组建测评团队,明确测评实施各团队的工作职责,
17、此外还应注重测评团队人员的知识和技能建设。6.2.2测评实施团队测评实施团队包含环境搭建组、攻击测试组、检测评估组、报告输出组和测评仲裁组,各团队人员的角色及其相应的工作职责描述如表 1 所示。表 1测评实施团队角色和职责序号团队人员角色工作职责描述1环境搭建人员对评估对象的信息收集,评估对象的仿真环境搭建,模拟攻击环境搭建,以及环境的管理和维护2攻击测试人员攻击方案制定,模拟攻击实施,模拟攻击工具库管理和维护3检测评估人员攻击结果记录分析,对攻击结果做量化评估4报告输出人员负责测评全周期情况记录和分析,测评报告撰写5测评仲裁人员对攻击测试和检测评估结果进行监督或者判定测评实施团队应基于以上工
18、作职责做好组内人员的工作分工。6.2.3安全测评人员要求安全测评人员应该具备安全测评职责相关的知识和技能,必要时需要开展相关知识和技能业务培训,并制定培训机制和团队建设计划。基于攻击技战术模型执行安全测评的测评人员知识和技能要求见附录B。6.3搭建测评环境6.3.1基本要求学兔兔 标准下载T/CSAC 00120236安全测评人员应采用灵活便捷的方式快速设计部署大型目标网络,对目标网络的节点内部程序提供多种方式进行灵活配置。网络靶场应能够提供网络设备虚拟化、虚拟交换机流量镜像等多种方式提高目标网络的逼真程度,提供丰富的互联接入方式使目标网络与异域的设备和网络或互联网互联互通,并提供统一的资源管
19、理支撑目标网络的构建。具备包括:实验场景配置能力、虚拟网络能力、互联接入能力、节点管理能力、资源管理能力等。6.3.2测试场景配置测试场景配置应满足以下要求:a)应支持根据评估范围完成网络拓扑、应用软件和带内程序的配置;b)应支持测试场景配置的统一描述,支持通过导入拓扑脚本的方式完成目标网络的配置和部署;c)应支持在目标网络部署生成后对目标网络内的带内程序进行批量配置。6.3.3互联接入管理互联接入管理应满足以下要求:a)应支持远程实物设备或网络等接入到虚拟网络中;b)应支持通过便捷配置实现目标网络和互联网的访问与控制;c)应支持在目标网络中接入透明设备,并且不改变设备的透明属性;d)应支持多
20、测评网络环境安全隔离。6.3.4测试网络生成测试网络生成应满足以下要求:a)应支持KVM、容器、裸金属服务器、物理设备等多种节点生成方式,各种生成方式均能通过已有的镜像快速部署;b)应支持对不同厂商、不同型号的网络安防设备进行虚拟化;c)应支持对跨宿主机器的流量进行隧道封装;d)应支持虚拟交换机配置流量镜像复现流量分析场景。6.3.5节点控制管理节点控制管理应满足以下要求:a)应支持构建通道使非目标网络内的节点和网络同目标网络内节点之间进行可控访问;b)应支持虚拟节点全生命周期管理和控制,支持虚拟化节点、容器节点和实物节点的无差异管理;c)应支持对虚拟节点的状态和日志进行监控。6.3.6测试资
21、源管理测试资源管理应满足以下要求:a)应支持对测试过程中需要的工具、脚本、试验设备等资源进行统一管理;b)应支持对各类试验资源的查看和使用权限进行管理。6.3.7场景搭建流程测评方应根据测评需求,设计整体环境搭建方案,包括目标网络拓扑设计和资源规划,为搭建目标场景环境提供指导。场景搭建流程如图 2 所示。学兔兔 标准下载T/CSAC 00120237图2场景搭建流程目标场景搭建的步骤包括:a)根据测评需求制定测评环境搭建计划根据被测方提出的要求,应根据场景需求制定测评环境搭建计划。计划内容包括:使用人员对象、网络拓扑、资源分配、预装软件、任务制定、采集及检测范围、分析及评估对象等。b)根据计划
22、进行网络拓扑设计根据提供的系统入口登录目标网络系统,依次进行创建试验过程、试验过程编辑、拓扑编辑、网络配置、节点配置等。系统应支持创建空白工程、根据模板创建工程、根据文件导入工程以及根据设备分布创建工程等多种方式,应结合不同需求与系统实际,选择不同方式创建试验工程。试验工程应支持删除、修改权限、试验关联等编辑操作。拓扑结构和网络配置应根据需要,支持拖拽式/脚本配置等方式进行编辑。网络节点应支持基本属性配置、批量创建、配置检查等功能。c)在网络靶场平台中进行测评场景环境部署测评场景环境部署应在网络拓扑设计完成且确认无误后进行操作,在部署过程中应实时监控部署状态,网络靶场应支持取消部署、清空部署等
23、操作。d)虚拟节点管理和软件预装虚拟节点应支持相关信息和状态的查看,支持根据节点名称、类型、IP和自定义属性进行搜索,并可通过SSH、RDP、VNC等多种方式接入虚拟节点。系统应支持通过选取指定的虚拟机进行软件预装,以及查看已安装和可安装的软件。目标场景搭建步骤示例见附录C。6.4构建攻击技战术6.4.1攻击方案制定原则测评方应按照以下原则制定攻击方案:a)攻击组织形式应主要从以下方式选取:1)开放式招募白帽子攻击手参与测试;2)安全测评方人员按照攻击方案组织实施测试。b)在选择攻击技战术时,应遵循如下原则:1)应选择一系列代表性技术进行测评,而非对整个 ATT&CK 框架;2)应结合被测信息
24、系统的类型、子系统/子网类型、已发生的攻击事件等信息,分析系统/子系统易遭受的攻击类型,选择恰当的攻击技战术(如 APT29、FIN7 等);3)应参照已发生过的攻击事件数据选择攻击技战术,攻击事件的数据可来自权威安全机构的网站等;4)应选取针对被测方所处行业或目前活跃度较高的 APT 攻击组织,应选取该 APT 组织体系化的攻击技术手法;5)应排除技术复杂,无法在实验室环境中实现的攻击操作;学兔兔 标准下载T/CSAC 001202386)选定的攻击模拟软件和工具,应最大程度上自动化还原整体攻击测试流程。针对企业、工业控制系统、移动终端、金融行业等不同攻击场景的特殊性要求见附录 D。6.4.
25、2评估对象情况调研测评方应收集被测方需求,确定测试范围、目标等。在评估对象情况调研阶段,测评方与被测方应进行交互讨论,重点确定安全测评的范围目标、限制条件以及测试细节。测评方在该阶段应开展收集被测方需求、准备测试计划、定义测试范围与边界、制定项目管理与规划等活动。测评方在得到被测方的相应书面委托和授权后,须将实施方法、实施时间、实施人员、实施工具等具体的实施方案告知被测方。6.4.3信息收集分析测评方应获取目标系统网络拓扑、系统配置与安全防御措施的信息,应按照主动和被动的策略进行信息收集。安全测评人员通过信息收集有针对性的进行威胁建模和漏洞分析,提高模拟攻击的成功率。信息收集应包括白盒收集、人
26、力资源情报、踩点、寻找外网入口以及识别防御机制等。6.4.4威胁建模测评方应根据评估对象的调研和信息收集分析情况,执行威胁建模。威胁建模应根据情报搜集阶段所获得的信息,对被测系统上潜在的安全漏洞与弱点进行标识,以攻击者的视角和思维来尝试利用目标系统的弱点。威胁建模的工作应主要包括业务流程分析、威胁对手/社区分析。6.4.5漏洞分析测评方应分析前阶段的情报信息,找出实施攻击的攻击点。漏洞分析阶段应根据已获取的信息分析和寻找可行的攻击途径。漏洞分析应包括:端口和漏洞扫描结果,提取到的服务信息,以及在信息收集环节中得到的其他关键信息。6.4.6制定攻击方案测评方应根据评估对象情况、信息收集分析情况等
27、,进行威胁建模和漏洞分析,并根据攻击方案选取原则,制定攻击方案,明确选取的攻击技战术。6.5体系化模拟测评方应建立体系化模拟方法,以保证攻击技战术的模拟能够达到有效的实施和体系化的合理应用,应明确以下内容:a)攻击技战术模型体系化模拟实现的流程;b)攻击技战术模型体系化模拟实现战术和技术;c)攻击技战术模型体系化模拟实现方法的工具。6.6制定应急处置方案6.6.1安全测评处置流程学兔兔 标准下载T/CSAC 00120239安全测评的应急处置以全局视角对安全测评流程、测评场景和测评目标进行监测,依靠网络空间安全仿真环境的数据采集和流量监测功能实现实时监测和应急处置,结合 ATT&CK 框架对安
28、全测评流程进行评估,不断进行迭代以完善安全测评流程,提高安全测评的能力。6.6.2安全测评前的准备安全测评前的准备,包含制定处置方案和处置制度,应急处置事件类型和等级,组建处置团队。a)测评处置方案由测评方主导、被测方参与制定,应包含以下内容:1)应能依靠网络空间安全仿真环境的网络资源探测功能对测评目标的联通性、状态和信息等进行实时监测;2)应能依靠网络空间安全仿真环境的数据采集功能对测评环境进行实时监测,监测的指标包括:测评场景的拓扑合理性、网络连通性以及设备稳定性,以及监测测评流程各步骤的状态和结果等;3)应针对可能的各种突发事件预备相应的突发事件处置预案,用于在测评过程中应对各种可能的突
29、发事件;4)应在处置预案中明确,一旦测评环境或测评目标发生故障或受到损害,需要维护的关键业务或关键事务,以及相应的恢复时间,按规定及时向测评方管理层和事件相关的组织通报事件,并组织研判,形成事件报告;5)应根据测评方案特点,选定处置评估方案;6)应结合评估方案和 ATT&CK 框架,制定评估测评流程的指标和评估表。b)应急处置事件类型应包含表 2 所列类型。表 2应急处置事件类型序号事件类型描述1物理环境问题对测评系统正常运行造成影响的物理环境问题和自然灾害,如断电、电磁感染、火灾、地震等。2硬件故障对测评环境产生影响的设备硬件故障、网络通讯链路中断、系统本身或软件缺陷等问题。3软件故障系统本
30、身或软件缺陷等原因引起的问题。4操作违规应该执行而没有执行相应的操作,或无意地执行了禁止的测评行为,如:在约定时间范围之外进行测评;违规攻击测评目标系统范围之外的其它系统;禁止使用约定之外的其他环境进行测评操作;未经审核就使用高危测评操作;关闭测试测评环境中已经开启的监控服务、计划任务、应用类进程等。5数据泄密泄露需要保密的测评目标相关信息,如:对外泄露测评数据资源或信息,泄露测评目标系统核心专利,安全配置,源码等。c)应急处置事件等级定义如表 3 所示。表 3应急处置事件等级定义等级标识描述3高一旦发生将对测评环境造成严重影响,如网络靶场软硬件或网络受到严重破坏、测评中的学兔兔 标准下载T/
31、CSAC 001202310重要数据完全丢失或泄露,使用了未经审核的高危违规操作行为,测评工作将中断24小时以上等。2中一旦发生将对测评环境造成中等影响,如网络靶场的软硬件或网络受到轻微破坏、测评中的非重要数据丢失或泄露,使用违规操作导致测评中断,但可在12小时内恢复。1低一旦发生将对测评环境造成轻微影响,如测评中使用了违规操作导致测评中断,但可在2小时内恢复。d)处置实施团队主要由测评仲裁人员组成。处置人员的主要任务是会同被测方,开展对测评流程的监测、应急处置和评估。7测评执行7.1实施攻击测试由攻击测试组按照事前拟定的攻击方案,对选定的攻击技战术进行实现,将攻击技战术分解为若干攻击测试用例
32、,执行后输出相关的攻击测试报告。检测评估组观察和验证测试用例是否及时反馈了结果,对攻击结果记录分析,对攻击结果做量化评估。测评仲裁人员在测试执行过程中,应对攻击测试组的行为进行监督,并监测测评实施的有效性:a)数据采集:对测试执行过程中产生的相关数据,包括日志类、流量信息、武器使用信息等,进行采集。b)攻击检测:对测试执行过程中发生的攻击事件,包括蠕虫病毒攻击、跳板攻击、后门攻击、漏洞攻击等,进行收集汇总。c)行为监督及有效性监测:根据采集到的数据流量以及汇总的攻击事件对攻击测试组的行为进行评估反馈,保证攻击验证组没有偏离事先选定的攻击线路,以免超出测试范围,或造成不必要的资源浪费,确保攻击的
33、有效性。根据测评实施的有效性及其他实际情况,对攻击测试进行持续性验证和迭代优化。7.2测评处置测评处置是在安全测评过程中发生突发事件时,进行事件处置,包含如下步骤:a)监测预警处置实施团队应利用网络空间安全仿真环境在测评执行中的数据采集、事件监测功能,建立监测预警,明确监测策略、监测内容、预警分级和预警后的应急处置预案。b)测评应急处置处置实施团队应按照先应急处置、后调查评估的原则,在事件发生后依靠网络空间安全仿真环境的实时监测和可视化展示功能,全方位收集事件信息,快速定位事件位置,执行应急处置预案,控制事件事态,包括:停止当前测评工作、实施网络隔离、备份网络空间安全仿真环境数据、保护安全测评
34、现场等,确保所有的响应活动被适当记录,便于事后分析。同时,应根据应急处置规定,通报测评方管理层和相关组织。c)处置和恢复处置实施团队和测评方管理层根据应急事件发展事态和应急处置事件等级(如事件等级 2 级以上),协调相关人员和资源,制定详细的处置方案,对事件进行更进一步的处置。对造成测评停止或环境破坏的事件,需进行恢复处置。对于造成损失的测评事件,应明确事后恢复的责任人,开展损害评估、赔偿、事件调查处理等工作。当应急事件得以控制或消除时,应执行应急处置解除流程。学兔兔 标准下载T/CSAC 001202311d)处置总结报告处置总结报告应包含:1)安全测评事件的发生、发展和处置过程;2)安全测
35、评事件的原因和处置结果;3)安全测评事件的关键数据和特征,分析事件的性质、影响范围、危害程度和损失情况;4)安全测评事件对应的改进措施和预防措施。8风险量化计算8.1资产赋值根据评估范围涉及的资产及其所关联的业务重要性,形成资产清单并赋值。a)资产价值的数值为人工输入,由测评方与被测方协商赋值;b)资产价值的赋值分为 1-5,共 5 个级别;c)资产价值的赋值标准如表 4 所示。表 4资产价值赋值赋值定义1对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益2对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或
36、者对社会秩序和公共利益造成危害,但不危害国家安全3对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害4对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害5对象受到破坏后,会对国家安全造成特别严重损害8.2威胁识别威胁值最终体现了风险发生的可能性,威胁值按照 ATT&CK 框架的战术阶段来赋值。威胁值为手动输入,根据 ATT&CK 战术阶段不同,取值也不同,取值区间为 1-5,威胁值赋值标准如表 5 所示。表 5威胁值赋值威胁值等级可能性描述(威胁发生的频率)5很高出现的频率很高(不少于1次/周)4高出现的频率较高(介于1次/月和1次/周之
37、间)3中等出现的频率中等(介于1次/年和1次/月之间)2低出现的频率较小,或一般不太可能发生,或没有被证实发生过1很低威胁几乎不可能发生,或仅可能在非常罕见或例外的情况下发生8.3弱点识别学兔兔 标准下载T/CSAC 001202312弱点值的评定需要考虑两个因素,一个是弱点的严重程度,即一旦发生,对资产本身的破坏程度。另一个是弱点的暴露程度,这和当前的控制有关,如果控制得力,弱点暴露程度则会比较低。弱点识别内容如表 6 所示。表 6弱点列表弱点类别弱点名称弱点描述通信与操作管理缺乏恶意代码/病毒防范机制缺乏对病毒等恶意代码的防范和控制缺乏有效的备份没有制定有效的备份策略,缺乏备份机制,或者备
38、份操作不当对信息系统的监控不力对网络信息系统的监控不足,缺乏日志记录和检查访问控制缺乏有效的访问控制没有制定针对各类IT设施(网络、服务器、操作系统、应用系统等)的访问控制策略和规范,或者访问控制执行不力缺乏有效的用户权限管理机制对用户权限的申请、开设、复查等缺乏有效管控用户账号缺乏安全管理用户账号可随意共享、传递,缺乏足够的账号安全管理意识和策略口令设置脆弱用户口令设置过于简单缺乏有效的加密保护没有通过必要的保密措施对数据或文件进行管控缺乏会话超时机制没有设置计算机自动锁屏策略,没有系统访问的会话时间限制信息系统获取、开发与维护程序设计漏洞软件存在设计漏洞缺乏漏洞管理机制缺乏应对软件漏洞的管
39、理机制配置不当对网络系统、应用系统或软件的配置不当缺乏认证授权机制系统缺乏身份识别、身份认证及授权机制缺乏密码控制及使用策略系统缺乏密码使用、密钥管理等控制机制缺乏充分的维护响应机制在系统故障时无法实现及时响应外部攻击越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为系统入侵利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵信息窃取利用系统漏洞,获取用户账户信息和认证信息数据篡改非法修改信息,破坏信息的完整性非法操作在非授权情况下进行操作,造成用户损失。抵
40、赖不承认收到的信息和所作的操作和交易信息安全事件管理缺乏有效的安全事件管理机制没有应对信息安全事件的应急和处理机制缺乏对信息安全事件的记录一旦发生信息安全事件,没有对处理过程进行明确记录弱点值最终体现了风险发生的后果,弱点值为手动输入,取值区间为 1-5。弱点值赋值标准如表 7所示。学兔兔 标准下载T/CSAC 001202313表 7弱点值赋值弱点值等级严重性描述(弱点一旦被利用可能对资产造成的冲击)5很高以下情况中的任意一种:弱点没有丝毫控制和掩饰,资产可能完全失控;一旦弱点被威胁利用,将造成立即停工,且半天内无法恢复;弱点被利用后将造成灾难性的后果,对资产造成完全损害;4高以下情况中的任
41、意一种:弱点比较明显,易造成资产部分失控;一旦弱点被威胁利用,将导致相关工作中断,但半天内可以恢复;弱点被利用后将造成重大后果,对资产造成重大损害;3中等以下情况中的任意一种:弱点可以被发现,可能造成资产部分不可信;一旦弱点被威胁利用,将造成工作延迟,无法以正常标准提供服务;弱点被利用后将造成中等的后果,对资产造成一般性损害;2低以下情况中的任意一种:弱点可以被发现,但资产仍基本可信;一旦弱点被威胁利用,将造成作效率降低,但所提供的服务不受影响;弱点被利用后将造成次要的后果,对资产造成较小损害;1很低以下情况中的任意一种:弱点难以被发现,资产也可信可控;一旦弱点被威胁利用,对工作的影响可以被正
42、常的业务操作所吸收;弱点被利用后将造成轻微的后果,对资产造成的损害可以忽略;8.4风险值计算原理风险值计算原理如下:a)针对模拟攻击下,资产在各阶段面临的弱点情况,分别计算风险值。b)风险值的计算公式建议如下:风险值 资产价值 弱点值 威胁值风险值计算表如表 8 所示。表 8风险值计算表威胁值12345弱点值1234512345123451234512345资产价值11234524681036912154812162051015202522468104812162061218243081624324010203040503369121561218243091827364512243648601
43、5304560754481216208162432401224364860163248648020406080100551015202510203040501530456075204060801002550751001258.5风险结果判定学兔兔 标准下载T/CSAC 001202314风险结果判定规则如下:a)经过计算的某个资产的风险值,分为低、中、高、极高共 4 级;b)风险级别的定义如表 9 所示。表 9风险等级评定表风险级别风险值极高风险VBI大于80高风险HBI大于48小于等于80中风险MBI大于32小于等于48低风险LBI小于等于329防护能力量化计算9.1攻击检测能力识别攻击检测
44、能力体现了评估对象针对各攻击技术(包括 ATT&CK 框架中技术与子技术)的检出能力。a)统计本次测评中模拟实现的技战术,明确对整个 ATT&CK 框架的覆盖率,根据各攻击技术的重要程度,按照 1-10 的数值赋予权重;b)通过观测模拟攻击过程,记录评估对象对各战术阶段攻击技战术的检出情况,形成检测结果记录表(示例见附录 E);c)统计评估对象对各战术阶段攻击技术的检出数;d)计算得出攻击检测能力指数,攻击检测能力指数的计算公式建议如下:攻击检测能力指数 (检出的攻击技术权重之和 攻击技术权重总和)100%e)根据表 10 为各战术阶段的攻击检测能力进行赋值。表 10 攻击检测能力赋值能力值等
45、级攻击检测能力描述5很高攻击检测能力指数95%4高80%攻击检测能力指数95%3中等60%攻击检测能力指数80%2低40%攻击检测能力指数60%1很低攻击检测能力指数40%9.2攻击阻断能力识别攻击阻断能力体现了评估对象针对各攻击技术(包括 ATT&CK 框架中技术与子技术)的阻断能力。a)统计本次测评中模拟实现的技战术,明确对整个 ATT&CK 框架的覆盖率,根据各攻击技术的重要程度,按照 1-10 的数值赋予权重;b)通过观测模拟攻击过程,记录评估对象对各战术阶段攻击技战术的阻断情况,形成检测结果记录表(示例见附录 E);c)计算得出攻击阻断能力指数,攻击阻断能力指数的计算公式建议如下:攻
46、击阻断能力指数 (阻断的攻击技术权重之和 攻击技术权重总和)100%d)根据表 11 为各战术阶段的攻击阻断能力进行赋值。学兔兔 标准下载T/CSAC 001202315表 11 攻击阻断能力赋值能力值等级攻击阻断能力描述5很高攻击阻断能力指数95%4高80%攻击阻断能力指数95%3中等60%攻击阻断能力指数80%2低40%攻击阻断能力指数60%1很低攻击阻断能力指数40%10结果判定10.1确定技术指标基于 ATT&CK 矩阵,攻击测试完成后应对攻击测试中所涉及的 ATT&CK 战术/技术/子技术进行汇总,计算战术/技术/子技术数量及其在 ATT&CK 矩阵中的覆盖率。在计算战术/技术/子技
47、术数量及在ATT&CK 矩阵中的覆盖率时,应参照 MITRE ATT&CK 矩阵的最新版本,且应明确是否以未去重的技术和子技术原始数量作为计算依据。战术/技术/子技术数量或 ATT&CK 矩阵覆盖率的通过指标值应由测评方与被测方共同协商约定,并在测评协议或测试报告中予以明确该约定值。10.2信息系统类判定准则针对信息系统类评估对象,应根据测试执行结果,并依据本文件第 8 章对其安全风险结果做出判定,安全风险判定结果作为安全测评通过与否的重要依据。a)若安全风险判定结果存在“极高风险”或“高风险”,则不论战术/技术/子技术数量或 ATT&CK 矩阵覆盖率是否达到约定值,本次安全测评直接判定为:不
48、通过。b)若安全风险判定结果为“中风险”或“低风险”,且战术/技术/子技术数量或 ATT&CK 矩阵覆盖率达到或者超过测评方与被测方的约定值,则本次安全测评判定为:通过。测试报告的正式结论应以战术/技术/子技术数量或 ATT&CK 矩阵覆盖率为前置条件。c)若安全风险判定结果为“中风险”或“低风险”,但战术/技术/子技术数量或 ATT&CK 矩阵覆盖率未达到测评方与被测方的约定值,则应增加攻击方案,直至战术/技术/子技术数量或 ATT&CK矩阵覆盖率达到约定值,并重新根据安全风险判定结果,对本次安全测评判通过与否做出判定。d)若已知攻击方案或现有测试手段所涉及的战术/技术/子技术数量或 ATT
49、&CK 矩阵覆盖率无法达到测评方与被测方的约定值,则测评方与被测方应重新协商约定值,并重新进行测试结果判定。10.3安全产品类判定准则针对安全产品类评估对象,应根据测试执行结果,并依据本文件第 9 章对其攻击检测能力、攻击阻断能力及其防护能力值做出判定,判定结果作为安全测评通过与否的重要依据。10.3.1仅具备攻击检测能力的安全类产品根据本文件 9.1 节,对仅具备攻击检测能力的安全类产品的攻击检测能力指数进行计算,对攻击检测能力等级做出判定。a)若攻击检测能力等级为“低”或“很低”(即攻击检测能力指数60%),则不论战术/技术/子技学兔兔 标准下载T/CSAC 001202316术数量或 A
50、TT&CK 矩阵覆盖率是否达到约定值,本次安全测评直接判定为:不通过。b)若攻击检测能力等级为“中等”及以上(即攻击检测能力指数60%),且战术/技术/子技术数量或 ATT&CK 矩阵覆盖率达到或者超过测评方与被测方的约定值,则本次安全测评判定为:通过。测试报告的正式结论应以战术/技术/子技术数量或 ATT&CK 矩阵覆盖率为前置条件。c)若攻击检测能力等级为“中等”及以上(即攻击检测能力指数60%),但战术/技术/子技术数量或 ATT&CK 矩阵覆盖率未达到测评方与被测方的约定值,则应增加攻击方案,直至战术/技术/子技术数量或 ATT&CK 矩阵覆盖率达到约定值,并重新根据攻击检测能力指数或
浙ICP备2021020529号-1 | 浙B2-20240490 
