Threat agents or actorsEdit
De term Threat Agent wordt gebruikt om een individu of groep aan te geven die een bedreiging kan manifesteren. Het is van fundamenteel belang om te bepalen wie de activa van een bedrijf zou willen exploiteren, en hoe ze deze tegen het bedrijf zouden kunnen gebruiken.
personen binnen een bedreigingspopulatie; Vrijwel iedereen en alles kan, onder de juiste omstandigheden, een bedreiging agent – De goedbedoelde, maar onbekwame, computer operator die een dagelijkse batch job vernielt door het typen van de verkeerde commando, de regulator het uitvoeren van een audit, of de eekhoorn die kauwt door een datakabel.
Threat agents kunnen een of meer van de volgende acties ondernemen tegen een actief:
- toegang – eenvoudige ongeautoriseerde toegang
- misbruik – ongeautoriseerd gebruik van activa (bijvoorbeeld identiteitsdiefstal, het opzetten van een porno distributie service op een gecompromitteerde server, enz.)
- Disclosure-the threat agent illicitly disclosures sensitive information
- Modify-unauthorized changes to an asset
- Deny access – including destruction, theft of a non-data asset, etc.
Het is belangrijk te erkennen dat elk van deze acties verschillende activa verschillend beïnvloedt, wat de mate en aard van het verlies bepaalt. Het potentieel voor productiviteitsverlies als gevolg van een vernietigd of gestolen actief hangt bijvoorbeeld af van hoe belangrijk dat actief is voor de productiviteit van de organisatie. Als een kritieke activa gewoon illegaal wordt benaderd, is er geen direct productiviteitsverlies. Evenzo zou de vernietiging van een zeer gevoelig actief dat geen cruciale rol speelt in de productiviteit niet direct leiden tot een aanzienlijk productiviteitsverlies. Toch kan diezelfde activa, indien ze openbaar worden gemaakt, leiden tot een aanzienlijk verlies van concurrentievoordeel of reputatie, en juridische kosten genereren. Het punt is dat de combinatie van het actief en het soort actie tegen het actief de fundamentele aard en de mate van verlies bepaalt. Welke actie (s) een threat agent neemt zal voornamelijk worden gedreven door het motief van die agent (bijvoorbeeld financieel gewin, wraak, recreatie, enz.) en de aard van de activa. Bijvoorbeeld, een bedreiging agent gebogen op financieel gewin is minder waarschijnlijk om een kritische server te vernietigen dan ze zijn om een gemakkelijk verpand activa te stelen als een laptop.
Het is belangrijk om het concept van de gebeurtenis dat een threat agent in contact komt met het actief (zelfs virtueel, d.w.z. via het netwerk) te scheiden van de gebeurtenis dat een threat agent tegen het actief handelt.
OWASP verzamelt een lijst van potentiële bedreigingen om systeemontwerpers te voorkomen, en programmeurs voegen kwetsbaarheden in de software in.
Threat Agent = Capabilities + Intentions + activiteiten uit het verleden
deze personen en groepen kunnen als volgt worden ingedeeld:
- niet-Doelspecifiek: niet-doelspecifieke Threat Agents zijn computervirussen, wormen, Trojaanse paarden en logische bommen.
- werknemers: personeel, aannemers, operationeel/onderhoudspersoneel, of beveiligers die zich aan het bedrijf storen.
- georganiseerde misdaad en criminelen: Criminelen richten zich op informatie die van waarde is voor hen, zoals bankrekeningen, creditcards of intellectueel eigendom dat kan worden omgezet in geld. Criminelen zullen vaak gebruik maken van insiders om hen te helpen.
- ondernemingen: ondernemingen houden zich bezig met offensieve informatieoorlogen of competitieve inlichtingen. Partners en concurrenten vallen onder deze categorie.
- menselijk, onbedoeld: ongevallen, onzorgvuldigheid.
- menselijk, opzettelijk: Insider, outsider.
- natuurlijk: overstroming, brand, bliksem, meteoor, aardbevingen.
Threat sourceEdit
Threat sources zijn degenen die een compromis wensen. Het is een term die wordt gebruikt om hen te onderscheiden van bedreiging agenten/acteurs die degenen zijn die de aanval uitvoeren en die kunnen worden opgedragen of overgehaald door de dreiging bron om bewust of onbewust de aanval uit te voeren.
Threat communitiesEdit
threat communities Subsets van de totale threat agent-populatie die belangrijke kenmerken delen. De notie van dreigingsgemeenschappen is een krachtig hulpmiddel om te begrijpen tegen wie en wat we het op moeten nemen als we risico ‘ s proberen te beheersen. Bijvoorbeeld, de kans dat een organisatie zou worden onderworpen aan een aanval van de terroristische dreiging gemeenschap zou voor een groot deel afhangen van de kenmerken van uw organisatie met betrekking tot de motieven, bedoelingen en mogelijkheden van de terroristen. Is de organisatie nauw verbonden met ideologie die conflicteert met bekende, actieve terroristische groepen? Vertegenwoordigt de organisatie een high profile, high impact target? Is de organisatie een zacht doelwit? Hoe verhoudt de organisatie zich tot andere potentiële doelen? Als de organisatie onder vuur komt te liggen, welke onderdelen van de organisatie zouden waarschijnlijk doelwitten zijn? Bijvoorbeeld, hoe waarschijnlijk is het dat terroristen zich zouden richten op de bedrijfsinformatie of-systemen? De volgende dreigingscommunities zijn voorbeelden van het menselijke kwaadaardige dreigingslandschap waarmee veel organisaties worden geconfronteerd:
- interne
- werknemers
- aannemers (en verkopers)
- Partners
- externe
- cybercriminelen (professionele hackers)
- spionnen
- niet-professionele hackers
- activisten
- nationale inlichtingendiensten (bijv., tegenhangers van de CIA, enz.)
- Malware (virus/worm / etc.) auteurs
Threat action edit
Threat action is een aanval op de systeembeveiliging.
Een complete beveiligingsarchitectuur behandelt zowel opzettelijke handelingen (d.w.z. aanvallen) als toevallige gebeurtenissen.
verschillende soorten dreigingsacties worden gedefinieerd als subcentra onder “dreigingsgevolgen”.
Dreigingsanalysedit
dreigingsanalyse is de analyse van de waarschijnlijkheid van voorvallen en gevolgen van schade aan een systeem. Het is de basis van risicoanalyse.
bedreiging gevolgdedit
bedreiging gevolg is een schending van de beveiliging die het gevolg is van een bedreiging actie.
omvat disclosure, misleiding, disruptie en usurpatie.
de volgende subcentra beschrijven vier soorten dreigingsgevolgen en beschrijven ook de soorten dreigingsacties die elk gevolg veroorzaken.Dreigingsacties die toevallige gebeurtenissen zijn, worden gemarkeerd met”*”.
“niet-geautoriseerde openbaarmaking” (een bedreiging als gevolg) een omstandigheid of gebeurtenis waarbij een entiteit toegang verkrijgt tot gegevens waarvoor de entiteit geen vergunning heeft. (Zie: vertrouwelijkheid van gegevens.). De volgende dreigingsacties kunnen ongeoorloofde openbaarmaking veroorzaken:” Exposure ” een dreigingsactie waarbij gevoelige gegevens rechtstreeks worden vrijgegeven aan een ongeoorloofde entiteit. Dit omvat: opzettelijke” opzettelijke ” vrijgave van gevoelige gegevens aan een niet-geautoriseerde entiteit. Zoeken door gegevensresten in een systeem om ongeautoriseerde kennis van gevoelige gegevens te verkrijgen. * “Menselijke fout” menselijke actie of inactiviteit die onbedoeld resulteert in een entiteit het verkrijgen van ongeautoriseerde kennis van gevoelige gegevens. * “Hardware / software fout” systeemfout waardoor een entiteit ongeautoriseerde kennis van gevoelige gegevens verkrijgt. “Onderschepping”: een dreigingsactie waarbij een onbevoegde entiteit rechtstreeks toegang heeft tot gevoelige gegevens die tussen erkende bronnen en bestemmingen reizen. Dit omvat: “diefstal” het verkrijgen van toegang tot gevoelige gegevens door het stelen van een zending van een fysiek medium, zoals een magneetband of schijf, dat de gegevens bevat. “Afluisteren (passief)” Monitoring en registratie van gegevens die tussen twee punten in een communicatiesysteem stromen. (Zie: afluisteren.) “Emanations analysis” het verkrijgen van directe kennis van gecommuniceerde gegevens door het monitoren en oplossen van een signaal dat wordt uitgezonden door een systeem en dat de gegevens bevat, maar niet bedoeld is om de gegevens te communiceren. “Gevolgtrekking” een dreigingsactie waarbij een onbevoegde entiteit indirect toegang heeft tot gevoelige gegevens (maar niet noodzakelijk tot de gegevens in de communicatie) door te redeneren op basis van kenmerken of bijproducten van communicatie. Dit omvat: “verkeersanalyse” het verkrijgen van kennis van gegevens door het observeren van de kenmerken van communicatie die de gegevens bevatten. “Signaalanalyse” het verkrijgen van indirecte kennis van gecommuniceerde gegevens door het monitoren en analyseren van een signaal dat door een systeem wordt uitgezonden en dat de gegevens bevat, maar niet bedoeld is om de gegevens te communiceren. “Intrusion” een dreigingsactie waarbij een onbevoegde Entiteit toegang krijgt tot gevoelige gegevens door de beveiliging van een systeem te omzeilen. Dit omvat: het verkrijgen van ongeoorloofde fysieke toegang tot gevoelige gegevens door de beveiliging van een systeem te omzeilen. “Penetratie” het verkrijgen van ongeautoriseerde logische toegang tot gevoelige gegevens door het omzeilen van de beveiliging van een systeem. “Reverse engineering” het verwerven van gevoelige gegevens door het demonteren en analyseren van het ontwerp van een systeemcomponent. “Cryptanalyse” waarbij versleutelde gegevens worden omgezet in platte tekst zonder vooraf kennis te hebben van encryptieparameters of-processen. “Misleiding” (een bedreiging gevolg) een omstandigheid of gebeurtenis die ertoe kan leiden dat een toegelaten entiteit onjuiste gegevens ontvangt en gelooft dat deze waar zijn. De volgende dreigingsacties kunnen misleiding veroorzaken: “Maskerade” een dreigingsactie waarbij een onbevoegde Entiteit toegang krijgt tot een systeem of een kwaadaardige handeling uitvoert door zich voor te doen als een geautoriseerde entiteit. “Spoof” poging door een onbevoegde entiteit om toegang te krijgen tot een systeem door zich voor te doen als een geautoriseerde gebruiker. “Kwaadaardige logica” in de context van masquerade, elke hardware, firmware, of software (bijvoorbeeld Trojaans paard) die lijkt een nuttige of wenselijke functie uit te voeren, maar eigenlijk krijgt ongeautoriseerde toegang tot systeembronnen of trucs een gebruiker in het uitvoeren van andere kwaadaardige logica. “Vervalsing” een bedreigingsactie waarbij valse gegevens een toegelaten entiteit misleiden. (Zie: actieve aftappen.) “Substitutie” het wijzigen of vervangen van geldige gegevens door valse gegevens die dienen om een geautoriseerde entiteit te misleiden. “Invoeging” het introduceren van valse gegevens die dienen om een geautoriseerde entiteit te misleiden. “Afwijzing” een dreigingsactie waarbij een entiteit een ander bedriegt door valselijk de verantwoordelijkheid voor een daad te ontkennen. “False denial of origin” actie waarbij de maker van data de verantwoordelijkheid voor het genereren ervan ontkent. “False denial of receipt” actie waarbij de ontvanger van de gegevens weigert de gegevens te ontvangen en te bezitten. “Verstoring” (een bedreiging gevolg) een omstandigheid of gebeurtenis die de juiste werking van systeemdiensten en-functies onderbreekt of verhindert. (Zie: denial of service.) De volgende dreigingsacties kunnen verstoring veroorzaken: “onbekwaamheid” een dreigingsactie die de werking van het systeem verhindert of onderbreekt door een systeemcomponent uit te schakelen. “Kwaadaardige logica” In de context van onbekwaamheid, elke hardware, firmware of software (bijvoorbeeld een logische bom) die opzettelijk in een systeem wordt geïntroduceerd om systeemfuncties of-bronnen te vernietigen. “Fysieke vernietiging” opzettelijke vernietiging van een systeemonderdeel om de werking van het systeem te onderbreken of te voorkomen. * “Menselijke fout” actie of inactiviteit die onbedoeld een systeemcomponent uitschakelt. * “Hardware-of softwarefout” – fout die het falen van een systeemcomponent veroorzaakt en leidt tot verstoring van de werking van het systeem. * “Natuurramp” elke natuurramp (bijvoorbeeld brand, overstroming, aardbeving, bliksem of wind) die een systeemcomponent uitschakelt. “Corruptie” een bedreiging actie die ongewenste systeemwerking verandert door systeemfuncties of gegevens nadelig te wijzigen. “Sabotage” In de context van corruptie, opzettelijke wijziging van de logica, gegevens of controle-informatie van een systeem om de correcte werking van systeemfuncties te onderbreken of te voorkomen. “Kwaadaardige logica” In de context van corruptie, elke hardware, firmware, of software (bijvoorbeeld een computervirus) opzettelijk ingevoerd in een systeem om systeemfuncties of gegevens te wijzigen. * “Menselijke fout” menselijke actie of inactiviteit die onbedoeld resulteert in de wijziging van systeemfuncties of gegevens. * “Hardware of software fout” fout die resulteert in de wijziging van systeemfuncties of gegevens. * “Natuurramp” elke natuurlijke gebeurtenis (bijvoorbeeld stroomstoot veroorzaakt door bliksem) die systeemfuncties of gegevens verandert. “Obstructie” een bedreigingsactie die de levering van systeemdiensten onderbreekt door systeembewerkingen te belemmeren. “Interferentie” verstoring van de werking van het systeem door het blokkeren van communicatie-of gebruikersgegevens of controle-informatie. “Overbelasting” – belemmering van de werking van het systeem door overbelasting van de prestatiecapaciteiten van een systeemcomponent. (Zie: overstroming.) “Usurpation” (een bedreiging gevolg) een omstandigheid of gebeurtenis die resulteert in de controle van systeemdiensten of functies door een onbevoegde entiteit. De volgende dreigingsacties kunnen usurpation veroorzaken: “Verduistering” een dreigingsactie waarbij een entiteit ongeoorloofde logische of fysieke controle over een systeembron op zich neemt. “Diefstal van de dienst” onbevoegd gebruik van de Dienst door een entiteit. “Diefstal van functionaliteit” ongeoorloofde verwerving van feitelijke hardware, software of firmware van een systeemcomponent. “Diefstal van gegevens” ongeoorloofde verwerving en gebruik van gegevens. “Misbruik” een bedreigingsactie die ervoor zorgt dat een systeemcomponent een functie of service uitvoert die schadelijk is voor de systeembeveiliging. “Sabotage” In de context van misbruik, opzettelijke wijziging van de logica, gegevens of controle-informatie van een systeem om ervoor te zorgen dat het systeem ongeautoriseerde functies of diensten uitvoert. “Kwaadaardige logica” In de context van misbruik, elke hardware, software of firmware opzettelijk ingevoerd in een systeem om de uitvoering van een ongeautoriseerde functie of dienst uit te voeren of te controleren. Actie ‘schending van machtigingen’ door een entiteit die de systeemrechten van de entiteit overschrijdt door het uitvoeren van een ongeautoriseerde functie.
dreigingslandschap of-omgeving Bewerk
een verzameling bedreigingen in een bepaald domein of context, met informatie over geïdentificeerde kwetsbare activa, bedreigingen, risico ‘ s, dreigingsactoren en waargenomen trends.