組織資安威脅建模
Threat Modeling
怎麼評估你的組織風險呢?
V.3_2020.08.27
暖身活動
聽到「資訊安全」會聯想到什麼?
一句話或一個關鍵字
圖片來源: wikimedia common. 檔案名: Pictograms-nps-land-exercise-fitness
暖身活動
「當你在做⋯⋯(以下活動)時,你會怎麼思考呢?」
圖片來源: wikimedia common. 檔案名: Pictograms-nps-land-exercise-fitness
電子前線基金會 - SEC 教材
威脅建模實作
威脅建模的 5 核心
我要保護什麼?
我想保護它免於誰的攻擊?
如果失敗了,後果是甚麼?
這發生的機率有多大?
如何應對可能的風險?
資產
攻擊者
威脅
風險
衡量
動機是甚麼?有甚麼能耐?
我有多大的必要主動保護資產?
資料?人?
願意付多少代價防止潛在風險?
這後果是可承受的嗎?
你的威脅建模成果如何?
心理建設
圖片來源 pixabay
任何不懂?�都問都問~
威脅建模
做的有點卡?
~來點補充說明~
(以下請講師自行斟酌是否要用)
建議可以定期進行內部威脅建模討論,增進防護能力!�
辦公室的資安威脅
圖片來源: Workflow Studio
工廠的資安威脅
很強的經典案例:
伊朗發現它們從核廢料提煉核彈原料的離心爐,失敗率很高,才發現系統被美國植入病毒。
�How? (一種可能的說法)美國偷渡 USB 隨身碟到其離心爐廠區,然後某人就用了,系統就中毒了。
圖片來源 RAPIID LAB
家裡的資安威脅 IoT
- Amazon Echo 事件
圖片來源 Google Home
家裡的資安威脅
各類智慧家電都有資安風險,購買使用前請小心。
關於勒索軟體 :�Internet of �Ransomware Things
圖片來源: Joy of Tech
出門在外的資安威脅
圖片來源: @GambleLee
Cyber Kill Chain Model
知名的數位攻擊鍊,是一個七步驟模型。
基本上,如果能成功阻斷其中一步,攻擊者是無法取得目標資料。
圖片來源: aprioit 文章:Employing the MITRE ATT&CK Matrix to Build and Validate Cybersecurity Mechanisms
搜尋偵察
選定武器
投遞武器
利用漏洞
安裝後門
控制
目標
造成破壞
Diamond Model
Cattle and Pet Model
圖片來源:
C.I.A.
confidentiality, integrity and availability
D.I.E.
distributed, immutable and ephemeral
C.I.A.
過去的資安觀念:�機密性、完整性與可用性。
像寵物一樣死守愛護。
D.I.E.
未來十年的資安觀念:分散性、不可竄改、暫時性。
像經濟動物一樣,不適用就銷毀換掉。
Mapping to critical data
圖片來源:Sqrrl, 2018
http://threathunting.org
圖片來源:Sqrrl, 2018
http://threathunting.org
本教材為 CSCS 社群根據台灣公民團體資安需求所編製,希望將專業知識轉譯成易於理解的形式,為資安講師提供一致化的參考教材,也利於民間團體自學應用。�
使用須知
教材協作團隊