如何定义高价值资产

admin
admin
admin
139164
文章
114
评论
2024年7月29日01:37:44评论72 views字数 2292阅读7分38秒阅读模式

网络安全保护对象中,屡屡出现高价值资产或者高价值数据,对于“高价值”的定义也是争议诸多。各种维度的定义貌似有道理,又貌似没有依据,因此,导致保护对象的重要性定义成为众说纷纭。本文根据个人理解对高价值资产做一些解释。

“高价值”中的高从传统观念而言,我们可以从国家、组织和个人视角考量,当然还有一种视角比较有趣-资产所有者和资产侵害者。前者而言,最简单的描述,针对资产机密性、完整性和可用性对客体造成的影响程度决定资产的价值,这个是传统的网络安全等级保护的定义。而且有关这个问题的文章也很多,我们今天重点讨论第二种视角。

从资产所有者而言,考虑资产的价值,可以引入第一种考虑方式,资产的所有者资产机密性、完整性和可用性受到侵害后的影响程度,针对于国家、社会/组织和个人作为侵害对象来讨论。但是换个角度,很多时候,资产所有者由于其业务目标的不同,使得上述定义存在一些不足。例如:一个组织的门户网站是否属于高价值资产?按照传统网络安全等级保护的定义,门户网站通常会被建议定义为等保三级,这是作为公共测评机构可以测评的最高级别,但是一个门户网站的重要程度是否真能够达到这种重要程度,这里存在几个分析要素:首先如果该网站仅作为一个官方的宣传或者新闻发布类门户网站,不存在任何与其他业务平台的联合登录或入口时,针对不同行业领域应该给予不同的评价和定义。如:一个政府门户网站,市级,主要访问群体,全市市民查询政策信息,无其他业务入口点。该网站不包含涉密及敏感信息。那么从CIA角度赋值(1-5分),我们可以分别定义为1、3、1,加权平均值得1.67分,该资产非关键资产,该资产保护数据非关键数据。安全属性完整性,控制措施网页防篡改及完整性验证。如果该Site包含联合登录模式,作为通信转发(非唯一),那么由于在转发过程中可能包含认证包等信息,重新定义可知3、3、1,加权后2.33分,同样可以定义为非关键资产,但是需要对转发通信环节建立强认证和基于信任的访问模式,同时应关注是否会通过缓存的模式保留认证数据和交换数据,如有,则应为其建立缓冲数据保护。但是,当该主机成为统一登录门户时,该资产赋值则为3、3、3,加权平均3分,该资产属于高价值资产。这也就意味着,同样是一类资产,由于其承载的业务模式和类型不同,其价值属于也在不断的发生变化。如果其涉及的用户范围增加,那么他们对应的资产价值也应随之而更新。

第二种情况则是资产的侵害方,也就是我们通常所说的黑客。实际上,从黑客经济学的角度而言,对于黑客而言,其攻击的价值与资产所有者定义的价值存在很大的差异。比如:一个公认价值很高的资产,对于黑客而言,其在评价攻击的成本、复杂性、收益以及攻击自身风险而言,可能会认为攻击价值不大,而将其定义为低价值目标,这取决于诸多因素,比如:防守方的能力、当地的立法关系、攻击者的能力、攻击者需要调用的资源、攻击者攻击后的获利点以及所带来的经济收益、政治收益和个人名誉收益等诸多方面的考量。但是,有时候可能会遇到一种比较极端的情况,某个水平很高的黑客为了泄愤,针对某资产所有者认为价值很低的官网进行攻击,并篡改其页面。这是一个比较有趣的资产价值定义模式,对于资产所有者而言,针对于所有者这是一个低价值资产,正是因为这是一个低价值资产,所以其相对保护强度和能力属性自然会降低;而对于攻击者而言,他认为他的目的仅仅是泄愤,而这个目标可以用最低的成本(甚至为接近为0)实现其目的,因此对攻击者而言,他认为这是一个高价值目标。这就解释了很多时候,有些单位一些不起眼的主机(低价值资产)被长期入侵。

当然,由于攻击的目的存在很大的差异,比如:基于政治为目的,基于经济获利为目的,基于个人炫耀为目的以及基于技术挑战为目的的诸多因素。实际上,有时候非常有趣的就是APT攻击者为了获得更多的僵尸网、跳板机可能会大量的获取一些疏于防范的低价值主机,然后为日后的攻击提供便利。虽然这是一个跳板,对于攻击者而言,由于跳板的利用价值不同,同样会对不同的跳板机定义其价值的高低水平,并尽可能保护高价值跳板机,但这些跳板机对于资产所有者而言可能又是低价值主机,这就产生诸多矛盾和保护的争议。

所以低价值还是高价值在实际的网络安全场景中很难因此而作为建立保护的一种评价。日常工作中,我们更多的是以自己作为评价者讨论资产的风险问题,更多的时候,逆向思维,如果“我”是攻击者,我会对哪些资产感兴趣,而这种“兴趣”能够改变我们的保护思维。比如:个人终端、办公无线设备、VPN以及看似单一,但又可能存在业务交互的服务器,甚至很多虽然不承载核心业务或数据,但由于其具有的高性能的计算能力,导致成为矿机的主机对于攻击者而言,是最佳选择目标。

本文真正的目的并不是为了讨论如何定义资产的价值,而是建议对于资产的保护不能以“价值”做为主要的标准和依据,更多的应该考虑资产本身除了对组织所带来的价值之外,同样要动态的讨论可能对攻击者产生的价值。而这种动态包括资产是单一的还是具有广泛的互联互通;资产所体现的算力;资产所能获取的最高权限;通过一个资产中的配置文件可能产生的推断能力;资产所保护的数据带来的情报价值等等问题。这也就意味着不管你定义1级、2级还是3级,对于攻击者而言,都可能成为高价值资产;而对于3级、4级从组织角度而言非常重要,但是对攻击者而言,未必会将其视为高价值攻击资产。所以,保护是一个集成化实现,是一个综合考虑的因素,而不应该依赖于某一个标准或准则。逆向思维,可能会为保护资产带来新的思考和能力。

原文始发于微信公众号(老烦的草根安全观):如何定义高价值资产

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月29日01:37:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何定义高价值资产https://cn-sec.com/archives/3008872.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息