組織了解其自身、資產和個人所面臨的網路安全風險
風險評估 (ID.RA)
子項目
ID.RA-01
識別、驗證和記錄
資產中的漏洞
目的
核心
措施
使用弱點掃描工具找已知漏洞
未更新的軟體
用自動化工具
執行滲透測試,模擬真實攻擊
檢查系統軟體程式碼和設定
程式碼審查
網路設定
評估實體設施安全性
物理漏洞
未經授權進入
監控威脅情報了解新漏洞技術
設定漏洞管理流程
識別漏洞
優先排序
修復漏洞
驗證漏洞
對應供應鏈安全漏洞 GV.SC
舉例
金融業利用滲透測試發現漏洞
應用程式具有 SQL injection 漏洞
ID.RA-02
從資訊共享論壇和來源
接收資安威脅情報
目的
積極取得和分析資安威脅情報
更好了解面臨威脅並調整措施
核心
建立可靠的資安情報來源
將威脅情報整合風險管理流程
措施
加入資安資訊分享與分析中心
同業交流
分享情報
分享實務
訂閱政府機構或資安公司情資
安全資訊和事件管理 (SIEM)
關聯資安事件
整合威脅情報
建立資安工具與技術接收情報
評估資安情報來源
可靠性
準確性
相關性
將情報轉化為可執行的措施
防火牆規則
修補漏洞
加強員工培訓
舉例
金融業訂閱 F-ISAC 了解威脅資訊
發現其他單位也被該駭客集團攻擊
ID.RA-03
識別和紀錄組織內外部威脅
目的
核心
建立流程,用於識別、分析和記錄
定期審查與更新該流程應對新威脅
措施
使用威脅建模來識別和評估
攻擊者是誰
攻擊者目標
攻擊者策略
分析資安事件日誌
執行社交工程演練
加強內部威脅 (員工、廠商)
舉例
參考 ID.AM-05 建立標準化流程
F-ISAC 威脅對比漏洞資訊
確認面臨特定駭客集團威脅
ID.RA-04
識別和記錄威脅利用漏洞的潛在影響和可能性
目的
了解威脅事件的潛在影響和可能性
制定風險應對優先順序和資源分配
核心
措施
使用風險矩陣等工具
列出生命週期
策略標準流程
執行業務影響分析 (BIA)
確認關鍵流程
計算產生後果
參考行業基準和歷史資料
考慮多個威脅與關聯性
定期審查和更新評估結果
舉例
ID.RA-05
使用威脅、漏洞、可能性和影響來理解固有風險並為
風險應對優先順序提供資訊
目的
使用威脅、漏洞、可能性和影響
理解固有風險全面分析制定新策略
核心
將風險評估的結果與組織的風險承受能力和業務目標相結合,
確定風險應對的優先順序
措施
制定風險應對計劃
區分不同級別
具體行動方案
優先考慮預算和資源分配
持續監控評估措施的有效性
選擇風險應對策略
風險減輕
風險轉移
風險避免
風險接受
舉例
以下哪一項措施不屬於ID.RA-01中識別資產漏洞的方法?
a)訂閱政府機構或資安公司提供的威脅情報。
b)執行滲透測試模擬真實攻擊。
c)使用弱點掃描工具搜尋已知漏洞。
d)檢查系統軟體程式碼和設定。
答案
a
下列哪一項不是ID.RA-04建議在評估威脅影響和可能性時採取的措施?
a)使用風險矩陣等工具。
b)執行業務影響分析(BIA)。
c)加入資安資訊分享與分析中心。
d)參考行業基準和歷史資料。
答案
c
根據NIST網路安全框架2.0,以下哪一項描述最符合風險評估(ID.RA)的目標?
a)建立一個安全的網路環境,使其免受所有威脅。
b)確保組織完全遵守所有適用的法律和法規。
c)持續監控並改進組織的網路安全狀態。
d)充分了解組織面臨的網路安全風險,以便做出明智的決策。
答案
d
某公司在執行ID.RA-04時,發現某個威脅的可能性很低,但潛在影響非常大。根據NIST網路安全框架2.0,公司應該採取什麼行動?
a)忽略此威脅,因為它的可能性很低。
b)將資源集中在可能性較高的其他威脅上。
c)針對此威脅制定應對計劃,即使可能性很低。
d)重新評估此威脅的可能性,確保評估的準確性。
答案
c
以下哪一項是執行社交工程演練的目的?
a)測試和改善組織的技術防禦措施。
b)評估員工對網路釣魚和其他社交工程策略的意識和應變能力。
c)識別和修補系統和應用程式中的漏洞。
d)模擬自然災害對組織營運的影響。
答案
b
iThome鐵人賽
看影片追技術