如何使用预先存在的威胁目录来确定某个系统是否易受攻击？

Question

有许多风险评估准则，如risk 800-30和ISO 27005，提供了已知威胁的目录作为参考。使用定性方法，我选择了一个威胁事件目录，并试图选择适用于我的用例的威胁。

据我所知，通过研究系统设计规范，我可以编写一份可能影响系统的威胁列表。但是，我想在我的方法中更加确定，并且说系统是否易受我编译的威胁的影响。

我的方法是查看当前部署在系统上的安全控制，通过分析这些控制，我可以说“系统易受X、Y和Z威胁”。我知道我对我的问题有了某种回答，但也许有一种更有方法/有条理的方法？如果有已知威胁的列表，我如何确定系统是否易受攻击？

PS:我更感兴趣的是定性的方法，我知道一个漏洞工具可以让生活变得更容易。

Answer 1

你问的是一个纯粹的风险评估方法。在很高的层次上，这很简单。

• 在这种情况下，内在的、相关的风险(脆弱性与威胁相匹配)是什么？
• 有哪些控制措施来应对这些风险？
• 这些控制措施对这些风险有多有效？
• 还剩下什么没地址？

威胁目录的目的是帮助激发人们的想法，列出相关的风险。它们并不是一个完整的清单。

漏洞工具查看通过技术分析可以发现的技术风险。在技术漏洞之外，存在着整个风险范围。