云計算的頂級威脅深度分析報告目錄致謝頂級威脅列表分析案例研究LinkedIn(頂級威脅1，2，5，11和12)MongoDB(頂級威脅1，2，3，6，和8)DirtyCow(頂級威脅2和4)Zynga(頂級威脅1，2和6)NetTraveler(頂級威脅1，7和8)Yahoo!(頂級威脅1，8和9)Zepto(頂級威脅1，8和10)DynDNS(頂級威脅11和2)Cloudbleed(頂級威脅1和12)5案例研究的頂級威脅報道TT1TT2TT3TT4TTTT1TT2TT3TT4TT5TT6TT7TT8TT9TT10TT11TT12TOPTHREATSITEM#LINKEDINMONGODDIRTYCOWZYNGNETTRAVELERYAHOO!ZEPTODYNDNSCLOUDBLEED緩解和控制適用于9個案例研究覆蓋13個16云控制矩陣(CCM)域。數據中心服務DCS)和互操作性和可移植性(IPY)控制主要涉及云上的數據中心操作。服務提供商的設MOS)控制是用于移動端點保護的，也包括企業中常用的安全措施環境。供應鏈管理、透明度和問責制(STA未被提及。CCMCONTROLDOMAINLINKEDINMONGODBDIRTYCOWZYNGANETYAHOO!ZEPTOCCMCONTROLDOMAINLINKEDINMONGODBDIRTYCOWZYNGANETYAHOO!ZEPTODYNDNSCLOUDBLEED案例研究與每一個頂級威脅的對應表案例研究與每一個頂級威脅的對應表TVMHRSSEFIAMGRMBCRAACIVSAISCCCEKMDSIIPYMOSDCSSTAXXXXTVMHRSSEFIAMGRMBCRAACIVSAISCCCEKMDSIIPYMOSDCSSTAXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX上表中的行是根據CSACCM管理域進行各案例研究中的緩解行為相關。威脅和漏洞管理（TVM），特別是漏洞/（TVM02），將有助于發現這些事件中所利用的許多漏洞。人力資源安全(HRS)——特別是安全培訓——在9個案例研究中有6個被確定為可能的緩解措施，安全事件管理、電子發現和云取證(SEF)也是如此。基于這些結果，我們可以得出這樣的結論:對攻擊后果的規劃和執行對于成功處理三分之二的事件就至關重要的。此外，身份和訪問管理(IAM)控制被認為是對半數以上事件的相關緩解措施。AISAACBCRCCCDSIDCSEKMGRMHRSIAMIVSIPYMOSSEFSTATVMXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXLINKEDINMONGODBDIRTYCOWZYNGANETYAHOO!ZEPTODYNDNSCLOUDBLEED6 7LinkedIn(密碼破解2012)

預防控制EKM-02:密鑰生成—員工必須妥善保管所有訪問管理工具、密鑰、密碼和密碼系統。IAM12用戶ID憑證-組織需要采取適當的步驟來驗證身份,限制訪問和維護對于行業標準和合規的遵從。GRM03管理監督-不同部門的領導(例如SOCGRCCIRT)有明確的責任在檢測后披露泄露情況。美國在某些行業法規SOX)),管理可能是負個人責任和接收罰款或失去以前授予獎金。GRM06政策-目前尚不清楚LinkedIn威脅主體威脅脆弱性威脅主體威脅脆弱性技術影響業務影響控制內部I跳過基本標準TT11拒絕服務TT2數據泄露用戶憑證TT1數據用戶泄露憑證財務預防-EKM-02-用訴訟1.25百美元 –IAM-12不分的份、據和 （包括師費）訪管理 ––運營—兩個電話讓用戶重置密碼ExternalTT12共享的技術漏洞TT5)合規—未能保護PII檢測IVS-01IVS-06SEF-04GRM-05GRM-10TVM-02聲譽—對長期的服務使用具有負面影響糾正GRM-07GRM-08GRM-09SEF-01SEF-05IVS-01IVS-06:網絡安全—環境和基礎設施應該設計成限制訪問和監視流量。這個配置應該通過驗證和并維護適當的文檔SEF-04:事件響應法律準備—必須遵循適當的司法調查程序,特別是未來刑事起訴。在事故響應中包括法律代表是很重要的攻擊細節威脅主題:俄羅斯公民葉夫根尼·尼庫林因涉嫌參與領英(LinkedIn)違規行為被捷克警方逮捕。威脅:黑客竊取了領英員工的憑證。進入內網后,黑客得到了用戶名和密碼的數據庫。攻擊細節威脅主題:俄羅斯公民葉夫根尼·尼庫林因涉嫌參與領英(LinkedIn)違規行為被捷克警方逮捕。威脅:黑客竊取了領英員工的憑證。進入內網后,黑客得到了用戶名和密碼的數據庫。GRM-10糾正控制SEF-01:聯系/權威機構的維護-初始事件響應小組中的包括適用的政府當局和執法機構將使披露不足不成為問題。糾正控制SEF-01:聯系/權威機構的維護-初始事件響應小組中的包括適用的政府當局和執法機構將使披露不足不成為問題。SEF-05GRM-08:風險評估的政策影響：使用風險評估反饋回路更好地把握初始違約的陷阱，有助于避免第二次違約。GRM-09:政策reviews-Business領導應帶頭政策審議,并確保政策與組織活動和戰略方向。首席財務官(CFO)或首席顧問(法律)將指定一個受讓人簽署底線”——特別是在上市公司,美國證券交易委員會(SEC)和SOX合規發揮作用。GRM-07:應該創建和統一執行適當的策略。員工應該知道他們要為自己的行為負責。技術影響技術影響萬帳戶劫持:由于密碼的重用，這種泄漏導致其他服務中的帳戶劫持事件。業務影響財務方面:取證調查和事后費用估計為100萬美元。此外,集體訴訟中有高級賬戶的受害者獲得總計125萬美元的賠償。關鍵事項–始終對含用戶憑據的數據庫進行散列和加鹽--實施謹慎的日志記錄和行為異常分析預防控制IAM-04:政策和策略-數據所有者復雜提供和實施MongoDB上與識別和訪問控制相關的合適的政策和策略。體系需要在數據庫創建和用于存儲數據前創建。HRS-09:培訓/意識教育-數據所有者需要對所有合同方，第三方用戶和員工提供安全意識培訓，確保涉及的每個人收到對于（IAM-04所述）政策和策略合適的，及時的介紹指導。檢測控制IAM-10:用戶訪問檢查-數據所有者應該定期檢查識別管理和訪問權限，檢查違規行為并確保用戶根據工作職能設定了“最小權限”。預防控制IAM-04:政策和策略-數據所有者復雜提供和實施MongoDB上與識別和訪問控制相關的合適的政策和策略。體系需要在數據庫創建和用于存儲數據前創建。HRS-09:培訓/意識教育-數據所有者需要對所有合同方，第三方用戶和員工提供安全意識培訓，確保涉及的每個人收到對于（IAM-04所述）政策和策略合適的，及時的介紹指導。檢測控制IAM-10:用戶訪問檢查-數據所有者應該定期檢查識別管理和訪問權限，檢查違規行為并確保用戶根據工作職能設定了“最小權限”。TVM-02:弱點/補丁管理-數據所有者應該定期進行漏洞掃描或其他檢查，確認系統是否足夠安全。威脅角色威脅脆弱性技術影響業務影響控制安全研究員未經授權的訪問TT2不充分的識別、憑據和訪問控制TT1數據泄漏，用戶憑據丟失，個人身份識別財務-事件后的成本預防IAM-04HRS-09運營-從備份數據恢復文件檢測TVM-02IAM-10TT6惡意內部人員TT3 TT8失合規-高度敏感數據泄密聲譽--公民對其當選官員能力的信心糾正IAM-02IAM-06IAM-07IAM-09IAM-12HRS-09更正控制IAM-02更正控制IAM-02/HRS-09IAM-06IAM-07:）IAM-09IAM-12:用戶ID憑據-數據所有者需要限制公司內部或（租賃）客戶的用戶賬戶憑據。威脅角色：威脅角色可以是發現未受保護的MongoDB數據庫缺省安裝的任何惡意角色威脅：MongoDB數據庫缺省安裝在瀏覽時訪問不需要任何授權和訪問控制。網絡安全專家ChrisVickery發現存儲在AmazonWeb服務（AWS）上MongoDB數據庫中的，9千3百萬墨西哥選民的個人識別信息（PII）和投票記錄處在危險中。脆弱性：不安全的MongoDB27017端口允許外部網絡攻擊，同時沒有其他認證和訪問控制措施來防護后端的MongoDB數據庫。所有數據可以被任何人操縱（增加，刪除，修改和查詢）技術影響要點--在所有邊界實施政策和預防性控制措施要點--在所有邊界實施政策和預防性控制措施–漏洞和系統掃描對受管理的，共享的和公共的環境至關重要數據丟失：通過破壞和刪除導致數據丟失可以使得信息不可接受或不可訪問，從而不能為運營，風險和決策所用業務影響業務影響財務：千萬美元的審計費用，事件恢復費用，法律補償和罰款。運營：運營影響包括從備份數據恢復文件所需的時間和精力。合規：指違反美國州和聯邦的法規（包括隱私法案）B2B協議及用戶隱私義務。根據墨西哥法律，選舉人信息是“嚴格保密”的，未經授權的披露會導致高達12年監禁的懲罰。聲譽：數據泄露嚴重損害企業商譽。MongoDB廣為使用。除了墨西哥選舉人信息泄露事件外，其他與MongoDB織PII數據泄露同樣影響了企業底線。10 11業務影響聲譽：財務損失，運營中斷以及合規罰款和處罰會對品牌價值產生不利影響。結果，人們對組織管理人員及其有效監督目標和責任的能力產生了懷疑。這還可能包括消費者信心的喪失和品牌質量的下降。攻擊明細業務影響聲譽：財務損失，運營中斷以及合規罰款和處罰會對品牌價值產生不利影響。結果，人們對組織管理人員及其有效監督目標和責任的能力產生了懷疑。這還可能包括消費者信心的喪失和品牌質量的下降。攻擊明細威脅角色：惡意的內外部人員，團體或高級持續性威脅（APT），通過已有用戶賬戶，弱審查或社會工程企圖獲取根權限。脆弱性：通過本地特權提升及其他方法執行非特權代碼，開啟以root用戶身份運行遠程UNIXshell。遠程訪問根目錄。技術影響預防控制AIS-02:用戶接入要求—訪問授權必須使用需要知道、需要訪問協議來實現。社會工程識別訓練加強現有的訪問管理程序，以阻擾賬戶占用一個初期形式的攻擊樹到一個DirtyCow事件。數據安全/和系統的披露，改變或破壞，從而減少污牛風險潛力。基線應該包括預期的生產二進制文件、服務和過程的已知配置文件。應引入參考監測或一致性維護運行時檢查來定期評估標稱系統行為。IAM-09:用戶訪問授權—通過禁用直接交互登錄來維護和支持，可能會破壞牛的潛在風險。另外，設置可以配置為通過加密安全的跳轉虛擬機（VM）圖像或其他加密中間網絡使能設備強制圖像、容器或應用程序編程接口（API）訪問。IAM-12:用戶ID憑證—系統管理功能應該由基于角色的權限保護，或者是雙因素/多因素認證。此外，特權應該在通常的系統級訪問和敏感的根或系統帳戶的托管憑證訪問之間分離。IAM-13:實用程序訪問—可以刪除可能覆蓋系統、對象、網絡、虛擬機和應用程序控制的實用程序。如果攻擊者必須在系統上加載工具（假設網絡異常檢測已到位），則上傳是可被檢測的事件。HRS-02:背景篩選—所有的系統、承包商和第三方承包商都應該進行與數據分類成比例的背景驗證（考慮到業務需求和可接受的風險）。一個DirtyCow事件可以由內幕人，這是一個已經信任的獨特平臺。檢查控制CCC-03:質量檢驗—遵循已定義的質量變化控制和測試過程（例如，信息技術基礎設施庫（ITIL）服務管理），以建立的基線、測試和發布標準為重點，關注系統可用性、機密性和系統和服務的完整性。對生產環境組成和行為的預先了解可以提醒工作人員存在DirtyCow的異常。CCC-05:生產變化—通過記錄變更來管理潛在風險：（1）業務關鍵或客戶（租戶）-影響應用程序（物理和虛擬）；（2）系統到系統接口（API）的設計和配置；（3）基礎設施網絡和系統組件。GRM-10:風險評估—低DirtyCow風險通過一個三線支持、全企業范圍、風險管理框架進行。正式的、第一線的技術風險評估發生在計劃的時間間隔內，并與信息系統的任何變化相結合。第二行風險使用定性和定量方法確定所有識別風險的可能性和影響。與固有風險和剩余風險相關的可能性和影響應獨立確定，并考慮所有風險類別。GRM-11：風險管理框架-將所有DirtyCow風險潛力降低到可接受的水平;這個過程應該基于符合組織建立的“風險偏好”邊界的風險標準。威脅主體威脅漏洞技術影響恢復未發現的權限提升(CVE-2016-5195)TT4系統脆弱性財務務，欺詐，股票下跌內部預防AIS-02AIS-04IAM09IAM-12IAM-13HRS-02運營缺乏或泛泛的運營檢測CCC-03CCC-05GRM-10GRM-11外部合規蝕聲譽-品牌受損恢復BCR-01AAC-02糾正控制AAC-02:威脅模型的重復性、一線技術風險評估程序，其顯示出比可用控制、過程和技術所能減輕的更高的剩余操作風險。BCR-01:業務連續性規劃—為業務連續性規劃和開發建立可測試和一致的統一框架?？紤]對DirtyCow威脅模型的跨功能的桌面練習，演示了比可用控制、過程和技術可以減輕的更高的剩余操作風險。關鍵點關鍵點12 13攻擊細節威脅主體:在一個內部，不滿的Zynga員工/團隊領導（一個有敵意的知情人）的研究和開發。威脅:惡意內幕人士根據其指定的訪問權限和需要知道的原則下載高度機密的商業文件。并在“背叛”競爭對手之前從公司的筆記本電腦（和場所）中刪除它們。脆弱性:沒有應用文件級數據丟失預防控制；沒有安全控件警告從公司云存儲中下載散裝文件夾/文件；并且沒有實施物理數據丟失預防控制。預防控制 攻擊細節威脅主體:在一個內部，不滿的Zynga員工/團隊領導（一個有敵意的知情人）的研究和開發。威脅:惡意內幕人士根據其指定的訪問權限和需要知道的原則下載高度機密的商業文件。并在“背叛”競爭對手之前從公司的筆記本電腦（和場所）中刪除它們。脆弱性:沒有應用文件級數據丟失預防控制；沒有安全控件警告從公司云存儲中下載散裝文件夾/文件；并且沒有實施物理數據丟失預防控制。預防控制 AIS-03:數據完整性—用于防止散裝和/或選擇性“輸出”（在這種情況下為“下載”）的控件將迫使攻擊者采取打印屏幕策略，或采用其他無效的技術。AIS-04:數據安全/完整性—可以為離職員工實施單獨的政策和程序。IAM-05:職責分離—在需要知道的基礎上隔離機密數據的訪問以及限制復制/下載特權將在限制數據泄露損失方面起到很大作用。HRS-03:雇傭協議—員工必須了解他們對公司的法律義務，無論是在被雇傭還是離職后。SEF-03:事件報告—報告事件的能力是至關重要的，既能阻止潛在的犯罪者，又能給告密者提供權力。先前的內幕數據違反案例研究傳達了強大的組織事件報告機制的重要性，當涉及到攻擊威懾。如果攻擊者察覺到這些機制是強的，并且知道敏感數據通常被數據所有者仔細審查和負責任地管理，那么攻擊就不太可能發生。DSI-01:分類—對數據進行分類并適當地限制訪問。AIS-04:數據安全/完整性—對于試圖保護自身免受固有風險的組織來說，數據所有者必須準確地了解什么樣的數據在其基礎設施（或云）中被處理、存儲和傳輸，以及正在使用的應用程序，這是至關重要的第一步。檢查控制AIS-04:數據安全/完整性—應該建立審計日志和檢測控制，以使取證能夠主動檢測數據泄漏，既減少響應時間，又限制損失。IAM-11:用戶訪問撤銷—具有高度特權數據的雇員離職應及時撤銷其訪問權限（根據組織的政策和程序）。DSI-02:數據清單/流量—數據丟失預防（DLP）解決方案，如集成在云生產力套件中或在過境或端點上執行的，可以基于內容、上下文或高級行為分析/人工智能（AI）場景檢測數據泄露，即使這樣的動作是允許的政策。威脅主體威脅脆弱性技術影響業務影響控制點內部不滿的員工商業和敏感數據竊取TT2身份、證件和準入管理不足TT1數據泄露財務-取證以及法律調查和訴訟費用運營分配預防AIS-03AIS-04IAM-05HRS-03SEF-03DSI-01ASI-04檢查AIS-04IAM-11DSI-02TT6惡意內部人員合規遵從性–SOX可能違反SOX合規遵從性聲譽–糾正-IAM-11SEF-04SEF-05技術影響性數據泄露:業務文件和產品文件的曝光。關鍵點數據丟失預防和檢測性控制勢在必行技術影響性數據泄露:業務文件和產品文件的曝光。關鍵點數據丟失預防和檢測性控制勢在必行安全和數據隱私意識是主要的預防控制糾正控制IAM-11:用戶訪問撤銷—在這種情況下，行事者有權訪問他們的工作和數據需求。許多內部威脅案件在雇員雇傭關系終止后表現出來，主要是由于訪問控制撤銷的疏忽所致。SEF-04:事件響應法律準備—執行雇員的不披露協議、正式的意識行動和相應的法律行動，以應對違反條款，可以產生部分損失恢復，減輕損失和保險覆蓋面。SEF-05:事件響應度量—保險可以防止數據和/或商業/商業秘密的損失，以及在知識產權盜竊案中的部分損失。業務影響性財務：獲得Zynga內部知識的競爭對手可能獲得相當大的商業和技術競爭優勢。對于Zynga來說，這可能導致長期收入減少，股票價值下降。運營:Zynga被迫分配時間和資源進行調查（技術、法律和操作等）。此外，商業戰略和產品路線圖將需要新的發展戰略。合規遵從性:與數據竊取相關的弱控制可能違反薩班斯-奧克斯利法案，并可能導致罰款。聲譽:客戶和合作伙伴更不愿意相信Zynga的機密信息，因為這阻礙了該公司的產品采用和破壞市場的能力。攻擊詳情威脅主體：一個外部小組尋求進入目標系統,以獲取信息、散布假情報和影響系統操作。威脅：外部組向員工發送了一封包含以下內容的仿冒“釣魚”電子郵件:(1)一個URL鏈接，指向一個包含RAR可執行文件的WEB站點或(2)用MNKits生成可執行有效負載的Word附件。打開文件將導致NetTraveler利用微軟(MS)Windows公共控件(MSCOMCTLOCX)的漏洞,允許遠程攻擊者執行系統中具有有害特權的任意代碼。漏洞：沒有受過適當培訓以識別和處理網絡釣魚攻擊的員工是潛在的受害者。此外系統必須經過充分的安全加固(如補丁，防病毒),以防止成功的攻擊。預防控制TVM-01:攻擊詳情威脅主體：一個外部小組尋求進入目標系統,以獲取信息、散布假情報和影響系統操作。威脅：外部組向員工發送了一封包含以下內容的仿冒“釣魚”電子郵件:(1)一個URL鏈接，指向一個包含RAR可執行文件的WEB站點或(2)用MNKits生成可執行有效負載的Word附件。打開文件將導致NetTraveler利用微軟(MS)Windows公共控件(MSCOMCTLOCX)的漏洞,允許遠程攻擊者執行系統中具有有害特權的任意代碼。漏洞：沒有受過適當培訓以識別和處理網絡釣魚攻擊的員工是潛在的受害者。此外系統必須經過充分的安全加固(如補丁，防病毒),以防止成功的攻擊。預防控制TVM-01:防病毒/惡意軟件應當實施支持業務流程和技術措施來確保安裝更新的防病毒軟件。這將防止在連接的接入點設備（如工作站，筆記本，以及移動設備）上執行惡意軟件。這同樣適用于IT基礎架構網絡和系統組件。TVM-02:漏洞/補丁管理應實施支持業務流程和技術措施,來確保漏洞/補丁程序維護是最新的。這將能夠及時組織所擁有或管理內的應用程序的漏洞，以及基礎結構網絡和系統組件，從而確保安全控制措施的效率和有效性。HRS-09:培訓和意識必須為所有同組織有關的員工、承包商和第三方用戶建立安全和隱私意識培訓計劃。所有具有組織數據訪問權限的個人都必須獲得恰當的安全和隱私意識培訓,并且獲得同他們的專業崗位相關的組織程序、流程和策略方面的定期更新。檢測控制AAC-01:審計計劃必須制定和維護審計計劃,以解決業務過流程中斷。審計計劃需要重點審查實施和持續執行安全運維工作的效率和效力，包括版本控制、補丁和安全/隱私培訓AAC-02:獨立審計必須進行獨立的審查和評估(至少每年一次)以促進最佳實踐并確保組織解決了同既定政策、標準、程序和法規遵從義務有關的的不一致性。需要協調獨立和內部審計，確保有效覆蓋安全運維的諸多方面，包括版本控制,補丁和安全/隱私培訓。AAC-03:法規映射組織必須創建和維護一個控制框架，該框架能夠反映同業務需求相關的標準，法規，法律和要求。該控制框架，包括其對于版本，補丁和安全/隱私培訓上的控制（措施），需要被（定期）審核（至少每年一次），以確保（那些）影響業務流程的變化能夠被正確的反映出來。威脅主體威脅脆弱性技術影響業務影響控制措施外部開放式釣魚郵件內部人疏忽大意的TT1數據泄露財務營收減少，額外的開銷（支出）預防TVM-01HRS-09應用運維過時的版本和補丁運營運營中斷，影響決策制定TT8數據丟失檢測-AAC-01AAC-02AAC-03合規罰金與處罰應用安全過時的版本和補丁口碑降低品牌價值糾正SEF-01業務影響財務：數據泄露可能導致競標銷售減少以及GDPR罰款和處罰。損壞和丟失數據可能導致低效、無效的分析和糟糕的決策制定-從而導致減少銷售和額外成本。運營：數據不可用或不能用于處理事務、分析和決策可能會擾亂運營，延遲或影響決策過程的質量。數據被競爭對手獲取會降低競爭優勢業務影響財務：數據泄露可能導致競標銷售減少以及GDPR罰款和處罰。損壞和丟失數據可能導致低效、無效的分析和糟糕的決策制定-從而導致減少銷售和額外成本。運營：數據不可用或不能用于處理事務、分析和決策可能會擾亂運營，延遲或影響決策過程的質量。數據被競爭對手獲取會降低競爭優勢合規：不當收集、處理或披露的數據可能導致違反當地、國家和國際規則/條例(例如,GDPR)。聲譽：財務損失,運營中斷和GDPR合規罰款和處罰可能影響品牌價值。從而削弱了對組織管理人員的信心--以及他們監督公司安全和其他責任的能力。技術影響數據泄露：數據泄漏可以使競爭對手獲得公司的生產信息，從而降低了公司的競爭優勢。在某些情況下,軍事情報可以被提供給恐怖分子(如流氓國家),使一個國家的安全處于危險之中。數據丟失：通過銷毀或刪除動作造成數據丟失將使得信息無法無法接受或無法用于操作、分析和決策。關鍵點內部員工在打開電子郵件時（需要）保持警惕性和疑問及時實施最新的應用和操作系統補丁/版本是至關重要的恢復控制SEF-02:事件管理必須建立策略和過程，以及支持業務流程和技術實施的措施來審核同安全相關的事件,并確保及時和徹底的事件管理(根據IT服務管理策略和過程而建立)。SEF-03:事故報告BCR-11:（數據）保留策略做為業務連續性計劃的一部分，備份和恢復措施必須被納入且測試通過。基于對威脅影響面的審核（如中斷的，損壞了的或刪除了的數據或系統）來調用備份和恢復。威脅主體威脅脆弱性技術影響業務影響控制措施（內部）無知的員工TT9未充分執行“應盡的調查”事件響應策略威脅主體威脅脆弱性技術影響業務影響控制措施（內部）無知的員工TT9未充分執行“應盡的調查”事件響應策略落后TT1數據泄露財務日常業務Oprestoration:責任危及交易降低售價預防HRS-09GRM-03GRM-04GRM-06管理不善，風險與合規遵從性差運營口令重置時間/成本TT8數據丟失合規不同的合規要求罰金檢測SEF-04GRM-05GRM-07GRM-10TVM-02執行監督不善口碑--損失糾正SEF-01SEF-05GRM-08GRM-09預防控制HRS-09:培訓/意識—雅虎各級員工都將從安全意識培訓中受益。這種情況應該對組織內的每個部門產生影響，包括：法律，人力資源（HR），風險和合規以及安全。所有這些部門都需要了解此事件的影響。GRM-03:管理監督—SOC，IT，GRC和CIRT部門的領導者在檢測到入侵后有明確的披露信息的責任。GRM-04:管理程序—雅虎欠缺或忽略了信息安全管理程序(ISMP)的政策、溝通和風險管理等方面了。文檔、審批和實施都為以后的檢查和糾正操作創造條件。GRM-06:政策—尚不清楚雅虎是缺乏安全政策還是根本沒有遵循政策。由于此項違規的嚴重性，披露通知本不應該被延誤。攻擊詳情威脅主體：多雇員意識淡化，忽視或可能未意識到不同的（數據）泄露事件。威脅：初始攻擊包括利用了不善的密碼安全（管理策略），特別是利用MD5哈希碼有效期失效。漏洞：雅虎員工表現出在多個層面上缺乏適當的盡職調查。這包括:(1)事件響應政策未包含數據泄露通知;(2)治理、風險管理與合規(GRC)管理程序均未識別和報告對公司今后業務的風險;(3)高管們忽略了三年以上的情況下所帶來的風險。技術影響數據泄露據泄露之外,（發現也存在）數據損壞的可能,但這在雅虎案中沒有證據可以證明。違規的另一個重要方面包括盜竊5密碼。數據泄露據泄露之外,（發現也存在）數據損壞的可能,但這在雅虎案中沒有證據可以證明。違規的另一個重要方面包括盜竊5密碼。檢測控制SEF-04GRM-05:管理層支持/介入—任何時候都不揭發組織內部的文化問題，忽視或者掩蓋問題，或者沒有明確規定問責制和與責任相關的協議，都應該被視為危險信號。GRM-07（Verizond）在收購雅虎（yahoo）政策文件。GRM-10:風險評估—任何獨立的內部或外部審計師都應該記錄如此規模的違規行為。在某種程度上，必須揭露和糾正政策，審查，支持，監督和/或事件清理之間相互脫節的情況。TVM-02:漏洞/補丁管理—在滲透測試期間，通常使用多種技術測試密碼的強度（比如彩虹表）。糾正控制SEF-01:聯系/授權維護—在初始事件響應小組中包括適用的權力機構和執法部門，這會解決缺乏披露的問題。SEF-05提供可見性。通過管理來體現會計和未來預算影響的衡量指標，包括響應時間和所花費的資源，并為主管領導提供可見性（原文是Throughmanagement）。GRM-08:政策對風險評估的影響—使用風險評估反饋閉環來更好地控制初次違規犯下的錯誤，從而避免重蹈覆轍。GRM-09:政策審核—業務領導應該在政策審核中起主導作用，并確保政策符合組織活動的戰略方向。首席財務官（CFO）或首席法律顧問（法律）將指定一名受讓人“在底線上簽字”-尤其是在證券交易委員會和薩奧索斯法案合規生效的上市公司。關鍵點關鍵點-長期不披露事件對企業是不利的，除非有警方指示。–弱密碼和身份驗證機制很容易被多因素身份驗證（MFA）令牌取代。業務影響財務：業務影響財務：根據哪些系統受到損害,與泄露有關的財務費用可能對公司具有重大影響，從日常業務/銷售損失到運營恢復成本不等。最明顯的一個受損是發生在2016年的一起懸而未決的對Verizon的收購案。當起收購被最終確定時,由于同泄露有關的原因，最終的售價減少了大約3.5億美元。運營：這次違約的影響并不僅局限于雅虎自身的感受:因為事關潛在的密碼重用的量，整個計算機行業都感受到了運營影響。合規：雅虎負責與非SEC政府調查有關的現金負債的50%,以及與違法行為有關的第三方訴訟。此外,股東訴訟和SEC調查產生的負債將繼續由雅虎負責。聲譽：由于違約和延遲披露，在公司內部和公開層面上均對公司品牌提出了質疑，特別是針對有關收購Verizon的戰略價值，以及為解決安全問題而付出的相當大的價格、成本。已經有多起股東訴訟與此有關。威脅主體威脅脆弱性技術性業務影響控制無知的員工威脅主體威脅脆弱性技術性業務影響控制無知的員工TT8數據丟失操作系統政策TT8-windows圖標 數泄露財務-責任-贖金支付預防HRS-08HRS-09TVM-01IAM-05軟件政策-軟件程序操作文件恢復時間精力業務連續性支持TT10濫用和非法使用云服務TT8數據丟失合規-各種合規罰款--泄露通知成本檢測-HRS-05TVM-03SEF-02SEF-04不充分的員工培訓聲譽-失去競爭優勢--挽救費用糾正SEF-01BCR-02BCR-10SEF-05預防控制HRS-08:可接受的技術使用——各種云服務的集成應該是一種體系結構活動，而不是由單個用戶/組來實現。存儲供應商的選擇必須由公司IT/安全部門進行。否則可能意味著客戶發現的具體風險沒有得到解決。HRS-09:培訓/意識——在網絡釣魚/魚叉式網絡釣魚攻擊中，通過電子郵件最有效地分發勒索軟件。針對員工的安全意識培訓將降低此類攻擊的風險。TVM-01:反病毒/惡意軟件——安全廠商在惡意軟件檢測和保護方面取得持續進展。即使是最為訓練有素的員工也能從這些工具的實施中獲益。IAM-05:職責分離——適當的職責分離限制了破壞活動的“爆炸半徑（影響范圍）”，因為封鎖了來自較大人群的關鍵業務數據集。此外，按功能或組織將關鍵業務集分組隔離，阻礙惡意軟件向整個網絡的傳播。檢測控制HRS-05:檢測控制HRS-05:移動設備管理——員工網絡釣魚培訓在移動設備上效果較差，因為信息被隱藏在一個較小的屏幕上。因此，盡職調查（即，檢查鏈接）就不那么直觀。對應用程序部署和集成進行更嚴格的控制可能有助于彌補移動設備的缺陷。TVM-03:移動代碼——在移動設備上執行和交互的移動代碼保護和控制使得.wsf文件無法與移動設備交互。SEF-02:事件管理——事件響應團隊應該負責立即清理，并考慮將SaaS存儲斷開作為修復過程的一部分。SEF-04:事件響應的法律準備—必須遵循適當的法律程序，特別是如果將來會產生刑事訴訟，在事件響應中包含法律代表就顯得尤為重要。威脅角色:無知的員工打開一條包含.wsf或.docm附件的垃圾信息。威脅:.wsf文件里包含多種編程語言的免殺腳本，（這）使得它能夠通過（那些））依賴單一語言的仿真引擎的檢測。惡意文件還使用SaaS云服務（包括MicrosoftOneDrive，GoogleDrive，Box和Dropbox）的共享和協作來感染其他系統。糾正控制HRS-05:移動設備管理-員工網絡釣魚培訓在移動設備上效果較差，因為信息被隱藏在一個較小的屏幕上。因此，盡職調查(即，檢查鏈接)則不那么直觀。對應用程序部署和集成進行更嚴格的控制可能有助于抵消移動設備的缺陷。糾正控制HRS-05:移動設備管理-員工網絡釣魚培訓在移動設備上效果較差，因為信息被隱藏在一個較小的屏幕上。因此，盡職調查(即，檢查鏈接)則不那么直觀。對應用程序部署和集成進行更嚴格的控制可能有助于抵消移動設備的缺陷。TVM-03:在移動設備上執行和交互的移動代碼保護和控制使得.wsf文件無法與移動設備交互.SEF-02:事件管理——事件響應團隊應該負責立即清理，并考慮將SaaS存儲斷開作為修復過程的一部分SEF-04:事件響應的法律準備——必須遵循適當的法律程序，特別是如果將來會產生刑事訴訟，在事件響應中包含法律代表就顯得尤為重要。技術影響技術影響數據泄露:攻擊者有可能違反公司知識產權的保密規定。這些信息可能包括源代碼、商業機密或其他高度敏感的信息。Zepto的情況可能并非如此，盡管攻擊者確實可以訪問一些敏感數據，但是Zepto可以用最少的努力來完成對敏感數據（比如PII、社會保險號碼（SSN）和信用卡號碼（CCN））文件的梳理。數據丟失:加密后，所有文件在備份恢復或密鑰恢復之前都不可用。業務影響財務:根據哪些系統受到損害，與違約相關的財務費用可能對公司很重大-從日常業務/銷售損失到運營恢復成本不等。最近的事件也表明一些組織可能會支付贖金，但這種做法是非常不可取的，為勒索攻擊提供資金會使他們變本加厲。（見NororeRangsOM.org）。業務影響財務:根據哪些系統受到損害，與違約相關的財務費用可能對公司很重大-從日常業務/銷售損失到運營恢復成本不等。最近的事件也表明一些組織可能會支付贖金，但這種做法是非常不可取的，為勒索攻擊提供資金會使他們變本加厲。（見NororeRangsOM.org）。運維:對運維的影響包括文件備份恢復所花費的時間和精力。合規:合規性影響可能包括罰款和負債，比如監管機構的披露通知或處罰。聲譽:織的聲譽，尤其是對于特定行業/地點的組織。關鍵點教育用戶使其明白安全的重要性，特別是針對文件附件和鏈接。對于打補丁和更新端點保護定義保持警惕20 21DynDNS

預防控制IVS-13:網絡架構–針對DDoS攻擊，作為防御措施的一部分，網絡架構整體設計應該能快速有效的識別、隔離以及重路由。AAC-01:審計規劃-應該對內部網絡及客戶終端進行審計，同時也推薦對聯網的IOT物聯網設備進行定期或不定期的審計，這也包含對于客戶端的惡意軟件識別。GRM-01:建立基線-對系統建立合適的基線非常重要。在Dyn事件中，其中最關鍵的是路由器和DNS服務器，這些設備在DDoS攻擊中將會受到嚴重影響。對基線的合規檢查需要定期監控和審核，這樣可以檢測出未知變更。這些都有助于盡早識別DDoS攻擊。檢測控制SEF-03:事件上報–事件上報流程應該被歸檔，相關人員應該接受培訓，這樣事件發生后可以及時而有效的應對。威脅主體威脅脆弱性威脅主體威脅脆弱性技術影響業務影響控制措施惡意外部攻擊分布式拒絕服務TT2DNS解析失敗身份識別、憑證及身份管理不當連接的外部物聯網設備財務影響-日常業務中斷恢復運維現有客戶丟失運維影響互聯網中斷數小時業務連續性支持預防IVS-13AAC-01GRM-01檢測–SEF-04受控的MIRAI僵尸設備TT11拒絕服務合規–服務水平協議合規無法盡早識別威脅名聲–丟失競爭優勢恢復-BCR-01BCR-02BCR-10TVM-01恢復控制BCR-01:業務連續性計劃–業務連續性計劃應該對DDoS攻擊或網絡占領的攻擊建立清晰的響應流程，該計劃應該將盡快恢復網絡正常運行作為優先級。攻擊細節威脅主體：通過已聯網的物聯網設備，惡意外部人員于2016年10月發起了分布式惡意攻擊。威脅：攻擊者通過利用Mirai惡意軟件感染了物聯網設備，控制了僵尸網絡，然后利用該僵尸網絡發起了分布式惡意攻擊漏洞：通過默認賬號密碼攻破了IoT設備，這些被攻破的設備被控制在一個僵尸網絡中，該僵尸網絡隨后被配置為對一家域名提供商Dyn發起了分布式惡意攻擊DDoS.。所有的沒有備用DNS提供商的Dyn客戶都受到影響，他們網站的DNS解析無法完成。

BCR-02:業務連續性測試–業務連續性計劃BCP應該包含針對類似DDoS攻擊的應對演練，以有效測試服務恢復的響應時間?？梢耘e行專門的內部DDoS攻擊來進行演練，而針對公有云的測試應該事先申請。BCR-10:政策–組織內部應該建立應急響應政策，對應的運維標準和流程應該同時建立（每家公司都應該有貼合實際情況的政策和流程）。TVM-01:防病毒/反惡意軟件–盡管DynDNS攻擊主要是因為消費者的IOT攝像頭，公司還是應該建立對應的政策和流程以防公司所管理的終端設備執行惡意軟件。技術影響拒絕服務攻擊：這次攻擊對象是Dyn所管理的一系列域名，目標是影響Dyn所提供的服務。據記錄，這次分布式拒絕服務的力度達到了1.2Tb每秒，是有記錄以來最嚴重的攻擊。最核心的影響是由于Dyn服務停止，造成DNS失效無法進行正確的IP地址解析。

關鍵點針對物聯網安全問題提升安全意識，以及對網絡異常情況進行分析對業務連續性進行定期檢查、驗證和測試，以及對系統運行狀態進行監控業務影響業務影響經濟損失：這次事件造成兩部分損失，1.Dyn客戶的損失包含，服務停止而造成的業務損失，以及恢復網站所花的成本，這些都無法計算；2.Dyn的損失包含，恢復業務正常運維的成本及大量重要客戶丟失的損失，所有損失的明細都沒有報告。業務運維：關鍵域名都無法訪問，包含Twitter和Snapchat。法律合規：由于沒有數