(見前篇)
參見標準:ANSI/AAMI SW 96:2023器材製造商的資安風險管理
© All Rights reserved。 版權聲明。CC BY-SA 4。0。
(內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。)
威脅者在由其擇定地點和時間發動攻擊。有些情況下,沒有前罝攻擊,有些情況則係利用先前未被發現的漏洞。另在其他情況下,威脅行為者嘗試多次攻擊,但運用手段的複雜度足以避開醫療器材製造商及其他單位(如:執法單位)的偵測。無論哪種情況,觀察到的樣本數均為零;未來攻擊的統計上估計範圍並無歷史資料可以參照。若威脅者的利用程式碼被其他威脅者共享,製造商可能面臨全球範圍內類似攻擊的再升級。然而,此處注意提示詞是「相似」:漏洞往往像活生生的生物般會持續演化,進一步破壞任何嘗試做出統計的描述。
法國國家藥品安全管理局ANSM發布的指引(參見專文介紹)提到:「安全性與保全性的主要差異在於所設想的故障性質。根本的區別係操作安全主要涉及無意間導致的故障,安全性則包括故意的故障,即懷著惡意而肇致的故障。實務上系統係視為安全運作,因為發生不良事件的機率被認為足以忽略不計,但該系統不必然是安全的,因為攻擊者會有意地嘗試觸發不良事件。安全的系統必須提供預期的服務,滿足既定規格,且僅限於提供該項服務。」
非定向攻擊也有可能發生,例如當醫療裝置被來自USB隨身碟的惡意軟體感染,這些惡意軟體可能是 1) 從家庭運算環境傳入醫療機構,或 2)
專門用於 HDO 的醫療設備更新。不幸的是,非定向攻擊也難以統計建模。在這個例子中,製造商幾乎不可能估算感染的 USB 隨身碟數量,此外,醫療機構亦缺乏足夠控制以防止從 USB 隨身碟下載的情形。
製造商究竟須要如何評估惡意攻擊的潛在風險呢?參見NIST SP 800-30, 附錄G的55號註腳,解釋採用《可能性分數likelihood score》而非統計數值的方式:「本指引中討論的「可能性」一詞,並非嚴格意義上的可能性,而是《可能性分數》。風險評鑑者並不定義統計意義上的可能性函數。相反地,風險評鑑者會根據現有證據、經驗及專家判斷給予分數(或可能性評鑑)。因此,針對目標、意圖與能力等因素的組合可用來產生代表威脅啟動可能性的分數;可結合能力與脆弱性嚴重度等因素,產生代表不良衝擊可能性的分數;這些分數的組合可用來產生整體《可能性分數》。」
美國食品藥物管理局(FDA)的前市場網路保全指引中說:「在許多情況下,由於網路攻擊者利用的複雜度、漏洞利用的可及性、以及漏洞工具包的存在現象等因素,估算網路保全漏洞的機率非常困難。」該局推薦在風險管理過程中納入下列事項:
l 網路保全漏洞的會受到利用性
l 如果利用該弱點,病患受到傷害的嚴重程度。
判斷可能性的定性與半定量化方法可依據通用漏洞評分系統(CVSS, Common
Vulnerability Scoring System,見下表)計算的安全指標及威脅建模結果(例如:攻擊樹)來判斷。美國食品藥物管理局(FDA)係將通用漏洞評分系統(CVSS)
視為一種可用來計算漏洞「可利用性」的工具。
|
CVSS 4.0 |
Common
Vulnerability Scoring System, 版本 4.0, 是由 FIRST(Forum of
Incident Response and Security Teams)開發的漏洞評分系統,用於標準化評估軟體、硬體或韌體漏洞的嚴重性。該方法強調基於時間與環境的動態評分,適用於漏洞管理、風險評估與優先排序。 CVSS 4.0 強化了動態風險管理,適用於雲端與 IoT 時代,強調持續監測以適應演進威脅。 |
|
關鍵詞 |
Base
Metrics:基礎指標(漏洞固有特性,時間與環境不變) Threat
Metrics:威脅指標(隨時間變化,如利用程式可用性) Environmental
Metrics:環境指標(使用者環境特定因素,如緩解措施) Supplemental
Metrics:補充指標(額外脈絡資訊,不影響評分) Vector
String:向量字串(指標值的壓縮文字表示,用於分數推導) Vulnerable
System:易受攻擊系統(漏洞所在系統) Subsequent
System:後續系統(下游受影響系統,包括人類安全) Exploitability:可利用性(漏洞利用難易度) Impact:衝擊(成功利用後的機密性、完整性、可用性後果) MacroVector:巨向量(相似嚴重度向量群組) Safety:安全(人類安全影響,按 IEC 61508 分類:Catastrophic、Critical、Marginal、Negligible) Automatable:可自動化(跨多目標自動利用) Provider
Urgency:供應商緊急度(Red、Amber、Green、Clear) Recovery:恢復(攻擊後系統韌性:Automatic、User、Irrecoverable) Value
Density:價值密度(攻擊者獲取資源:Diffuse 或 Concentrated) Vulnerability
Response Effort:漏洞回應努力(Low、Moderate、High) |
|
CVSS 4.0 分為四類指標(metrics,或稱度量),每類指標衝擊最終分數(0–10 分) |
|
|
可利用性指標 |
l
攻擊向量(AV: N、A、L、P)、 l
攻擊複雜度(AC: L、H)、 l
攻擊需求(AT: N、P)、 l
所需權限(PR: N、L、H)、 l
使用者互動(UI: N、P、A) |
|
影響指標 |
各為 H(高)、L(低)、N(無); l
易受攻擊系統機密性(VC)、 l
完整性(VI)、 l
可用性(VA); l
後續系統機密性(SC)、 l
完整性(SI)、 l
可用性(SA) |
|
威脅指標 |
基於利用程式可用性與報告 l
利用成熟度(E: X、A、P、U) |
|
環境指標 |
l
安全需求: n
機密性(CR)、 n
完整性(IR)、 n
可用性(AR)——X、H、M、L。 l
修改基礎指標:MAV、MAC、MAT、MPR、MUI、MVC、MVI、MVA、MSC、MSI(含 S 安全)、MSA——覆蓋基礎指標;X 預設為基礎值。 l
安全(S)在 MSI/MSA 中評估人類安全衝擊。 |
|
補充指標 |
提供脈絡,不影響分數: l
安全(S: X、N、P)、 l
可自動化(AU: X、N、Y)、 l
供應商緊急度(U: X、Clear、Green、Amber、Red)、 l
恢復(R: X、A、U、I)、 l
價值密度(V: X、D、C)、 l
漏洞回應努力(RE: X、L、M、H)—— |
|
流程步驟: CVSS 4.0 的評分流程為系統化過程,包括向量建構與分數計算 |
|
|
|
l
指派基礎指標(強制):由漏洞分析師或供應商評估漏洞固有特性。 l
選擇性精煉威脅與環境指標:消費者使用威脅情報(Threat
Metrics)與環境因素(如緩解措施)調整。 l
使用預設值:威脅/環境指標若省略,使用「Not Defined」(X),假設最壞情境(最高嚴重度)。 l
建構向量字串:格式為「CVSS:4.0/」,後接指標順序(基礎強制,威脅/環境/補充選擇性)。各指標:縮寫(如AV): 值(如N),以「/」分隔。順序AV/AC/AT/PR/UI/VC/VI/VA/SC/SI/SA/E/CR/IR/AR/MAV/MAC/MAT/MPR/MUI/MVC/MVI/MVA/MSC/MSI/MSA/S/AU/U/R/V/RE。省略指標預設 X;重複或順序錯誤則無效。 範例:CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:A(含威脅 E)。 |
|
CVSS在漏洞評估中執行以下任務,並達成具體目標 |
|
|
|
l
優先排序:提供數值分數(0–10)與屬性評級(None、Low、Medium、High、Critical),相對排名漏洞。 l
溝通標準化:透過向量字串與命名法(CVSS-B、CVSS-BTE)透明傳遞嚴重度,跨供應商、消費者與環境。 l
風險評鑑輸入:基礎分數反映固有嚴重度;威脅/環境精煉適應組織情報與控制,支援修補決策。 l
脈絡提供:補充指標增添外部細節(如安全、可自動化),用於組織風險分析超出 CVSS 分數。 l
供應商中立方法:一致評分軟硬韌體漏洞,輔助漏洞管理流程。 l
達成目標:提升漏洞回應效率、減少誤判風險、促進全球安全合作。 |
|
CVSS 4.0 支援多種軟體工具(如計算器、整合架構),重要面向包括下列事項: |
|
|
|
l
計算器:FIRST 的參考實作計算器從向量計算分數,使用 cvss_lookup.js 查詢巨向量與插值;支援自動化評分。 l
整合:JSON/XML 結構化模式用於資料儲存/傳輸;向量字串適用於機器可讀評分,如 NVD(National Vulnerability Database)或漏洞掃描器。 l
最佳實務:多來源威脅情報更新威脅指標;頻繁重新評估;發布時附分數與向量字串;在完美攻擊者知識下評估;優先全面自動化工具。 l
限制:分數效用依賴使用指標(以命名法標記);未定義指標假設最壞預設;不涵蓋非 CVSS 因素(如:法規、聲譽);補充指標選擇性且消費者解釋;安全限於後續系統影響;巨向量群組使非所有向量有細粒度分數變化。 |
B.6 風險來源
保全系統工程的另一個變化是潛在漏洞與風險資訊來源。傳統安全工程需要理解許多物理過程及相關故障,而資訊保全工程則更著重於從有惡意意圖的人為角度,了解系統弱點的來源。這些弱點主要來自兩個來源:設計錯誤與實作錯誤(即:惡蟲bugs)。
在保全/資安風險分析中,透過威脅建模及相關安全分析,設計上的錯誤被消除。實作錯誤的消除是透過程式碼審查,或更常見的是自動化程式碼檢查工具來完成。保全工程師了解第三方軟體(如商業作業系統)存在實作錯誤,並主動實作監控新發現漏洞的報告及評估修補緊急性的方法。
設計保全架構還需要了解諸如常見弱點列舉(Common
Weakness Enumeration,CWE)之類的常見設計錯誤的目錄網站,可能導致易遭受利用的漏洞。或是了解 CAPEC網站(通用攻擊模式列舉與分類 Common Attack Pattern Enumeration
and Classification)是攻擊者如何構建漏洞利用的另一個資訊來源,並能促成更保全(且安全)的設計。
漏洞學習的手段還包括「協調式漏洞揭露Coordinated Vulnerability
Disclosure」,此係製造商之間溝通倫理型駭客如何傳達其發現的可乘之機,以及公司與研究人員間解決問題的流程,並在有修正時通知用戶的機制。參見標準【ISO/IEC 29147資訊技術—保全技術—漏洞揭露】。
B.7 保全/資安風險評鑑準則
保全/資安風險管理的評鑑準則是區別關於保全/資安風險管理的獨特因素之一。ISO 14971 概要地敘述一種基於嚴重程度與發生概率的方法。發生概率為保全設置兩大障礙,(1)發生率不一定能準確判斷保全威脅的可能性,(2)某些保全威脅發生概率為零,因為現場尚未發生利用事件。因此,大多數資安風險管理方法採用 CVSS 方法或定性/半定性方法,根據
NIST SP 800-30 中描述,對漏洞的衝擊和利用狀況進行高/中/低準則的排比。
所有這些評鑑準則各有其優點與挑戰。CVSS方法分為三個度量組:(a)基礎度量,(2)時間度量,(3)環境度量(見圖B.2)。這些指標旨在捕捉「軟體、硬體與韌體漏洞的主要技術特性」。由於這是對漏洞的技術評鑑,且漏洞的修補或「修正」通常不會改變實際漏洞的技術性質,因此透過緩解措施或控制措施來降低分數可能相當困難。此種方式對製造商來說,將分數降低到可接受水準是個嚴峻挑戰。
MITRE針對醫療器的CVSS評分標準,提供了調整CVSS分數的結構,透過考量一些常見的環境或配置因素,影響特定醫療器材下脆弱性的實際評估。CVSS的價值在於受到多個產業的廣泛理解與使用,因此在各產業與利益相關者之間享有一定的信任與共通語言。與使用工具計算CVSS分數,對比之下,手動計算CVSS 分數較為繁瑣。
(圖B.2)CVSS分數指標群組
定性/半定性評鑑準則方法不及CVSS分數的對應程度,因為前者未考慮到各種因素和指標。且其主要依賴某個尺度的高/中/低排比而做出判斷,產出結果的分數較不精確。但益處是可以快速得到結果而毋須太多漏洞的技術資訊。
(未完,見續篇)
沒有留言:
張貼留言