BSI技術指引 TR-03183-1
| 適合一般產品及資訊安全產業界,具備基礎教育背景的亞洲讀者。 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。後續修訂請查閱歐盟與德國的BSI官方網站、洽詢各家驗證公司、諮詢顧問等。 CC BY-SA 4。0。 |
(見前篇)
5.12.2 可能性準則
為了估算事件發生的可能性,將使用以下量表:
可能性尺度:
1 - 風險情境極不可能發生;
2 - 風險情境不太可能發生;
3 - 風險情境較有可能發生;
4 - 風險情境極有可能發生;;
5 - 風險情境幾乎必然發生
一般而言,可能性高度依賴於具體風險,應以產業專屬知識與威脅情報來支持。
該指引將使用「環境」指標,根據預期的作業環境保護,根據PwDE或其組成部分所提供的保護,來評估事故發生的可能性,從而降低事故發生的可能性。此方法可獨立於特定可能性的攻擊者剖繪面使用,因為這些資訊已包含在衝擊中,衝擊越高,攻擊動機與能力越高。
注意:環境指標可依特定使用情境調整,包括更複雜的方法。最初定義的指標未包含攻擊鏈或細緻防禦深度策略的考量,因為這需要假設潛在的環境失效或資產衝擊的環境敏感變化。
Indicators
|
指標 |
佐證說明 |
|
界面限制 |
介面限制降低攻擊的可能性。此指標顯示 PwDE 最大假設可達性。 |
|
存取限制 |
存取限制會衝擊潛在攻擊者的數量及可能的攻擊時段,降低成功攻擊的可能性。 |
|
使用者能力 |
缺乏技能的使用者更容易錯誤操作產品,或更容易受到社交工程面向的攻擊。此指示器僅在風險的處理方式依賴使用者之應對作為。 |
界面限制
|
指標 |
佐證說明 |
|
實體 |
PwDE 內部通訊,並可透過物理操作存取。對於軟體產品而言,這涉及對軟體內部通訊/處理的操作。攻擊者需要直接存取 PwDE 並在內部進行操控 |
|
局部 |
PwDE 透過本地介面進行短距離通訊,例如嵌入式使用者介面、NFC 或短距離有線連接。軟體方面,這也包括在同一裝置上與其他軟體 PwDE 之間的進程間通訊。攻擊者需要PwDE的直接本地存取權限。 |
|
搭配既定網路 |
PwDE 與使用者已知且信任的相鄰網路通訊,無需預期連接外部網路。該網路專門用於特定使用情境,因此預期僅係有限數量的
PwDE,僅用於該專用場景,例如本地家庭匯流排系統、點對點無線區域網路(WLAN)或藍牙連結。攻擊者必須靠近 PwDE 才能透過網路存取,外部網路的存取並非設計 |
|
已知網路 |
PwDE 與使用者已知且信任的相鄰多功能網路通訊,該網路與其他 PwDE 共享,用於多種使用情境,例如家庭或辦公室網路。攻擊者必須靠近 PwDE 才能透過網路存取,外部網路的存取並非原本預期方式 |
|
外部網路 |
PwDE 與非使用者或其組織控制的網路通訊,例如行動網路、WAN 或未知的 WLAN。攻擊者可能從任何地方存取 PwDE,因為外部網路的拓撲結構未知。 |
存取限制
|
指標 |
佐證說明 |
|
限制 |
進入PwDE的權限是有限的,只有一群已知的人能使用PwDE。 |
|
公眾限制 |
預期是提供公眾進入或不可避免,但PwDE通常由已獲得授權的人員監督。攻擊的窗口通常係受到限制 |
|
移動式 |
預期是提供公眾進入或不可避免,但PwDE通常由已獲得授權的人員監督。PwDE是移動式的,且攻擊者可以將之移除。攻擊的窗口通常係受到限制,但可以透過移動目標物來擴大窗口。 |
|
無限制 |
沒有特定的存取限制,也沒有潛在攻擊者和攻擊窗口的限制。如果本地存取權受到限制,攻擊仍可能在沒有本地存取檯的情況下得以執行。 |
使用者容量
|
指標 |
佐證說明 |
|
與使用者無關 |
使用者能力未衝擊事件發生的可能性 |
|
有經驗者 |
熟練使用者,例如資訊專業人員,不太可能因操作與設定不當而曝露產品,並能利用自身專業知識提升 PwDE 的資訊安全性 |
|
指示後使用 |
受過訓練的使用者,例如熟悉技巧或懂 IT 資訊安全、閱讀手冊的使用者,不太可能因操作與構成項目不當而曝露產品 |
|
無經驗者 |
技術不夠熟練的使用者,可能會因操作與構成項目不足而不必要地曝露產品 |
5.12.3 接受準則
風險可以根據其可能性與潛在衝擊進行分類與評估。該指引將採用以下風險接受準則:
- 若存取限制無法阻止具備低複雜度攻擊能力的潛在惡意行為者取得本地存取,則無法接受本地攻擊造成中等或更高衝擊性的風險。
- 若存取限制無法阻止本地存取已知但潛在惡意且具高複雜度攻擊能力的行為者,則無法接受本地攻擊帶來高或更高衝擊的風險。
- 若網路限制無法阻止一群具低複雜度攻擊能力的潛在惡意者存取,則中度或更高程度衝擊的風險是不可接受的。
- 若網路限制無法阻止已知有限群體(具備高複雜度攻擊能力的惡意行為者)存取,則無法接受高或更高網路攻擊衝擊的風險。
- 若使用者為外行人,因初始配置錯誤而產生中度或更高衝擊的風險是不可接受的。
- 若使用者是受訓技工但非熟練專家,因初始構成項目錯誤而產生高度或非常高程度的衝擊風險是不可接受的。
5.13 實務風險處理
風險處理需要經驗,且取決於產品及相關人員,因此很難以既詳細又通用的方式描述風險處理,既能幫助你,又足夠通用以適用於所有產品。該指引附錄A(參見原指引內容)中包含一個簡單的示例,作為製造商在無風險處理階段時的初步指引。
6 採用可調整型基於風險的控制措施 (ARC, Adaptable Risk-based controls)
該技術指引將採用一種稱為「可調整型基於風險的控制」(ARC)方法,根據相關風險選擇適當的控制措施。因此,ARCs總是會伴隨一個或多個風險情境。6.1 風險情境 risk scenarios
風險情境包含以下資訊:• 風險情境:描述風險前後環節的情境;
• 資產:受影響的資產及其衝擊情形;
• 環境:環境參數(存取限制、介面限制、使用者能力);
若某件PwDE帶有風險,可依以下步驟評估之:
1. 依前述之風險處理方式進行風險評鑑。
2. 根據衝擊準則及環境,對所識別的資產進行分類,係依負責處理的資產化PwDE組成部分做出分類。這將帶來資產與基線之間的衝擊映射,涵蓋機密性、完整性與可用性及相應環境。
3. 將PwDE分隔成不同的環境。依照可能性準則,個中環境由存取限制、使用者能力及介面限制組成的元件構成。請著意描述環境的元組件。此可從元組件基礎開始,之後再以介面與功能為基礎予以細化。對於由其負責的 RDPS,製造商可選擇願意提供何種環境來運作 RDPS。
4. 根據控制風險前後環節中給定的資產、衝擊及環境參數選擇控制措施。若 PwDE 或其部分元組件面臨風險
– PwDE 或其部分的處理方式、或以其他方式影響所列出的資產;
– PwDE 或其部分預期環境中列出的存取與通訊限制,以及使用者能力。
示例:PwDE 處理消費者市場及室內使用的通用型個人識別資料(PII)的資訊,並由製造商操作的 RDPS。而RDPS 儲存大量個人識別資料集。
環境
一個與一般消費者共用的元組件,限制室內存取並連接到遠端網路,導致(普通使用者、受到限制、聯結到外部網路)環境。
一個具備專業 IT 操作的 RDPS 元件,位於受到限制的資料中心並連接遠端網路,形成(熟練、受到限制、聯結到外部網路)環境。
衝擊分類
在(普通使用者、受到限制、聯結到外部網路)環境中放置的元組件負責處理個人識別資料(PII)。具有通用型之機密性:3、完整性:2、可獲得性:2。
RDPS 元組件在(普通使用者、受到限制、聯結到外部網路)環境中負責處理個人識別資訊(PII)。具有通用型之機密性:3、完整性:2、可獲得性:2。。由於可能影響的資料集數量甚多,會使用放大率「1」,從而獲得機密性:4、完整性:3、可獲得性:3。
控制事項的選擇
假設控制事項如下:
自動更新機制(機制);
風險情境:PwDE處理衝擊為中等或較高的資產,若產品完整性喪失,則無法受到保護。使用者只是個普通使用者,沒有定期安裝更新,導致 PwDE 容易受到外部網路攻擊。
資產:
• 機密性C(3);
• 完整性I(3);
• 可獲得性A(3);
環境:
• 存取限制:(視實際情況而定);
• 介面限制:外部網路;
• 使用者能力:普通使用者;
控制:
PwDE 的更新機制必須包含能自動檢查新更新的自動更新機制。
「自動更新機制」確實適用於在沒有熟練使用者的情況下,處理衝擊至少為《3》 的外部網路資產的 PwDE。因此,此方式通常適用於典型的 PwDE,處理一般個人識別資料(PII)並使用遠端網路存取。
由於控制系統也預期一般使用者,因此僅適用於由普通使用者管理的 PwDE 元組件,而非 RDPS 元件,因為 RDPS 元組件是在專業環境中操作的。這適用於許多預設的安全控制系統。
6.2 ARC 的佐證說明
ARC是一種針對PwDE使用情境,選擇適用於網路與資訊安全的控制措施的方法。影響資安適宜性有兩個面向:
• 必須保護哪些內容?
這是由資產識別中識別出來的資產及其潛在衝擊所定義。在第二步所述的衝擊分類後,可以推導出保密性、完整性及可獲得性保護程度的指標。
• 必須防範哪些因素?
這取決於威脅分析中識別出來的威脅及其發生的可能性。將資產分類為不同衝擊類型時,也會產生三種通用威脅,即失去保密性、完整性喪失及可獲得性喪失。這也包括這些威脅發生的可能性,因為其衝擊直接關聯於惡意行為者的動機及潛在能力。
如果對產品一無所知,可假設是最壞情況,即存在三種威脅,且相對可能存在潛在衝擊。通常情況並非如此,因為基於環境,PwDE已具備一定程度的保護,因此基於現有的存取限制、通訊限制或其他安全控制措施,事件發生的可能性降低。一個特殊的環境因素是使用者能力,因為高使用者能力表示環境已具備成熟的管理控制機制,並預期具備設定特定限制或其他技術/物理控制的能力。雖然不惡意,但不熟練的使用者仍需額外支援以保障 PwDE 的安全操作。
環境可用於 PwDE 元件的組合。PwDE 的某個元組件係在製造商預期會提供該等環境以整合元組件。製造商必須完整提供預期的環境,或是將此種預期環境交給供應鏈中的下一個使用者。若是如此,製造商必須協助下一位使用者達成期望的環境。此點至少包含對委外期望的透明化敘述,以及達成期望的方法,例如若預期有額外配置事項,則需提供設定介面。
圖八:環境構成示意圖
關於此技術指引的評鑑,複合特性可用於自上而下的方法,若評估者假設某項控制對 PwDE 的某一部分(例如介面、應用程式或功能)不必要甚至有害,評估者可將所使用的環境與資產具體範圍至該部分 PwDE 並重新評估控制內容。
7 網路與資訊安全控制
該指引定義了一套產品安全與漏洞處理的初步控管措施,這些措施通常用於確保PwDE的網路與資訊安全。這些控制措施為通用型設計,適用於多種產品,因此屬於較高階設置,製造商會根據使用情境及特定 PwDE 類型進行進一步規範。
該技術指引的網路與資訊安全控制以機器可讀格式OSCAL定義,以利於
• 提供根據使用情境篩選適當控制的能力
• 簡化現有控制的再予使用及自訂控制目錄的定義
• 建立結構化格式,用於記錄與評鑑已實施控制的措施
OSCAL 控制功能可透過 Github 倉庫提供: https://github.com/tr-03183/tr-03183-1
若有申請, tr-03183@bsi.bund.de將提供有關資料庫及OSCAL使用情況的額外資訊。
8 使用者文件
使用者文件對於PwDE使用者能安全地設置、維護及除役至關重要。使用者文件讓製造商能向使用者傳達對安全使用產品的期望,從而降低因使用者錯誤而產生的濫用與漏洞風險。同時也提供使用者必要資訊,以便向製造商回報漏洞與安全事件。本節概述CRA附錄II中規定的PwDE最低程度須在使用者文件呈現事項。
8.1 UD - 使用者文件
8.1.1 UD.1.1 - 製造商識別(文件)8.1.1.1 控制
與 PwDE 相關的使用者文件必須包含製造商的名稱、註冊品牌或註冊商標,以及郵遞地址、電子郵件或其他數位聯絡方式,以及(如有)提供聯絡製造商的網站。
8.1.2 UD.1.2 - PwDE產品識別(文件)
8.1.2.1 控制
與 PwDE 相關的使用者文件必須包含PwDE名稱、類型及任何能將之唯一識別的額外資訊。
8.1.3 UD.1.3 - 支援期間(文件)
8.1.3.1 控制
與 PwDE 相關的使用者文件必須包含製造商提供的技術安全支援類型,以及使用者可預期處理漏洞並獲得安全更新的支援期限。
8.1.4 UD.1.4 - 安全設定(文件)
8.1.4.1 控制
與 PwDE 相關的使用者文件必須包含關於 PwDE 初期調試期間及整個生命週期所需措施的詳細資訊,以確保其安全使用。
8.1.5 UD.1.5 - 修改的後果(文件)
8.1.5.1 控制
與 PwDE 相關的使用者文件必須包含詳細說明修改 PwDE 如何影響資料安全。
8.1.6 UD.1.6 - 更新安裝(文件)
8.1.6.1 控制
與 PwDE 相關的使用者文件必須包含如何安裝安全相關更新的詳細資訊。
8.1.7 UD.1.7 - 安全除役(文件)
8.1.7.1 控制
與 PwDE 相關的使用者文件必須包含關於產品安全除役的詳細資訊,並包含數位元素,包括如何安全移除使用者資料的說明。
8.1.8 UD.1.8 - 自動更新預期安裝事項(文件)
8.1.8.1 控制
與 PwDE 相關的使用者文件必須包含詳細說明如何關閉自動安裝安全更新的預置設定。
8.1.9 UD.1.9 - 安全整合(文件)
8.1.9.1 控制與 PwDE 相關的使用者文件必須包含詳細說明 PwDE 用於整合至其他數位元件產品的位置,以及整合者符合基本要求所需的資訊。
參考文獻:參見原指引。
附錄A:參見原指引內容。
附錄B:參見原指引內容。

