威脅嚴重性評估
| 上次更新時間: June 16, 2004 11:22:18 AM |
|
|
賽門鐵克安全機制應變中心的「威脅嚴重性評估」可評鑑電腦所受的威脅 (病毒、病蟲、特洛伊木馬及巨集病毒) 並加以分類,成為界定明確的風險級別,提供給電腦用戶。分析時根據三大威脅指標,來判定嚴重等級:
- 惡意程式「廣為流傳」的程度。
- 若遭遇到惡意程式,所造成的損害。
- 惡意程式散播的速度。
依據評估其子指標之後,每級各評等出「高」、「中」或「低」三種風險。整體的嚴重性是結合各種風險之下求取得來的結果,再歸納為 5 種等級的其中之一,其中以第 5 級 (即 CAT 5) 最為嚴重,第 1 級 (即 CAT 1) 最輕微。
- 第 1 節說明各個威脅指標。
- 第 2 節列出指標的合併,此合併導出整體風險評估的結果。
第一節:威脅的評估標準
1.1 兇猛
此指標衡量病毒已在電腦使用者之間擴散的程度。此評估標準中的資訊包括:
- 受感染的獨立站台數量
- 受感染的電腦數量
- 感染的地理分佈
- 現有技術抵禦威脅的能力
- 病毒的複雜度
分類準則:
- 高:1,000 部機器或 10 個站台或 5 個國家受感染
- 中:50-999 部機器或 2 個受感染的站台/國家 (也就是 WildList)
- 低:所有其它
1.2 損害
損害指標衡量特定威脅可能造成的危害程度。此評估標準中的資訊包括:
- 觸發事件
- 堵塞電子郵件伺服器
- 刪除/修改檔案
- 釋出機密資訊
- 效能衰退
- 常式錯誤,造成生產力意外降低
- 遭破壞的安全設定
- 修復損壞的難易度
分類準則:
- 高:檔案損毀/修改、出現極高的伺服器流量、大規模無法修復的損壞、大規模的安全性漏洞、破壞性的觸發事件
- 中:非關鍵性的設定變更、常式錯誤、容易修復的損壞、非破壞性的觸發事件
- 低:無刻意的破壞行為
1.3. 散佈
散佈指標衡量出程式自我散播的速度。此評估標準中的資訊包括:
- 大規模的電子郵件攻擊 (病蟲)
- 執行程式碼的攻擊 (病毒)
- 僅透過下載或複製來散播 (特洛伊木馬)
- 網路磁碟機的感染能力
- 移除/修復的困難度
分類準則:
- 高:病蟲、網路型執行檔、無法控制的威脅 (由於病毒複雜度高,或 AV 抵禦能力低)
- 中:大多數病毒
- 低:大多數特洛伊木馬
第 2 節:整體風險評估標準
整體風險評估標準將上述三大指標結合起來,成為提供電腦用戶的風險衡量資訊。威脅嚴重性等級分為 5 種。
第 5 級 - 極度嚴重
高度危險的威脅類型,非常難以控制。所有電腦都應當立即下載最新的病毒定義檔,並且執行掃描。電子郵件伺服器可能必須停機。三個威脅評等都必須為「高」。
第 4 級 - 嚴重
危險的威脅類型,難以控制。應當立即下載並部署最新的病毒定義檔。
第 3 級 - 中等
若已大量散佈,則威脅類型將歸類為非常兇猛 (但相當無害或能夠控制) 或具潛在危險 (並且無法控制)。
第 2 級 - 低
威脅類型歸類為低或中等的兇猛威脅 (但相當無害並且能夠控制) 或非兇猛威脅,特徵為不尋常的損害行為或散播常式,或者因為病毒的某個功能而成為新聞的頭條。
第 1 級 - 極低
對使用者造成的威脅很小,甚至鮮少製造頭條,而且尚未廣為流傳。
- 兇猛:低
- 損害或散佈:低
-
Write-up by: George Koris
|
