如何确定应用程序、间谍软件和防病毒的风险级别
70899
Created On 09/26/18 13:44 PM - Last Modified 06/01/23 17:36 PM
Resolution
下面显示的是用于确定威胁、间谍软件和防病毒风险级别的矩阵。
技术
| 技术 | 描述 |
|---|
| 网络协议 | 通常用于系统通信以方便网络操作的应用程序。 这包括大多数 IP 协议。 |
| 客户端-服务器 | 使用客户端-服务器模型的应用程序, 其中一个或多个客户端与网络中的服务器通信。 |
| 对等 | 与其他客户端直接通信以传输信息而不是依赖于中央服务器以方便通信的应用程序。 |
| 浏览器 | 依赖 web 浏览器运行的应用程序。 |
特征
| 特点 | 描述 |
|---|
| 能够进行文件传输 | 可能有超过100万用户。 具有将文件从一个系统传输到网络上的功能。 没有其他机制传输视频或音频流以外的文件的流式应用程序不应标记为能够传输文件。 |
| 恶意软件使用 | 恶意软件已被称为使用应用程序传播, 攻击, 或数据窃取, 或与恶意软件分发。 |
| 过多的带宽使用 | 通过正常使用, 定期消耗至少 1 Mbps。 |
| 回避 | 将端口或协议用于其最初目的以外的某种用途, 并希望它能够遍历防火墙。 |
| 普遍 | 可能有超过100万用户。 |
| 已知漏洞 | 已公开报告漏洞。 对于基于 web 的应用程序, 它也应该设置为 yes, 因为 HTTP 总是有漏洞。 |
| 容易误用 | 通常用于恶意目的或易于设置暴露超过用户预期。 |
| 隧道其他应用程序 | 能够在其协议内传输其他应用程序。 |
| 文件类型身份识别 | 如果应用程序可以通过解码协议上载或下载文件类型 (如 http), 则应设置该项。 |
| 间谍软件-身份识别 | 如果应用程序可以通过解码协议上载或下载可执行文件, 则应设置该项。 |
| 病毒识别 | 与间谍软件身份相同。 |
| 漏洞-身份识别 | 对于基于 web 的应用程序, 漏洞识别应该始终是 yes, 因为它们是 http, http 总是有一些漏洞。 |
| 拒绝-操作 | 对于基于 web 的应用程序, 应将拒绝操作设置为下拉复位 (除非应用程序接收 tcp 重置时存在一些问题)。 |
风险计算
重量
| 特点 | 因素 |
|---|
| 回避 | 3 |
| 过多的带宽使用 | 1 |
| 恶意软件使用 | 4 |
| 能够进行文件传输 | 3 |
| 已知漏洞 | 3 |
| 隧道其他应用程序 | 2 |
| 容易误用 | 2 |
| 普遍 | 1 |
| 总计 | 19 |
风险分配
| 风险 | 范围 |
|---|
| 1 | 0–3 |
| 2 | 第4-6 |
| 3 | 7–9 |
| 4 | 10–13 |
| 5 | 14 + |
所有者: jnguyen