来源:http://veriscommunity.net/actors.html
造成或促成事件的实体被称为威胁行动者。
在任何特定事件中都可能有不止一个参与者,他们的行为可以是恶意的或非恶意的,有意的或无意的,因果的或贡献的。VERIS认为威胁行动者有三种主要类型——外部、内部和合作伙伴。
VERIS分类注:如果行为者在违反行为中的作用仅限于一个共同的错误,则此处不包括行为者。例如,如果内部人员对应用程序的非故意错误配置使其容易受到攻击,那么如果应用程序被另一个参与者成功入侵,内部人员将不会被视为威胁参与者。蓄意窃取数据的内部人员或其不适当的行为(如违反政策)促成了泄露,将被认为是泄露中的威胁行为人。
一、外部行动者
外部威胁来自组织及其合作伙伴网络之外的来源。例子包括犯罪集团、黑客、前雇员和政府实体。也包括上帝(如“行为”),“自然母亲”和随机机会。通常,外部实体不包含信任或特权。
1.1动机
问题文本:外部行为人采取行动的动机是什么?
用户指出:N / A
问题类型:枚举列表(多选)
变量名:actor.external.motive(字符串)
NA: Not Applicable (unintentional action)
Espionage: Espionage or competitive advantage
Fear: Fear or duress
Financial: Financial or personal gain
Fun: Fun, curiosity, or pride
Grudge: Grudge or personal offense
Ideology: Ideology or protest
Convenience: Convenience of expediency
Unknown: Unknown
Other: Other
目的:动机是理解和防御情报威胁行为体的关键组成部分。
开发人员注意:虽然这对所有类型的参与者都很常见,但它是继承的,并与每一种类型相关联。换句话说,如果一个事件同时涉及到一个外部的行动者和一个内部的行动者,不同的动机可能会被分配给每个人
杂项:两个威胁行动类别(错误和环境)不会有相关的动机。不适用(NA)是正确的选择。
1.2种类
问题文本:涉及到哪些类型的外部行动者?
用户指出:N / A
问题类型:枚举列表(多选)
变量名:actor.external.variety(字符串)
Activist: Activist group
Auditor: Auditor
Competitor: Competitor
Customer: Customer (B2C)
Force majeure: Force majeure (nature and chance)
Former employee: Former employee (no longer had access)
Nation-state: Nation-state
Organized crime: Organized or professional criminal group
Acquaintance: Relative or acquaintance of employee
State-affiliated: State-sponsored or affiliated group
Terrorist: Terrorist group
Unaffiliated: Unaffiliated person(s)
Unknown: Unknown
Other: Other
目的:识别特定种类有助于评估行动者的资源、能力和倾向。
开发人员指出:N / A
杂项:如果参与者是前雇员,那么确保选择外部的“前雇员”而不是内部人员。如果前雇员使用他们仍然在使用的帐户,就属于误用。
1.3来源(国家)
问题文本:外部行动者的地理起源是什么?
用户说明:将其保留为参与者操作的实际国家,而不是仅基于IP地理位置。
问题类型:枚举列表(多选)
变量名:actor.external.country(字符串)
目的:确定行动者的地理起源,这在多种调查、操作和战略层面上是有用的。
开发人员注意:VERIS使用ISO 3166代码作为country变量,可以在这里找到:http://www.iso.org/iso/country_codes.htm。我们建议在界面中创建一个列表,而不是要求用户输入正确的代码。
杂项:将此保留到演员的起源和单独收集ip可以两全其美。我们可以追踪威胁者的来源(和国家关系)以及他们用于恶意目的的资产的位置
1.4注释
问题文本:输入任何你认为值得注意的关于外部参与者的其他细节。
用户说明:在此记录所涉及的威胁集团的名称或隶属关系将特别有用。
问题类型:文本字段
变量名:actor.external.notes(字符串)
用途:一应俱全
开发人员注意:虽然这对所有类型的参与者都很常见,但它是继承的,并与每一种类型相关联。换句话说,如果一个事件同时涉及外部参与者和内部参与者,那么可能会为它们分别记录不同的记录。
杂项:在此记录有关威胁行动者或团体的姓名或从属关系特别有用。
二、内部行动者
内部威胁是指来自组织内部的威胁。这包括公司全职员工、独立承包商、实习生和其他员工。内部人士受到信任,享有特权(有些人比其他人更多)。
2.1动机
问题文本:什么动机驱使内部行动者采取行动?
用户指出:N / A
问题类型:枚举列表(多选)
变量名:actor.internal.motive(字符串)
NA: Not Applicable (unintentional action)
Espionage: Espionage or competitive advantage
Fear: Fear or duress
Financial: Financial or personal gain
Fun: Fun, curiosity, or pride
Grudge: Grudge or personal offense
Ideology: Ideology or protest
Convenience: Convenience of expediency
Unknown: Unknown
Other: Other
目的:动机是理解和防御智能威胁行为体的关键组成部分。
开发人员注意:虽然这对所有类型的参与者都很常见,但它是继承的,并与每一种类型相关联。换句话说,如果一个事件同时涉及一个外部行为人和一个内部行为人,那么可能会为每个人分配不同的动机。
杂项:两个威胁行动类别(错误和环境)不会有相关的动机。不适用(NA)是正确的选择。
2.2Actor.internal.variety
问题文本:涉及哪些类型的内部行动者?
用户说明:如果员工在事件发生前辞职或被解雇,请在外部人员下面选择“前员工”。
问题类型:枚举列表(多选)
变量名:actor.internal.variety(字符串)
Auditor: Auditor
Call center: Call center staff
Cashier: Cashier, teller, or waiter
End-user: End-user or regular employee
Executive: Executive or upper management
Finance: Finance or accounting staff
Helpdesk: Helpdesk staff
Human resources: Human resources staff
Maintenance: Maintenance or janitorial staff
Manager: Manager or supervisor
Guard: Security guard
Developer: Software developer
System admin: System or network administrator
Unknown: Unknown
Other: Other
目的:识别特定种类有助于评估行动者的资源、能力和倾向。
用户指出:N / A
2.3注释
问题文本:输入任何你认为值得注意的关于内部参与者的其他细节。
用户说明:内部人在事件发生前或发生期间所表现出的古怪行为在这里记录是非常有用的。相关的工作/角色变更(例如,被解雇)也可以。
问题类型:文本字段
变量名:actor.internal.notes(字符串)
用途:一应俱全
用户指出:N / A
三、合作伙伴行动者
合作伙伴包括与组织共享业务关系的任何第三方。这包括供应商、供应商、托管供应商、外包IT支持等,业务合作伙伴之间通常隐含着某种程度的信任和特权。
3.1动机
问题文本:合作伙伴的动机是什么?
用户指出:N / A
问题类型:枚举列表(多选)
变量名:actor.partner.motive(字符串)
NA: Not Applicable (unintentional action)
Espionage: Espionage or competitive advantage
Fear: Fear or duress
Financial: Financial or personal gain
Fun: Fun, curiosity, or pride
Grudge: Grudge or personal offense
Ideology: Ideology or protest
Convenience: Convenience of expediency
Unknown: Unknown
Other: Other
目的:动机是理解和防御智能威胁行为体的关键组成部分。
开发人员注意:虽然这对所有类型的参与者都很常见,但它是继承的,并与每一种类型相关联。换句话说,如果一个事件同时涉及一个外部行为人和一个内部行为人,那么可能会为每个人分配不同的动机。
杂项:两个威胁行动类别(错误和环境)不会有相关的动机。不适用(NA)是正确的选择。
3.2行业
问题文本:哪个行业最能描述合作伙伴提供的服务?
用户说明:如果有多个,请选择与事件中涉及的合作伙伴服务关联最密切的选项。VERIS在此行业列表中使用标准NAIC代码。如果您想输入更具体的代码(例如,完整的6位数字),选择“其他”选项,并输入所需的代码。NAICS在http://www.census.gov/cgi-bin/sssd/naics/naicsrch?
问题类型:文本字段或枚举列表(单选)
变量名:actor.partner.industry (字符串)
目的:确定合作伙伴的行业(或提供的服务)有助于评估和管理与第三方打交道的风险。
开发者注意:我们建议让用户尽可能容易地定位和选择适当的行业代码(例如,选择列表)。如果合适,自动填充该字段,而不是提示用户。应该将应用程序配置为需要完整的6位代码的至少3位数字,以便提供足够的特异性。
杂项:N / A
3.3来源(国家)
问题文本:合作伙伴的经营国家是什么?
用户说明:如果是跨国公司,请选择涉及事件的业务集团的主要地点。
问题类型:枚举列表(多选)
变量名:actor.partner.country(字符串)
目的:确定行动者的地理起源,这在多种调查、操作和战略层面上是有用的。
开发人员注意:VERIS使用ISO 3166代码作为country变量,可以在这里找到:http://www.iso.org/iso/country_codes.htm。我们建议在界面中创建一个列表,而不是要求用户输入正确的代码。
杂项:N / A
3.4注释
问题文本:输入您认为值得注意的关于合作伙伴的任何其他细节。
用户指出:N / A
问题类型:文本字段
变量名:actor.partner.notes(字符串)
用途:一应俱全
开发人员指出:N / A
杂项:N / A
网友评论